Reakce na incidenty
- 1/10
- 2/10
- 3/10
- 4/10
- 5/10
- 6/10
- 7/10
- 8/10
- 9/10
- 10/10
4 min
Správná a předem připravená reakce na kyberbezpečností incident má přímý vliv na výši škod a dobu, za kterou dojde k obnově činnosti. Proces reakce na incident zahrnuje včasnou detekci, rychlou izolaci problému, analýzu příčiny a následné nápravné kroky. Abychom dokázali čelit incidentům správným způsobem, musíme mít kromě vypracovaného Plánu reakce na incidenty i adekvátně proškolený tým, který se do reakce zapojí.
Plán by měl popisovat, jak postupovat při různých typech kybernetických útoků, kdo co komu kdy hlásí, kdo je za co odpovědný (či zda se odpovědnost výjimečně přesouvá). Měli bychom mít připravený i postup, jak o celé věci budeme komunikovat s veřejností a partnery.
V roce 2023 byla organizace, kterou nemůžeme jmenovat, napadena ransomwarem. Útočníci pronikli do interní sítě prostřednictvím phishingové e-mailové zprávy, která oklamala jednoho ze zaměstnanců. Do systému se dostali útočníci, zašifrovali veškerá data a požadovali výkupné v Bitcoinech.
Organizace neměla správně nastavený plán reakce na incidenty a nebyla připravena na tuto konkrétní situaci. V důsledku toho došlo k panice a systémy organizace byly na několik dní zcela nedostupné. Než se organizaci podařilo získat pomoc od externě najatých odborníků*ic, ztratila důvěru několika důležitých partnerských subjektů. Poškozená data byla sice nakonec obnovena ze záloh, ale ztráta reputace byla značná.
Zpracujte Plán reakce na incidenty. Může vám pomoci využití těchto kroků:
- Detekce a oznámení incidentu: Rychlá identifikace problému je klíčová. Každý zaměstnanec*kyně by měli být vyškoleni, jak rozpoznat podezřelou aktivitu a komu ji okamžitě nahlásit.
- Izolace: Po detekci kybernetického útoku je nutné rychle izolovat postižené systémy, aby se hrozba dále nešířila. Například v případě ransomware je třeba odpojit infikované počítače od sítě.
- Analýza: Určení příčiny a rozsahu útoku je nezbytné. Najatí*é odborníci*ce na kyberbezpečnost vám mohou pomoci analyzovat, jaký typ malwaru byl použit, odkud přišel útok a jaká data a zařízení byla kompromitována.
- Nápravná opatření a obnova: Po identifikaci a izolaci útoku je třeba obnovit normální chod organizace. To zahrnuje obnovu dat ze záloh, odstranění malwaru, aktualizaci bezpečnostních systémů a novou analýzu rizik a pravděpodobně zavedení nových opatření.
- Komunikace: Včasná informovanost o aktuálním stavu a přijatých opatřeních (jak směrem dovnitř organizace, tak i směrem k veřejnosti, dárcům*kyním a partnerským subjektům) pomáhá udržet důvěru a podporu.
- Participace, vzdělávání a trénink: Všichni v organizaci, kterých by se to mohlo týkat, musí být seznámeni s Plánem reakce na incidenty. Ideální je, pokud mají možnost podílet se na jeho vzniku. Sebedůvěře týmu prospěje, pokud bude všem tématům v plánu dobře rozumět a pokud si bude moci vyzkoušet postup podle plánu nanečisto.
Souhrn kapitoly
- Incidenty je třeba rychle identifikovat, izolovat a analyzovat.
- Připravený Plán reakce na incidenty určuje odpovědnosti a postupy při útoku a pomůže zabránit panice.
- Správná komunikace s partnerskými subjekty a veřejností je klíčová pro zachování důvěry.
- Obnova musí být systematická, ne nahodilá, včetně obnovy dat a posílení zabezpečení proti budoucím útokům.
- Nezanedbejte práci s týmem, aby se s Plánem reakce na incidenty jeho členové*ky neseznamovali až během probíhajícího incidentu.
- Ransomware: Typ malwaru, který zašifruje data a požaduje výkupné za jejich obnovení.
- Incident response plan (plán reakce na incidenty): Dokument, který obsahuje přesné postupy, jak organizace reaguje na kybernetický útok nebo narušení.
- Izolace: Proces odpojení napadených systémů, aby se zamezilo dalšímu šíření útoku.
- Zálohování: Kopírování dat, které umožňuje obnovu po ztrátě nebo útoku.