Jak postupovat v případě kybernetických útoků: praktické rady pro řešení i nejčastější chyby, kterých se vyvarovat

Žijeme v době, v níž jsou kybernetické útoky nejen hrozbou, ale stávají se neodmyslitelnou součástí našeho digitálního světa. Firmy a instituce všech velikostí i segmentů jsou vystavovány neustálému riziku stále sofistikovanějších kybernetických hrozeb.

Česko si v souvislosti s počtem a závažností kyberútoků i odolností vůči kyberzločinu nevede v evropském i celosvětovém srovnání vůbec dobře. Kromě firem patří k nejčastějším obětem kyberútoků u nás také státní instituce (ministerstva), zdravotnická zařízení, včetně velkých nemocnic, nebo univerzity. A tak je jen otázkou času, kdy se s některou formou kybernetického incidentu setká i vaše společnost.

Efektivní řešení kybernetické bezpečnost je důležité na každé úrovni a odpovídající opatření pro zajištění ochrany citlivých dat i pro zachování provozu klíčových služeb jsou nezbytná. Zlepšit situaci by měla i nová evropská směrnice o kybernetické bezpečnosti NIS2 i chystaný ZoKB.

Jaké dopady mohou mít kybernetické útoky na vaši firmu? Jak se zachovat a co naopak rozhodně nedělat v případě, že se vaše organizace stala obětí závažného kybernetického útoku? To vám v následujících řádcích přiblíží Vladimíra Tesková, spoluzakladatelka a COO české technologické firmy TeskaLabs.

Jaké mohou mít kybernetické útoky dopady na vaši firmu nebo organizaci?

Kybernetické útoky mohou mít pro firmy různé následky a dopady. K největším rizikům patří ztráta citlivých a důvěrných dat (odcizení, zničení, pozměnění dat, krádež identity), finanční ztráty (zaplacení výkupného, náklady na obnovu a opravu systémů, ztráta příjmů v důsledku výpadku systémů, pokuty za porušení regulací), poškození pověsti (ztráta důvěry nebo odchod zákazníků, partnerů a investorů), právní důsledky (pokuty a soudní spory v případě úniku osobních a jiných citlivých dat), narušení obchodní činnosti (výpadky provozu, výroby, zpoždění dodávek, ztráta produktivity), ztráta konkurenční výhody či trvalé nebo dlouhodobé škody na IT infrastruktuře.

Jak byste měli postupovat v případě kybernetického útoku?

Pokud už k nějaké formě kyberútoku dojde, je vhodné dodržovat následující doporučení, která mohou pomoci minimalizovat ztráty a vyrovnat se s případnými škodami co nejlépe.

Zachovejte chladnou hlavu a reagujte okamžitě

Vím, že se to snadno říká, ale je to opravdu nutné. Jakmile je útok detekován, zvolte proaktivní přístup a okamžitě aktivujte připravený incidentní plán pro kybernetickou bezpečnost. Tento by měl obsahovat konkrétní kroky k izolaci postižených systémů,

minimalizaci škod a obnově služeb. Pokud takový plán nemáte, okamžitě kontaktujte odborníky na kybernetickou bezpečnost. Určete také odpovědnou osobu, která bude mít na starosti koordinaci veškerých kroků.

Izolujte postižené systémy

Odpojte napadené systémy od sítě, aby se minimalizovala možnost šíření útoku. Tím můžete zabránit dalšímu poškození dat a omezení ztráty citlivých informací.

Kontaktujte odborníky na kybernetickou bezpečnost

Jedním z prvních kroků by mělo být angažování odborníků na kybernetickou bezpečnost, kteří mohou vyhodnotit rozsah škody a pomoci při zajištění sítě proti dalším útokům. Současně mohou pracovat na zjištění, jak byla vaše síť napadena, a mohou poskytnout důkazy pro budoucí vyšetřování.

Oznamte incident a komunikujte

Příslušné zákony a regulace určují, zda je třeba ohlásit kybernetický incident dohledovým orgánům nebo regulačním institucím. O útoku je třeba informovat jak interní týmy, tak klíčové externí partnery. Transparentní a pravidelná komunikace může zabránit šíření dezinformací, zachovat důvěru ve vaši firmu a snížit potenciální následné škody.

Zajistěte důkazy a spolupracujte při vyšetřování

Zajistěte pečlivě veškeré podrobnosti a důkazy související s útokem, které by mohly pomoci při vyšetřování. Tyto informace mohou být nesmírně užitečné pro vyšetřování a prevenci budoucích incidentů.

Organizace zasažená kybernetickým útokem by měla těsně spolupracovat s odborníky na kybernetickou bezpečnost a orgány činnými v trestním řízení, aby mohli útok důkladně vyšetřit a identifikovat pachatele..

Obnovte svou IT strukturu a proveďte co nejdříve revizi opatření

Po incidentu je nezbytné systémy bezpečně obnovit a přijmout opatření proti budoucím útokům. To zahrnuje analýzu incidentu, identifikaci slabých míst, která útočník využil, a implementaci doporučení pro zvýšení bezpečnosti.

Poučte se z incidentu

Proveďte důkladnou analýzu incidentu a použijte získané poznatky k prevenci budoucích útoků. Poučte se z chyb a implementujte opatření, která minimalizují rizika kybernetických hrozeb.

A co byste rozhodně dělat neměli?

Zanedbávat prevenci

Preventivní opatření jsou nejlepší obranou proti kybernetickým útokům. Firmy by neměly podceňovat důležitost vypracování plánu pro kybernetickou bezpečnost a pravidelných školení zaměstnanců, která jim umožní rozpoznat potenciální hrozby.

Zamlčovat incident

Transparentnost je v této situaci klíčová. Firmy by měly okamžitě informovat všechny dotčené strany, včetně zákazníků, zaměstnanců a regulátorů, o jakémkoliv útoku a o krocích, které se podnikají k řešení situace.

Jednat bez odborníků

Řešení kybernetického útoku vyžaduje specifické dovednosti a zkušenosti. Bez asistence expertů na kybernetickou bezpečnost by firma mohla nechtěně zhoršit situaci nebo prodloužit dobu obnovy systémů.

Mazat stopy

Nezasahujte do napadených systémů, aniž byste měli zpětnou vazbu od odborníků na kybernetickou bezpečnost. Mazání stop může zničit důkazy a znemožnit úspěšné vyšetřování.

Šířit spekulace

Vyhněte se šíření nepodložených informací a spekulací o pachatelích nebo důvodech útoku. Držte se ověřených faktů a postupujte v souladu s doporučeními odborníků.

Ignorovat další možné zranitelnosti

Při vyšetřování útoku nezapomeňte zkontrolovat i ostatní aspekty bezpečnosti vašich systémů. Mohou se totiž objevit další zranitelné body, které by mohly být využity v budoucích útocích.

Platit výkupné

Nedoporučujeme ani platit výkupné hackerům. Kromě podpory nelegální aktivity s předpokladem stupňujících se požadavků se vystavujete i dalším rizikům. Ani po případném zaplacení kyberzločincům nemáte totiž žádnou jistotu, že vše půjde podle plánu. Tím nejprozaičtějším důvodem je to, že útočník sice umí data zašifrovat, ale s jejich dešifrováním může mít problém. Vrácená data navíc mohou být pozměněna, mohou obsahovat skrytý malware a zločinci se skrze ně můžou stále pohybovat ve vašich IT systémech.

Je dobré si uvědomit, že získání dat zpět je jen jedna část řešení problému. Je také třeba zjistit, jak k útoku došlo, a podniknout kroky k tomu, aby se to znovu nestalo.