3 minutno branje 13. nov. 2020
Usodni gumb

Kateri so prvi nujni ukrepi, če postanete žrtev izsiljevalske programske opreme?

Avtor/ica Vitja Gričar

EY Slovenija, Manager, forenzične storitve in storitve skladnosti poslovanja

Ponosen je na uspehe v primerih, nad katerimi so drugi že obupali, in uživa v preiskovanju primerov, ki kot vrh leden gore pod sabo skrivajo obsežnejše kršitve.

3 minutno branje 13. nov. 2020
Povezane vsebine Forenzične storitve

V času omejevalnih ukrepov zaradi covida-19 je opazen porast kibernetskih napadov v več panogah. Številni napadi, ki jih izvajajo specializirane kriminalne skupine so usmerjeni v prekinitev poslovanja z izsiljevalsko programsko opremo (ransomware).

Tudi SI-CERT poroča, da so napadi vse bolj ciljni. Večina okužb poteka prek zlonamerne elektronske pošte, ki vsebuje priponko ali povezavo, ali pa gre za vdor prek neustrezno zaščitenega oddaljenega dostopa. Z delom od doma se je tako izdatno povečala izpostavljenost obema oblikama napadov.

V primeru napada z izsiljevalsko programsko opremo ste izpostavljeni tveganju prekinitev v poslovanju, izgube občutljivih in dragocenih poslovnih informacij, lahko pa tudi kaznim, če se med temi informacijami nahajajo osebnih podatki, ki jih niste ustrezno zaščitili.

Če veste, kako se odzvati na napad izsiljevalske programske opreme in sprejeti ukrepe za zaustavitev širjenja izsiljevalske programske opreme, lahko to zmanjša škodo za podjetje in poveča verjetnost, da boste lahko nadaljevali s poslovnimi procesi. Pojavlja se več različic izsiljevalske programske opreme, zato je za točno določanje odziva potreben podrobnejši pregled, lahko pa podamo nekaj splošnih korakov, ki lahko prispevajo k uspešnemu ukrepanju v primeru incidenta.

Prvi ukrepi za omejevanje posledic

  • Identificirajte prizadete sisteme.
  • Če je mogoče, prizadete segmente in naprave izključite iz omrežja.
  • Če je mogoče, izključite kritične infrastrukturne sisteme, kot npr. aktivni imenik (AD).
  • Zaustavite privilegirane račune.

Odziv in preiskovanje incidenta

  • Ugotovite različico izsiljevalske programske opreme, da boste lahko uporabili informacije o ustreznem odzivu na napad.
  • Shranite forenzične dokaze iz ključnih prizadetih sistemov.
  • Preprečite nadaljnje delovanje izsiljevalske programske opreme.

Krizno ukrepanje

  • Obvestite vodstvo o incidentu.
  • Aktivirajte načrte odziva na incident.
  • Aktivirajte zunanje ponudnike za odziv na incident.
  • Preverite kritje izgube iz naslova zavarovanja.
  • Če so med podatki osebni podatki, je treba kršitev v roku 72 ur sporočiti nadzornemu organu.
  • Aktivirajte načrte kriznega komuniciranja za zaposlene, stranke in tretje osebe.

Jasno je torej, da morajo podjetja preveriti svoje načrte neprekinjenega poslovanja, okrepiti ukrepe za preprečevanje kibernetskih zlorab in osveščati zaposlene o pojavnih oblikah napadov.

Pogosto se zastavlja tudi vprašanje, ali naj plačamo odkupnino. Opozoriti moramo, da plačilo ne zagotavlja, da vam bo dostop do podatkov resnično omogočen in da podatki ne bodo zlorabljeni za druge namene. Prav tako ste v primeru plačila izpostavljeni tveganju, da boste dodani na seznam organizacij, ki so plačale odkupnino in boste tako postali tarča dodatnih napadov. Vsa tveganja je treba pred odločitvijo o nadaljnjem ukrepanju temeljito pretehtati. Več si lahko preberete v članku Ransomware: to pay or not to pay?

Kako lahko EY pomaga?

 

Preberite več o naših storitvah v spodnji brošuri (na voljo v angleščini)

 

EY Cyber Response Services (PDF)

 

Povzetek

V času covida-19 se je ob vse pogostejšem delu od doma povečalo tudi število kibernetskih napadov. Če veste, kako v tem primeru ravnati, bo vaša organizacija utrpela veliko manjšo škodo.

O članku

Avtor/ica Vitja Gričar

EY Slovenija, Manager, forenzične storitve in storitve skladnosti poslovanja

Ponosen je na uspehe v primerih, nad katerimi so drugi že obupali, in uživa v preiskovanju primerov, ki kot vrh leden gore pod sabo skrivajo obsežnejše kršitve.

Povezane vsebine Forenzične storitve