Вы пострадали от программ-вымогателей, что теперь?
Содержание
Есть ли у вашей компании план реагирования на случай кибератаки? Если ответ отрицательный, последствия могут быть катастрофическими. Сейчас как никогда важно наметить протоколы, чтобы все в организации точно знали, какова их роль в случае атаки.
После появления WannaCry и других атак программ-вымогателей эти угрозы становятся все более разрушительными с течением времени, поскольку хакеры совершенствуют свои стратегии. Кроме того, важно учитывать влияние, которое такие атаки могут оказать на бизнес.
Отчет Malwarebytes за 2017 год показал, что 22% малых и средних предприятий, атакованных программами-вымогателями, были вынуждены прекратить свою деятельность, а 15% в итоге потеряли прибыль. Эти последствия могут быть разрушительными практически для любой компании, но особенно ярко они проявляются в случае малого и среднего бизнеса.
Перед лицом такого потенциального ущерба жизненно важно быть готовым к таким атакам. Вот несколько действенных стратегий, если вам или вашей компании не повезло стать жертвой атаки программ-вымогателей.
Имейте первоначальный план реагирования
Когда происходит инцидент, количество времени, необходимое для реагирования, имеет решающее значение. Чем больше времени требуется компании для ответа, тем выше риск понесенных убытков. Вот почему важно создать план реагирования на инциденты, связанные с программами-вымогателями.
Планирование должно включать критерии для определения того, когда следует заплатить выкуп — если вообще — за разблокировку ваших активов данных, захваченных хакерами. В конце концов, решение платить или нет является бизнес-решением и требует рассмотрения со стороны всех секторов компании. Решение должно обсуждаться и согласовываться коллегиально.
В большинстве случаев группы ИТ и информационной безопасности не привыкли иметь дело с подобными ситуациями, поэтому крайне важно, чтобы все соответствующие группы и участники были готовы к таким инцидентам. Ваша команда должна знать, где будет обсуждаться проблема, в какой сегмент СМИ будет направлена новость и как об атаке будет сообщено клиентам.
Идея состоит в том, чтобы выбрать людей, которые будут частью этой команды, и задать начальное направление, чтобы им не пришлось ждать, пока вы начнете делать первые шаги.
Сохраняйте резервную копию своего плана реагирования
Наличие резервной копии крайне важно. Представьте, что ваш бизнес подвергся атаке, и конкретный компьютер был скомпрометирован. Если план реагирования хранился только в этой одной системе, как вы получите к нему доступ?
Программы- вымогатели могут заблокировать компьютеры, а иногда и сеть, в которой они находятся. Имея это в виду, убедитесь, что ваш план сохранен в безопасном месте и к нему можно получить доступ из разных мест.
Создайте группу реагирования сегодня
Вы уже знаете, кто должен быть на доске обсуждений после атаки программы-вымогателя? Пришло время принять решение. Директора и руководители высшего звена важны, но они также гарантируют присутствие специалистов по связям с общественностью, отдела кадров и глав других отделов.
После того, как вы сформировали свой отряд, проинформируйте их и назначьте личное контактное лицо на случай чрезвычайных ситуаций. Убедитесь, что все в этой команде знают друг друга с их контактной информацией для мгновенного общения в случае необходимости.
Иметь план коммуникации
При подобных атаках обычные способы делового общения компании также могут быть скомпрометированы, поэтому важно иметь альтернативную платформу для безопасного общения с вашей командой. Будь то мобильный телефон или другие устройства, убедитесь, что все имеют доступ и могут общаться друг с другом в случае чрезвычайной ситуации.
Делегируйте обязанности
После атаки возникает множество вопросов на всех уровнях компании от технического отдела до связей с общественностью, и все они требуют предельного профессионализма. Поэтому вы не сможете позаботиться обо всем самостоятельно. Выберите надежного и способного профессионала, который сможет справиться с этим кризисным периодом, а также сможет делегировать задачи.
Решите, как реагировать на атаку
Уплата выкупа может быть самым простым способом получить доступ к скомпрометированным данным, но это не гарантирует, что киберпреступники сдержат свое слово. Всегда существует риск того, что выплата выкупа только поощрит преступников и позволит им разработать еще более изощренные атаки на другие компании в будущем.
Даже если вы планируете заплатить хакеру, чтобы он снова получил доступ к вашим файлам, важно иметь надежный план Б на случай, если что-то пойдет не так. В некоторых случаях предполагается, что даже после оплаты хакеру невозможно получить доступ к файлам, поскольку программа-вымогатель повреждает данные и делает их недоступными. Также важно отметить, что ФБР не рекомендует платить злоумышленникам.
Одно из первых действий после атаки программ-вымогателей — изолировать все затронутые системы, что предотвратит распространение инфекции на другие машины, поскольку большинство программ-вымогателей способны размножаться в сети.
Рассмотрите возможность обновления инфраструктуры
Обновление инфраструктуры, если оно еще не установлено, может стать важным способом защиты компании. Например, облачные системы легко и автоматически обновляются в одном месте, накапливают данные об атаках и вторжениях в режиме реального времени, а также включают внутренние ограничения, которые разделяют программные уровни и препятствуют осуществлению атаки вредоносным программным обеспечением.
Это преимущество по сравнению с системами, использующими компьютеры в помещениях компании.
Злоумышленникам также может стать относительно сложно использовать дыры в облачной архитектуре. Например, в конце апреля 2017 года Google заблокировал фишинговую атаку (попытка использовать электронную почту, чтобы обманом заставить людей отправить компрометирующую информацию). Их успех был во многом благодаря облачным функциям программного обеспечения Gmail, которые позволили быстро идентифицировать и изолировать вредоносные программы-взломщики.
Извлекайте уроки и применяйте их в будущем
Поскольку все больше и больше атак программ-вымогателей становятся достоянием общественности, учитесь на ошибках других и изучайте эти события, чтобы предотвратить их повторение с вами. Постоянно обновляйте свой план реагирования по мере развития угроз, чтобы не застать вас врасплох. Ландшафт угроз постоянно меняется, но вам не обязательно становиться из-за этого жертвой.