Kibernetinė ataka - situacijos simuliacija. Ar susitvarkytumėte geriau?

Ar Jums yra tekę patirti kibernetinių atakų? Kaip saugotumėte savo organizaciją nuo padarytos žalos ir besitęsiančios grėsmės? Ar svarstytumėte apmokėti išpirką, kurios reikalautų nusikaltėliai? Pamodeliuokime galimą scenarijų – ar Jūsų veiksmai sutaptų?

Scenarijus

Didelės gamybos įmonės “UAB Pavyzdžiai” IT skyrius ir kiti darbuotojai gauna fišingo (ang. phishing) laiškus. Vienas iš darbuotojų paspaudžia atsiųstą nuorodą ir yra nukreipiamas į tikroviškai atrodančią paslaugų tiekėjo “UAB Transportas” svetainę. Tačiau iš tiesų nuoroda veda į nusikaltėlių suklastotą ir netikrą svetainę, labai primenančią tikrąją. Joje įsilaužėliai renka įvedamus duomenis. Visa tai įvyko prieš pora mėnesių. Šiandien įmonės gyvenimas verčiasi aukštyn kojomis…

Trečiadienis 08:30

Vytautas Vytis, “UAB Pavyzdžiai” IT administratorius, dieną pradeda tvarkydamas įmonės viešai publikuojamą el. pašto dėžutę, kurioje pilna “šlamšto” tipo el. laiškų. Tačiau vienas jų patraukia akį. “Mes turime ir daugiau tokios informacijos. Netrukus susisieksime ir išdėstysime savo reikalavimus”, - žemiau nurodomas asmens vardas, kreditinės kortelės duomenys ir el. pašto adresas. Vytautas viliasi, kad tai yra apgaulingas laiškas, tačiau rizika atrodo didelė. Jis griebia ragelį ir skambina už kibernetinį saugumą atsakingam kolegai Jonui Jonuoliui. Jonas atsiliepia, tačiau nėra nudžiugintas skambučio – jis atostogauja Kanadoje, kur šiuo metu 3 val. ryto. “Geriau jau būtų svarbu”, - taria jis ir iškart gauna Vytauto persiųstą laišką su grąsinimu. “Ar kortelės duomenys patvirtinti? Ar šis asmuo iš tiesų yra mūsų klientas?” – klausia Jonas Vytautas pripažįsta, kad duomenų nepatvirtino ir nėra tikras, kas yra laiške nurodytas asmuo. “Kada gavome tokį laišką?” – klausia Jonas. "Na.. Panašu, kad jis atkeliavo vakar, kai visi baigė darbus, todėl maždaug 12 valandų jo niekas neskaitė ir neanalizavo.”

Trečiadienis 13:30

Jonas informuoja Vytautą, kad buvo gautas antras laiškas, kuriame reikalaujama iki 22 val. vakaro sumokėti 15 000 EUR vertės kriptovaliutos “Supercoin” vienetų, antraip bus sunaikintą visa “UAB Pavyzdžiai” turima informacija apie įmonės klientus. "Ką? – nustemba Jonas - Juk jie buvo nurodę tik vieną kontaktą!" "Na, jie teigia turintys visus duomenis." Susinervinęs Jonas skambina “UAB Pavyzdžiai” teisininkei Agnei Agnočiūtei prašydamas patarimo. "Panašu, kad į mūsų sistemas buvo įsilaužta, - spėja Agnė - Manau, kad į laišką atsakyti šiuo metu nederėtų. Peržvelgsiu egzistuojančius įstatymus ir teisinę praktiką šiuo klausimu, bet tam man reikės šiek tiek laiko." "Gal skambinti į policiją ir informuoti vadovus? Kaip su BDAR, ką reikėtų informuoti ir kaip reaguoti?" – svarsto Jonas…

Trečiadienis 15:30

Įmonei “UAB Pavyzdžiai” atėjo sudėtingi laikai. Nusikaltėliai publikavo dalį informacijos su vartotojų vardais ir kredito kortelių duomenimis “InfoHub” svetainėje, kurioje įprastai programuotojai viešai dalinamasi tekstu ar kodu. Jonas sutikrino duomenis ir įsitikino, kad jie realūs. "Galbūt mums reikėtų kuriam laikui apriboti prieigą prie svetainės? Taip sumažintumėme rizikas”, - teiraujasi Jonas. Agnė paprieštarauja: "Prieš imdamiesi tokių veiksmų turėtumėm informuoti atsakingus asmenis. Kas numatyta mūsų duomenų saugumo pažeidimo politikoje?” "Man regis į šį klausimą turėtų atsakinėti teisės skyrius," – atšauna Jonas.. "O ar ne tu esi įmonės duomenų apsaugos pareigūnas?" - Agnė teiraujasi Vytauto. "Ne..." "Aš irgi negaliu būti,"- pasvarsto Jonas. "Nesvarbu - jei ribosime prieigą prie svetainės, tik atkreipsime į save dėmesį. Nemanau, kad tai geras sprendimas." "Aš irgi taip manau," – pritaria Agnė. “UAB Pavyzdžiai” viešųjų ryšių atstovė Erika Erikova taip pat įtraukiama į komunikaciją: "Čia jau nieko gero. Klientų duomenų neapsaugojome, o tai mums gali labai skaudžiai atsiliepti," - Erika atkreipia dėmesį, kad šiuo metu įmonė vykdo kampaniją, “pirk vieną ir antrą gauk nemokamai” - "šiuo metu mūsų tikslas ir yra, kad žmonės lankytųsi tinklalapyje ir ten apsipirkinėtų. Ar jų duomenys taip pat vagiami?” "Labai tikėtina," atsako Jonas. "Vis tik reikia svetainę padaryti nebeprieinama. Jei ne visą, tai tuomet didelę jos dalį. Taip pat reikia nuspręsti, ką darysime su išpirkos reikalavimu."

