• Krzysztof Dziemian

Ransomware - ścieżka postępowania po ataku.

W ostatnim artykule https://www.rodo.pl/post/ransomware-ochrona opisaliśmy czym jest i w jaki sposób zabezpieczać się przed Ransomware.


Dziś praktyczne wytyczne, co robić, jeśli zostaliśmy skutecznie zaatakowani.


Po wykryciu incydentu należy:

1. Odłączyć środowisko z dostępu do Internetu. Należy pamiętać, aby nie wyłączać zaszyfrowanego urządzenia. Pamięć komputera może zawierać informacje niezbędne do analizy incydentu, jak i późniejszego odzyskania zaszyfrowanych danych. Wyłączenie komputerów powinno być wykonane tylko i wyłącznie, gdy niemożliwe jest odłączenie urządzenia od sieci.

2. Powiadomienie Właściciela oraz Inspektora Ochrony Danych.

3. Powołanie koordynatora ds. incydentu.

4. Powołanie zespołu do obsługi naruszenia.

5. Dokładny wywiad.

W przypadku ataku należy gromadzić wszelkie informacje na temat incydentu.

W przypadku zgłoszenia takiego naruszenia organowi nadzorczemu, Prezes UODO w piśmie do administratora może np. wezwać do wskazania:

- w jaki sposób stwierdzono brak naruszenia poufności danych (dane nie zostały pobrane przez osobę nieupoważnioną, a jedynie zaszyfrowane w sposób uniemożliwiający uzyskanie do nich dostępu) ?

- czy i w jakiej formie oprogramowanie szyfrujące poinformowało o konieczności uiszczenia opłaty w celu odzyskania dostępu do danych (wskazując nazwę złośliwego oprogramowania, sposób poinformowania, żądaną kwotę, kanał komunikacji, sposób zapłaty oraz termin) ?

- czy administrator był w posiadaniu kopii zapasowej, a jeśli tak, to w jakim czasie ją przywrócił ?

6. Wykonanie kopii zainfekowanych systemów (jeśli ma zostać wykonany pełen przegląd logów) lub systemu wytypowanego jako pierwsze miejsce włamania.

7. Wykonanie kopii logów z routera.

8. Wstępna analiza problemu.

9. Likwidacja potencjalnego miejsca włamania (np. wolne RDP).

10. Identyfikacja rodzaju ransomware. Weryfikacja na stronach nomoreransom.org oraz id-ransomware.malwarehunterteam.com, czy nie występują tam klucze umożliwiające odszyfrowanie urządzeń.

11. Weryfikacja dostępności i aktualności kopii zapasowych, oszacowanie czasu i zakresu odzysku.

12. Weryfikacja środowiska w zakresie występowania zagrożenia.

13. Zgłoszenie incydentu do CERT Polska pod adresem https://incydent.cert.pl/.

14. Odzysk środowiska z backupu.

15. Pełna analiza na podstawie zachowanych kopii.


Z doświadczenia polecamy również, podjęcie następujących działań dotyczących obsługi samego incydentu:

1. Wyznaczenie osoby do kontaktu z mediami.

2. W przypadku posiadania polisy ubezpieczeniowej – zawiadomienie ubezpieczyciela.

3. Przygotowanie komunikatu na stronę www/social media.

4. Zawiadomienie organów ścigania.

5. Analiza ryzyka dla naruszenia praw i wolności osób fizycznych zgodnie z przyjęta w organizacji metodyką.

6. Przygotowanie zgłoszenia na Urzędu Ochrony Danych Osobowych.

7. Komunikacja do własnych pracowników z wytycznymi jak mają reagować na pytania, gdzie mogą znaleźć dodatkowe informacje etc.

8. Przygotowanie komunikatu w trybie art. 34 RODO do podmiotów danych.

9. Zgłoszenie incydentu do UODO, nie później niż w przeciągu 72h.

10. Monitorowanie stron i serwisów www, w zakresie ujawnienia danych.

11. Monitorowanie darknetu.

12. Bieżąca komunikacja z UODO / organami ścigania.

13. Wprowadzenie działań zapobiegających wystąpieniu incydentu w przyszłości.

Realizacja powyższych kroków, pozwoli profesjonalnie obsłużyć incydent.


Jeśli mają Państwo jakiekolwiek pytania lub uwagi, zapraszamy do kontaktu.


Pozdrawiam,

Zespół rodo.pl


19 wyświetlenia

Ostatnie posty

Zobacz wszystkie