Jak přežít kyberútok (2.)

Je víc jak důležité zveřejnit, že jsme byli napadeni. Podle směrnice NIS II má proběhnout prvotní hlášení do 24 hodin. Na to Národní úřad pro kybernetickou bezpečnost (dále jen NUKIB) sdělí, zda toto napadení má či nemá významný dopad. Když má, tak se doplňuje hlášení, když ne, povinnost je splněna.

Jde o zásadní rozhodnutí. Budeme či nebudeme s útočníky vyjednávat? Pokud jsme pevně rozhodnuti, že nebudeme a máme dostatečné množství záloh všech dat, je vhodné z bezpečnostních důvodů jen vyměnit pevné disky a můžeme začít znovu instalovat veškeré systémy podle kritérií důležitosti. Ty jsou často lobovány tím, že bez toho systému firma nefunguje a bez rentgenů třeba nemůžeme operovat. Jenže toto si může dovolit rozhodnout soukromá společnost, ale instituce většinou nikoliv už jen z důvodu, že jejich počítačový hardware hodlá zkoumat policie a další složky.

Pokud vyjednávat budeme či jsme pod kontrolou policie, na jakou infrastrukturu budeme znovu nasazovat systémy a kde ji vezmeme? Opravdu málokdo má záložní serverové systémy, disková pole a další síťovou infrastrukturu navíc v trezoru - opět většinou žádáme o pomoc specialisty, kteří si kromě spacáků a jídla přivezou i záložní IT techniku, a to včetně síťových prvků, protože nikdo netuší, zda právě tudy nevedla nejjednodušší cesta pro napadení naší sítě a jestli útočníci nemají přístupová práva zakódována v BIOS SW těchto zařízení (viz problém Huawei). A protože vedení naivně doufá v to, že zaplatí nějakou sumu a útočníci odblokují systémy a vše bude jako dřív, IT oddělení a specialisti ztrácí drahocenný čas k nápravě způsobených škod. Jenže to se většinou stane, ale téměř nikdy v plném rozsahu.

Startujeme novou, i když třeba provizorní síť včetně hardware. A co data? Máme zálohy. Jenže které zálohy použít? Většinou bychom chtěli co nejmladší data (třeba záloha z včerejšího dne), protože přijdeme o nejméně produkčních dat. Jenže jakou máme záruku, že do těchto dat nemá už dávno útočník zakódovaný přístup? Třeba pod dávno zapomenutým zaměstnancem, který již ve společnosti nepůsobí (HR oddělení neinformovalo IT oddělení), ale k jeho přístupům se útočníci dostali a navýšili jeho uživatelská práva na úroveň administrátora a dál vlastně monitorují, co se ve společnosti děje. Toto je opět sázka do loterie s nejistým výsledkem.

Začínáme provizorně fungovat s tím, že najednou zjišťujeme, že zdaleka ne vše bylo opravdu denně (či každou hodinu) zálohováno. A hierarchie, či prostě jen přístup zaměstnanců x vedení zapříčinily to, že některé systémy třeba vypadly ze zálohovacích plánů