Pět klíčových doporučených opatření pro případ kybernetického útoku
Úspěch kybernetického útoku dramaticky roste s podceňováním hrozeb ze strany managementu a neopatrností uživatelů v organizaci. Podle více než 80 % IT profesionálů dotazovaných společností GFI Software je největším nešvarem uživatelů klikání na odkazy v podezřelých e-mailech a neopatrná manipulace s přihlašovacími údaji.
V dnešním propojeném světě není kybernetická bezpečnost pouze problémem IT, ale představuje zásadní obchodní riziko. Toto riziko se zvyšuje s podceňováním kybernetických hrozeb – hned 90 % IT pracovníků vidí největší rezervy v laxním přístupu managementu firmy k IT bezpečnosti. Druhou zásadní mezerou jsou neproškolení zaměstnanci, kteří klikají na odkazy (81 % odpovědí), nechrání své přihlašovací údaje (80 %), popřípadě ignorují žádosti o instalaci kritických záplat (43 %).
Výsledkem často bývají úspěšné kybernetické útoky, které je potřeba řešit s pomocí reaktivních opatření. Co vše je třeba provést?
1. Rychlá izolace napadených systémů:
Nevypínat hned celou síť, ale identifikovat postižené systémy a inteligentně je segmentovat, aby se zabránilo dalšímu šíření a pokud možno zůstaly zachovány kritické obchodní operace.
2. Obnova hesel:
Vynutit obnovu hesel u všech potenciálně ovlivněných účtů, přičemž prioritu mají pověření na úrovni správce, účty služeb a účty používané pro citlivé systémy. Nasadit vícefaktorovou autentizaci jako robustní vrstvu, kterou mnoho útoků nedokáže obejít, napříč kritickými podnikovými systémy.
3. Vyšetření a vyhodnocení incidentu:
Prověřit a vyhodnotit přístupy k datům s cílem získat přesnou představu o rozsahu škod, kterými mohou být například zašifrování či exfiltrace citlivých dat. Identifikovat, které softwarové zranitelnosti nebo bezpečnostní chyby byly zneužity.
4. Informování a komunikace:
Zajistit odpovědnost a transparentnost. Porušení ochrany osobních údajů může vyvolat potřebu ohlásit incident klientům, partnerům a veřejným institucím vyžadujícím povinné audity a reporty.
5. Obnova systémů:
Důkladně odstranit malware a v případě potřeby obnovit data z čistých záloh vytvořených před útokem. Po dobu několika týdnů po útoku pak zůstat v pohotovosti a sledovat neobvyklé aktivity, podezřelá přihlášení a jakékoli známky přetrvávající hrozby.