Čo robiť ak mi dodávateľ oznámil, že bol zasiahnutý ransomvérom

V rámci série „SK-CERT odporúča“ Vám prinášame odporúčanie, čo robiť, keď váš dodávateľ mohol byť napadnutý ransomvérom, kedy mu mohli uniknúť dáta alebo mohol byť zasiahnutý iným typom kybernetického incidentu.

  • Poskytuje vám tento dodávateľ IT služby?
  • Poskytuje vám tento dodávateľ nejaké externé služby (nie len IT služby)?
  • Mohol tento dodávateľ disponovať vašimi citlivými informáciami (vrátane osobných údajov)?
  • Má tento dodávateľ akýkoľvek vzdialený prístup do vašej infraštruktúry?
  • Má tento dodávateľ akýkoľvek prístup do vašich systémov napríklad v rámci poskytovania prevádzkovej podpory?
  • Poskytol vám v minulosti tento dodávateľ prihlasovacie údaje do ľubovoľnej služby?
  • Zdieľate s týmto dodávateľom prístup do ľubovoľnej služby?
  • Dodal vám v minulosti tento dodávateľ produkt, ktorý on sám konfiguroval? (server, aplikácia, wifi zariadenia, iné)
  • Máte s týmto dodávateľom platný zmluvný vzťah?
  • Vediete s týmto dodávateľom obchodnú korešpondenciu alebo otvorenú komunikáciu?

Ak ste aspoň na jednu z týchto otázok odpovedali áno, tak máte problém. Národné centrum kybernetickej bezpečnosti SK-CERT vám odporúča podniknúť nasledujúce kroky:

  • nahláste túto situáciu Národnému centru kybernetickej bezpečnosti SK-CERT,

a:

  • zablokujte alebo zmeňte všetky prístupové heslá, umožnujúce vzdialený prístup priamo alebo prostredníctvom VPN, ktoré ste pridelili dodávateľovi,
  • Zistite u dodávateľa, kedy presne k úniku dát prišlo (nie kedy boli dáta zašifrované, ale kedy došlo k úniku dát, čo mohlo byť aj týždne pred zašifrovaním),
  • preverte realizované VPN a iné prístupy od dodávateľa od úniku dát (alebo za posledných veľa mesiacov, ak nemáte konkrétny dátum úniku) a overte, či za týmto prístupmi bol naozaj dodávateľ,
  • identifikujte všetky používateľské účty, ktoré ste dodávateľovi odovzdali alebo ku ktorým vám naopak zasielal heslá dodávateľ, a účty zablokujte (operačný systém, webové aplikácie, technické a administrátorské účty),
  • v prípade, že sa podobné heslá používali aj inde, zmeňte aj tieto prístupové údaje,
  • zvýšte pozornosť pri monitoringu so zameraním sa na neštandardné a neočakávané aktivity, monitoring vzdialených prístupov do vašej siete a sieťové aktivity,
  • venujte zvýšenú pozornosť e-mailovej a inej komunikácii ktorá sa tvári, že je od dodávateľa, aj keď sa odkazuje na platné zmluvy či fakty, pôvodne známe iba vám a dodávateľovi a vždy overujte jej autenticitu, predovšetkým ak obsahuje prílohy, vyžaduje zaslanie údajov alebo kliknutie na link,
  • komunikujte s dodávateľom počas riešenia jeho incidentu aby ste mali dostatočný prehľad, ako dodávateľ incident rieši a aké môže mať reálne dopady na vašu činnosť,
  • preverte svoju zálohovaciu politiku, overte platnosť záloh a uistite sa, že disponujete aspoň jednou aktuálnou offline zálohou. Zálohovací systém by mal byť heslami aj technologicky nezávislý od zvyšku vašej infraštruktúry,
  • preverte a zvýšte aktuálne zabezpečenie svojej siete, najmä perimeter: aké služby sú prístupné na mojom adresnom rozsahu? Sú všetky aktuálne dostupné služby potrebné?  Sú aktualizované? Sú nasadené prvky, umožňujúce detekciu a prevenciu útokov? Existuje inšpekcia odchádzajúcej komunikácie?
  • do plánov kontinuity činností zahrňte scenáre a postupy, ktoré budú použiteľné na takéto typy situácií.

« Späť na zoznam