Radim Kozák ví, co dělat, když zaútočí hacker
koláž Hrot24 / Canva / archiv Radima Kozáka (publikováno se svolením)
Když zaútočí hacker, budete vědět, co dělat?
Představte si, že vám právě přestaly fungovat veškeré firemní systémy. Servery padají, nefungují e-maily ani web a vy se dozvídáte, že firmu ochromil ransomware. Co udělá ředitel firmy jako první? Co udělá vaše právní oddělení a co řeknete rozhořčeným klientům?
Radim Kozák
O tom, jak vážné budou důsledky hackerského útoku, často rozhodují první hodiny a to, jestli vedení zvládne řídit chaos, který v tu chvíli nastane. A zde často selhávají i firmy, které mají velmi silné technologické nástroje a zkušené bezpečnostní experty.
Pokud totiž vedení neví, co má v případě útoku dělat, kdo co komu hlásí, kdo o čem rozhoduje a kdo co říká, vypadá boj s hackerským útokem podobně jako neřízená evakuace při požáru. Zatímco IT hasí požár, management tápe, mlčí nebo ztrácí čas řešením detailů, které měly být dávno vyřešené.
I to je jeden z důvodů, proč evropská směrnice NIS2 výslovně zavádí odpovědnost managementu za kybernetickou odolnost, včetně reakce na incidenty. Legislativa reaguje na to, že většina firemních vedení není na kybernetické hrozby vůbec připravená.
Požární cvičení pro digitální svět
Pokud bychom zůstali u příměru s požárem, vedení firmy je zodpovědné za přijetí vhodných protipožárních opatření, zajištění funkčních hasicích přístrojů či za to, že někdo zpracuje evakuační plán. To samo o sobě ale nestačí.
Je třeba také nacvičit, co dělat, když skutečně začne hořet. Proto by čas od času mělo proběhnout evakuační cvičení. A stejný princip platí také pro případ kybernetického útoku. Ať už jde o nedostupnost služby, únik dat, nebo zašifrování celé firemní sítě.
Pro tyto účely lze využít netechnická table-top cvičení, která simulují konkrétní události a testují reakce vedení a schopnost krizové koordinace napříč celou firmou. Zatímco na digitálně vyspělejších trzích je poměrně běžné, že se tato cvičení pravidelně opakují, v Česku jsou spíše přehlížená.
Řada firem je nevyzkoušela ani jednou. Dobře provedené cvičení přitom může znamenat rozdíl mezi správně zvládnutým incidentem a poškozením pověsti, stejně jako pomoci zachránit miliony korun.
Bez plánu a scénáře není co testovat
Table-top cvičení má smysl jen tehdy, když firma má aspoň základní krizové plány a chce je opravdu otestovat. Simulace ověřuje, jestli klíčoví lidé ve firmě tyto plány znají, zda jsou funkční a kde mají slepá místa. Ve chvíli, kdy si takové cvičení vyzkouší vedení firmy, která žádné plány nemá, výsledkem bude pouze uvědomění, že je skutečně potřebuje.
Jak takové cvičení probíhá? Nejprve je potřeba definovat, co chceme testovat. Například rychlost rozhodování, krizovou komunikaci nebo spolupráci mezi odděleními. Poté se připraví realistický scénář (únik dat, výpadek klíčové služby, ransomware útok apod.) Simulace by měla zahrnout celé širší vedení od ředitele přes právníka až po tiskového mluvčího.
Během incidentu jsou tito lidé pod silným stresem a musejí přitom jednat rychle a být maximálně sehraní. Během hackerského útoku je třeba provést celou řadu rozhodnutí, která mohou firmu stát miliony korun nebo i více.
Jak obnovíme fungování firmy? Co se pokusíme zachránit jako první? Pokud se obnova dat nepodaří, zaplatíme výkupné? A pokud ano, kolik jsme ochotni zaplatit? Pokud ne, co uděláme teď?
Typické chyby: chybí plán, vázne komunikace
Mezi typické nedostatky, která podobná cvičení odhalí, patří nedostatečně zpracovaný plán obnovy dat. IT sice zálohuje data, segmentuje síť a sleduje síťový provoz, má seznam záloh a krizové kontakty. Chybí ale jasný proces a sekvence kroků, včetně doporučení, jak se v konkrétních situacích zachovat.
S tím úzce souvisí fakt, že firmy často nemají jasně stanové, co je pro ně z pohledu byznysové kontinuity opravdu kritické. Co musí běžet za každou cenu a bude se obnovovat jako první.
Dalším slabým místem bývá právě komunikace a koordinace uvnitř firmy i navenek. Simulace tyto nedostatky nejen odhalí, ale umožní je také sepsat a napravit dříve, než půjde o všechno.
Kdo je připraven, není překvapen
Každé cvičení odhalí řadu nedostatků, slepých míst a nedorozumění. Ukáže se, kdo tápe, kdo přebírá odpovědnost a kde chybí návaznost. Také se ukáže, jaké aspekty nejsou vyjasněné a k čemu to může vést. Proto by simulace měla být vnímaná jako bezpečný prostor pro selhání.
Může se ukázat, že někdo zanedbal své povinnosti a že ne vše funguje, jak má. Cvičení je šancí, jak odhalit chyby bez následků a napravit je dříve, než bude pozdě. Jeho výsledkem by měla být sada konkrétních opatření, nikoli hledání viníků.
Ve světě, kde hackerské útoky přicházejí bez varování a během několika hodin můžou vážně poškodit pověst firmy i její podnikání, by table-top cvičení mělo být součástí standardní přípravy většiny firem.
Stejně jako cvičíme evakuaci při požáru, musíme umět cvičit i digitální krizové scénáře. Až přijde hackerský útok, nebude se počítat, co máte napsané v plánu, ale to, jak se zachováte jako tým.
Autor je SOC Security Architect ve společnosti Anect
Máte co říci? Pošlete nám svůj komentář na komentare@hrotmedia.cz