Trečiadienis 17:00

Erika parengė pranešimą spaudai apie susidariusią situaciją, tačiau į viešumą jį planuoja paleisti tik jei kas nors pradės klausinėti, kas vyksta: "Jei prireiks, tiesiog sakysime, kad šiuo metu vyksta incidentas ir į jį reaguojame.” "Ne incidentas, o realus saugumo pažeidimas", - primena Jonas. "Ne, taip kol kas tikrai nesakysime”, - atsako Agnė svarstydama apie galimas teisines pasekmes. Vytautas prisijungia prie diskusijos: "Atradome kenksmingos programinės įrangos pėdsakus. Nustatėme, kad esame gavę karantinuotą el. laišką su priedu – realus variantas, kaip galėjome būti užkrėsti.” "Tikiuosi priedo neatidarei?” – pasiteiravo Jonas. "Na... Man pasirodė, kad išanalizavus viską nustatyti pavyks greičiau..." Jonas keikteli ir nutraukia skambutį siekdamas kuo greičiau iškomunikuoti situaciją kolegoms ir užtikrinti, kad nepadaryta papildomos žalos. Agnė iškelia klausimą dėl “Nežinalandijos duomenų apsaugos inspekcijos”: "Mums reikėtų juos informuoti telefonu arba el. paštu, tačiau turėtumėm nurodyti, kokių veiksmų imamės situacijai suvaldyti." "Na, praėjusiais metais planavome įsigyti automatinę grėsmių aptikimo sistemą, tačiau už tai atsakingas žmogus perėjo į kitą kompaniją, o jo niekas taip ir nepakeitė. Tad galima teigti, kad nelabai ką ir darėme”, - atsakė Vytautas. "To atskleisti tikrai negalime, – atšauna Agnė - jei negalime įrodyti, kad ėmėmės priemonių grėsmėms sumažinti, gali kilti bėdų. Tokiu atveju negautumėm net ir kibernetinio saugumo draudimo išmokų." Į pokalbį po kurio laiko vėl prisijungęs Jonas patvirtino, kad paskutinis siųstas fišingo laiškas buvo skirtas suklaidinti saugumo specialistus, tačiau informavo komandą, kad buvo aptiktas prieš kelis mėnesius gautas laiškas su nuoroda į suklastotą partnerių puslapį, kuriame prašoma įvesti prisijungimo duomenis. Būtent tokiu būdu nusikaltėliai pateko į įmonės sistemas. “Nuo šiol privalome imtis efektyvių saugumo priemonių. Tokių atvejų ateityje tik daugės ir padariniai tik blogės”, - atsiduso Jonas.

Ko turėjo imtis “UAB Pavyzdžiai”?

Tai, kad į situaciją reaguota labai pavėluotai įmonę pstatė į nepalankią poziciją. Tokiose situacijose laikas yra labai svarbus, nes jei sureaguojama per vėlai, įvykių tempą diktuoja nusikaltėliai. Įmonė buvo pažeidžiama, nes nežinojo konkrečių kibernetinio saugumo teisinių nuostatų ir teisinės praktikos. Taip pat įmonėje nebuvo duomenų saugumo pažeidimo politikos ir niekas nežinojo, kaip tinkamai elgtis pagal kuruojamas sritis. Ko imtis patyrus duomenų saugumo pažeidimą? • Nustatykite, kas ir kodėl reikalauja išpirkos; • Nemokėkite išpirkos – nėra garantijos, kad pavogtus duoemnis pavyks atgauti. • Nuo tinklo atjunkite užkrėstus prietaisus; • Įvertinkite, kiek įrenginių paveikta; • Surinkite įkalčius ir gebėkite pademonstruoti kaip situacija buvo suvaldyta; • Naudodamiesi atsarginėmis kopijomis atstatykite prarastus duomenis; • Susisekite su kibernetinio saugumo draudimo tiekėju ir paprašykite pagalbos; • Informuokite klientus, kurių duomenų saugumui kilo pavojus; • Informuokite trečiąsias šalis ir tiekėjus • Parenkite pranešimą vartotojams, kuriame būtų pateikiama informacija, kaip įmonė prisidės atlygindama žalą; • Parenkite duomenų saugumo pažeidimo politiką, kurioje būtų numatyta kokių žingsnių turi būti imamasi pažeidimo atveju; • Nustatykite, kokie darbuotojai skirtinguose skyriuose atsakingi už tinkamus veiksmus duomenų saugumo pažeidimo atveju; • Treniruokitės realiai įgyvendinti duomenų saugumo pažeidimo politikos planą su visais į jį įtrauktais darbuotojais. • Nuolat tobulinkite planą ir pristatykite jį vadovybei.