top of page

Ransomware - ścieżka postępowania po ataku.

W ostatnim artykule https://www.rodo.pl/post/ransomware-ochrona opisaliśmy czym jest i w jaki sposób zabezpieczać się przed Ransomware.


Dziś praktyczne wytyczne, co robić, jeśli zostaliśmy skutecznie zaatakowani.


Po wykryciu incydentu należy:

1. Odłączyć środowisko z dostępu do Internetu. Należy pamiętać, aby nie wyłączać zaszyfrowanego urządzenia. Pamięć komputera może zawierać informacje niezbędne do analizy incydentu, jak i późniejszego odzyskania zaszyfrowanych danych. Wyłączenie komputerów powinno być wykonane tylko i wyłącznie, gdy niemożliwe jest odłączenie urządzenia od sieci.

2. Powiadomienie Właściciela oraz Inspektora Ochrony Danych.

3. Powołanie koordynatora ds. incydentu.

4. Powołanie zespołu do obsługi naruszenia.

5. Dokładny wywiad.

W przypadku ataku należy gromadzić wszelkie informacje na temat incydentu.

W przypadku zgłoszenia takiego naruszenia organowi nadzorczemu, Prezes UODO w piśmie do administratora może np. wezwać do wskazania:

- w jaki sposób stwierdzono brak naruszenia poufności danych (dane nie zostały pobrane przez osobę nieupoważnioną, a jedynie zaszyfrowane w sposób uniemożliwiający uzyskanie do nich dostępu) ?

- czy i w jakiej formie oprogramowanie szyfrujące poinformowało o konieczności uiszczenia opłaty w celu odzyskania dostępu do danych (wskazując nazwę złośliwego oprogramowania, sposób poinformowania, żądaną kwotę, kanał komunikacji, sposób zapłaty oraz termin) ?

- czy administrator był w posiadaniu kopii zapasowej, a jeśli tak, to w jakim czasie ją przywrócił ?

6. Wykonanie kopii zainfekowanych systemów (jeśli ma zostać wykonany pełen przegląd logów) lub systemu wytypowanego jako pierwsze miejsce włamania.

7. Wykonanie kopii logów z routera.

8. Wstępna analiza problemu.

9. Likwidacja potencjalnego miejsca włamania (np. wolne RDP).

10. Identyfikacja rodzaju ransomware. Weryfikacja na stronach nomoreransom.org oraz id-ransomware.malwarehunterteam.com, czy nie występują tam klucze umożliwiające odszyfrowanie urządzeń.

11. Weryfikacja dostępności i aktualności kopii zapasowych, oszacowanie czasu i zakresu odzysku.

12. Weryfikacja środowiska w zakresie występowania zagrożenia.

13. Zgłoszenie incydentu do CERT Polska pod adresem https://incydent.cert.pl/.

14. Odzysk środowiska z backupu.

15. Pełna analiza na podstawie zachowanych kopii.


Z doświadczenia polecamy również, podjęcie następujących działań dotyczących obsługi samego incydentu:

1. Wyznaczenie osoby do kontaktu z mediami.

2. W przypadku posiadania polisy ubezpieczeniowej – zawiadomienie ubezpieczyciela.

3. Przygotowanie komunikatu na stronę www/social media.

4. Zawiadomienie organów ścigania.

5. Analiza ryzyka dla naruszenia praw i wolności osób fizycznych zgodnie z przyjęta w organizacji metodyką.

6. Przygotowanie zgłoszenia na Urzędu Ochrony Danych Osobowych.

7. Komunikacja do własnych pracowników z wytycznymi jak mają reagować na pytania, gdzie mogą znaleźć dodatkowe informacje etc.

8. Przygotowanie komunikatu w trybie art. 34 RODO do podmiotów danych.

9. Zgłoszenie incydentu do UODO, nie później niż w przeciągu 72h.

10. Monitorowanie stron i serwisów www, w zakresie ujawnienia danych.

11. Monitorowanie darknetu.

12. Bieżąca komunikacja z UODO / organami ścigania.

13. Wprowadzenie działań zapobiegających wystąpieniu incydentu w przyszłości.

Realizacja powyższych kroków, pozwoli profesjonalnie obsłużyć incydent.


Jeśli mają Państwo jakiekolwiek pytania lub uwagi, zapraszamy do kontaktu.


Pozdrawiam,

Zespół rodo.pl


268 wyświetleń0 komentarzy

Ostatnie posty

Zobacz wszystkie

Comments


bottom of page