Dobre praktyki w zakresie zapobiegania i reagowania na ataki typu ransomware

Komisja Nadzoru Finansowego opublikowała broszurę skierowaną do firm, związaną z cyberbezpieczeństwem, a w szczególności z atakami typu ransomware, które mają na celu zainfekowanie systemu komputerowego, zaszyfrowanie poszczególnych plików z danymi, za których odblokowanie żądany jest okup. Są one zagrożeniami bezpieczeństwa systemów informatycznych, ich stabilności i związanych z nimi danymi, co może doprowadzić do wielu negatywnych skutków, w postaci m.in. strat finansowych, kradzieży wrażliwych informacji,  materializacji ryzyka wizerunkowego, a w konsekwencji do utraty zaufania podmiotów zewnętrznych.

Ofiarą tego typu ataku może być każdy użytkownik sieci – nie tylko podmioty indywidualne, ale również firmy. Zatem czego można spodziewać się ze strony atakujących? Przede wszystkim wykorzystania różnego rodzaju technik tj. phishing, podatne, nieaktualizowane do najnowszych wersje usług, niepoprawnie zabezpieczone dostępy zdalne, które zmierzają do zaszyfrowania danych.

Każdy podmiot rynku finansowego powinien być świadom zagrożeń, jakie wiążą się z atakami ransomware, dlatego KNF postuluje  przeprowadzanie analiz ryzyka właśnie w tym obszarze, z uwzględnieniem wpływu tych ataków na całość infrastruktury teleinformatycznej, a także przygotowywanie odpowiednich rozwiązań minimalizujących to ryzyko. W związku z tym istotny jest proces reagowania na tego typu incydent, który można podzielić na 7 głównych etapów:

• Przygotowanie
• Identyfikacja
• Ograniczanie
• Komunikacja zewnętrzna i raportowanie
• Środki naprawcze
• Odzyskiwanie
• Wnioski

Proces reagowania wiąże się również z wyznaczeniem koordynatora incydentów, który będzie pełnił główną rolę w całym procesie reagowania.

Pierwszy etap kładzie nacisk na zapobiegliwość, gdy do ataku jeszcze nie doszło, jak i na ograniczenie jego skutków, gdy takowy już nastąpił. Działania, które zaleca się podejmować, to przede wszystkim zasięgnięcie informacji na temat osób odpowiedzialnych za reakcję na tego typu ataki, przygotowywanie dokumentacji nie tylko w systemie teleinformatycznym, ale także w wersji papierowej, ustalenie alternatywnych dróg kontaktu i komunikacji, a także wyznaczenie osób mających dostęp do wszelkich urządzeń przetwarzających informacje organizacji. Pamiętać należy również o mitygantach do wdrożenia w organizacji, które powinny być dostosowane do rodzaju taktyk podejmowanych przez atakujących oraz możliwości technicznych firmy, m.in.:

• Stosowanie mechanizmów typu proxy,
• Zabezpieczenie interfejsów zdalnego dostępu,
• Monitorowanie aktywności użytkowników,
• Wdrożenie wielowarstwowych zabezpieczeń,
• Zabezpieczenie kontrolerów domeny, czy
• Zapewnienie bezpiecznych dostępów do kopii zapasowych.

Identyfikacja ma na celu wykrycie i potwierdzenie/zaprzeczenie wystąpienia ataku ransomware. Z tego powodu ważne jest, aby funkcjonowały w organizacji wewnętrzne procedury i instrukcje, które pozwolą na skuteczną i sprawną reakcję, wstępną analizę zdarzenia oraz podjęcie dalszych działań zgodnych z zaistniałym stanem faktycznym. Na uwagę zasługuje również odpowiednie przygotowanie osób odpowiedzialnych za obsługę zdarzenia oraz priorytetowość zgłoszeń tego typu.

Ograniczanie spełnia dwa główne cele – jest reakcją na zaistniałe skutki zdarzenia poprzez ich minimalizację oraz zapobiega dalszemu rozwojowi ataku, przy równoczesnej niezbędności zabezpieczenia wszelkich materiałów potrzebnych do przeprowadzenia bardziej szczegółowych analiz.

Komunikacja zewnętrza i raportowanie wiąże się ze współpracą wszystkich jednostek zaangażowanych w reakcję na atak – tych odpowiedzialnych za komunikację zewnętrzną i wewnętrzną w organizacji, zaangażowanych w obsługę zdarzenia oraz odpowiedzialnych za raportowanie. Rzetelność i weryfikacja wszelkich przekazywanych informacji to podstawa tego etapu, dlatego też zaleca się przygotowanie planu komunikacji zewnętrznej oraz rozważenie powołania sztabu kryzysowego. Etap ten może wiązać się z koniecznością zgłoszenia incydentu do UODO – w przypadku stwierdzenia naruszenia danych osobowych, jak również zgłoszenia zawiadomienia o przestępstwie do odpowiednich organów ścigania.

Analiza incydentu ma dać przede wszystkim odpowiedź na pytanie dotyczące planowanych działań i wykorzystania narzędzi, które doprowadzą do całkowitego usunięcia stwierdzonych zagrożeń, jak również pomogą w naprawie zaistniałych szkód i zapobiegną ich dokonaniu w przyszłości. Jest to również etap zmierzający do wykrycia i ustalenia rzeczywistych przyczyn dokonanego ataku ransomware. Szczegółowa analiza wymaga posiadania wielu informacji, do których można dotrzeć za pomocą procesów umożliwiających chronologiczny zapis wszelkich zdarzeń w całej infrastrukturze teleinformatycznej organizacji, które powinny dać możliwość sprawdzenia tychże informacji do 3 miesięcy przed datą wystąpienia ataku.

Odzyskiwanie i wnioski to dwa końcowe etapy, które zmierzają do nadania systemom i usługom organizacji ponownie prawidłowego funkcjonowania i biegu. Przy odzyskiwaniu podkreśla się konieczność przetestowania i sprawdzenia utworzonych backupów, czy na pewno nie zostały zainfekowane poprzez atak. W ramach wniosków można przeprowadzić dodatkową analizę, która odpowie na pytania związane z poprawnością, sprawnością i rzetelnością procesu reagowania na ataki typu ransomware. Utworzony raport końcowy zaleca się przesłać do właściwego Zespołu Reagowania na Incydenty Bezpieczeństwa Komputerowego (CSIRT).

Ryzyka związane z cyberbezpieczeństwem, w szczególności te wywołane atakami typu ransomware, stają się coraz bardziej powszechne. Zastosowanie wspomnianych wyżej dobrych praktyk przyczyni się przede wszystkim do zwiększenia bezpieczeństwa struktur teleinformatycznych wielu firm, doprowadzi do niepowodzenia zaplanowanego ataku, a jeśli mimo wszystko taki incydent wystąpi – zminimalizuje powstałe skutki. Skutecznie podejmowane działania będą gwarancją prawidłowego funkcjonowania całej organizacji.

Autorzy:

Michał Korszla, adwokat

Agata Kot, asystentka prawna