W ostatnim artykule https://www.rodo.pl/post/ransomware-ochrona opisaliśmy czym jest i w jaki sposób zabezpieczać się przed Ransomware.
Dziś praktyczne wytyczne, co robić, jeśli zostaliśmy skutecznie zaatakowani.
Po wykryciu incydentu należy:
1. Odłączyć środowisko z dostępu do Internetu. Należy pamiętać, aby nie wyłączać zaszyfrowanego urządzenia. Pamięć komputera może zawierać informacje niezbędne do analizy incydentu, jak i późniejszego odzyskania zaszyfrowanych danych. Wyłączenie komputerów powinno być wykonane tylko i wyłącznie, gdy niemożliwe jest odłączenie urządzenia od sieci.
2. Powiadomienie Właściciela oraz Inspektora Ochrony Danych.
3. Powołanie koordynatora ds. incydentu.
4. Powołanie zespołu do obsługi naruszenia.
5. Dokładny wywiad.
W przypadku ataku należy gromadzić wszelkie informacje na temat incydentu.
W przypadku zgłoszenia takiego naruszenia organowi nadzorczemu, Prezes UODO w piśmie do administratora może np. wezwać do wskazania:
- w jaki sposób stwierdzono brak naruszenia poufności danych (dane nie zostały pobrane przez osobę nieupoważnioną, a jedynie zaszyfrowane w sposób uniemożliwiający uzyskanie do nich dostępu) ?
- czy i w jakiej formie oprogramowanie szyfrujące poinformowało o konieczności uiszczenia opłaty w celu odzyskania dostępu do danych (wskazując nazwę złośliwego oprogramowania, sposób poinformowania, żądaną kwotę, kanał komunikacji, sposób zapłaty oraz termin) ?
- czy administrator był w posiadaniu kopii zapasowej, a jeśli tak, to w jakim czasie ją przywrócił ?
6. Wykonanie kopii zainfekowanych systemów (jeśli ma zostać wykonany pełen przegląd logów) lub systemu wytypowanego jako pierwsze miejsce włamania.
7. Wykonanie kopii logów z routera.
8. Wstępna analiza problemu.
9. Likwidacja potencjalnego miejsca włamania (np. wolne RDP).
10. Identyfikacja rodzaju ransomware. Weryfikacja na stronach nomoreransom.org oraz id-ransomware.malwarehunterteam.com, czy nie występują tam klucze umożliwiające odszyfrowanie urządzeń.
11. Weryfikacja dostępności i aktualności kopii zapasowych, oszacowanie czasu i zakresu odzysku.
12. Weryfikacja środowiska w zakresie występowania zagrożenia.
13. Zgłoszenie incydentu do CERT Polska pod adresem https://incydent.cert.pl/.
14. Odzysk środowiska z backupu.
15. Pełna analiza na podstawie zachowanych kopii.
Z doświadczenia polecamy również, podjęcie następujących działań dotyczących obsługi samego incydentu:
1. Wyznaczenie osoby do kontaktu z mediami.
2. W przypadku posiadania polisy ubezpieczeniowej – zawiadomienie ubezpieczyciela.
3. Przygotowanie komunikatu na stronę www/social media.
4. Zawiadomienie organów ścigania.
5. Analiza ryzyka dla naruszenia praw i wolności osób fizycznych zgodnie z przyjęta w organizacji metodyką.
6. Przygotowanie zgłoszenia na Urzędu Ochrony Danych Osobowych.
7. Komunikacja do własnych pracowników z wytycznymi jak mają reagować na pytania, gdzie mogą znaleźć dodatkowe informacje etc.
8. Przygotowanie komunikatu w trybie art. 34 RODO do podmiotów danych.
9. Zgłoszenie incydentu do UODO, nie później niż w przeciągu 72h.
10. Monitorowanie stron i serwisów www, w zakresie ujawnienia danych.
11. Monitorowanie darknetu.
12. Bieżąca komunikacja z UODO / organami ścigania.
13. Wprowadzenie działań zapobiegających wystąpieniu incydentu w przyszłości.
Realizacja powyższych kroków, pozwoli profesjonalnie obsłużyć incydent.
Jeśli mają Państwo jakiekolwiek pytania lub uwagi, zapraszamy do kontaktu.
Pozdrawiam,
Zespół rodo.pl