5. Standard bezpečnosti pro školy

5.12. Reakce na kybernetický útok

I s kvalitně nastavenými bezpečnostními opatřeními je stále třeba počítat s rizikem, že může dojít k bezpečnostnímu incidentu. Je tedy vhodné mít pro tyto situace definované plány a procesy, které umožní co nejrychlejší obnovu a sníží potenciální finanční a materiální škody.

Proces zvládání/řešení kybernetických incidentů je vhodné dekomponovat na prevenci a reakci. Dále jsou uvedeny doporučené aktivity, které je doporučeno vykonat v etapě před a v etapě po zjištění kybernetického útoku na vaši organizaci. Seznam aktivit je koncipován jako seznam, kterého se můžete v případě incidentu držet a umožnit tak efektivnější řešení incidentu.

Před útokem

  • Mějte připraven seznam klíčových lidí z organizace (vedení školy, IT správce, příp. zřizovatel) a stanovte komunikační plán pro případ takového incidentu.
  • Vytvořte plán reakce na kybernetický útok (seznam dílčích kroků a posloupností, které bude administrátor provádět v návaznosti na vybrané, nejvíce pravděpodobné, scénáře). Do plánu reakce a obnovy zakomponujte i systémy nezbytné pro vaši činnost, které jsou pod správou třetí strany (např. cloudové služby, server spravovaný dodavatelem), a to dle uzavřených smluv.
  • Vytvořte havarijní plány (DRP) a otestujte jejich funkčnost.
  • Vytvořte dostatečný rozpočet pro řešení následků incidentů (přesčasy pracovníků, najmutí konzultační firmy, případná potřeba výměny hardware).

Neprodleně po útoku

Tato opatření jsou určena především pro situace, kdy došlo k závažnému incidentu s následkem kompromitace značné časti sítě, nebo k jejímu znepřístupnění (např. zašifrování ransomwarem), a je třeba infrastrukturu (nebo její část) odstavit, aby se zabránilo dalším škodám. Nejedná se o univerzální postup a vždy je třeba zvážit konkrétní situaci a možné dopady.

  • Odpojte zálohovací server od sítě, popř. od elektřiny.
  • Maximálně omezte síťovou komunikaci mezi stroji (např. panic mode na firewallech).
  • Pokud nejste zařízení v síti schopni vypojit na síťové úrovni, odpojte je od zdroje elektrické energie.
  • Odpojte komunikaci do veřejné sítě.
  • Zjistěte rozsah napadení a napadené systémy izolujte, dokumentujte zjištění.
  • Pozastavte virtuální stroje, pokud je to možné, jinak pořiďte snapshot a vypněte je.
  • Kontaktujte manažera kybernetické bezpečnosti, vedení vaší organizace a osoby zodpovědné za dané systémy.
  • Požádejte o logy ze sondy/firewallu/od poskytovatele internetu.

V případě napadení ransomwarem důrazně doporučujeme neplatit výkupné, ani jakkoliv jednat s útočníky bez účasti Policie ČR a dalších orgánů, a to z mnoha důvodů, které se týkají jak ochrany kyberprostoru jako celku, tak ochrany oběti konkrétního útoku:

  • Zaplacení utvrdí útočníka v ziskovosti jeho jednání a motivuje jej k dalším útokům.
  • Neexistuje záruka, že útočník data skutečně odblokuje.
  • Odblokování dat neodstraní samotný ransomware ani další potenciální malware, situace se tak může i přes zaplacení výkupného rychle opakovat.
  • Z právního hlediska může představovat zaplacení výkupného porušení zásad péče řádného hospodáře.

Podrobnější postup určený pro řešení následků ransomware útoku lze nalézt například v metodickém materiálu:

https://www.nukib.cz/download/publikace/navody/Ransomware%20-%20Doporuceni_pro_mitigaci_prevenci_a_reakci.pdf.

Před zahájením obnovy

  • Stanovte postup obnovy jednotlivých částí systému – v návaznosti na zpracované havarijní plány (DRP).
  • Pokud se řešení incidentu na místě účastní více organizací (dodavatelská či konzultační firma, policie), ustanovte si dostupný a bezpečný komunikační kanál. Pokud se aktéři neznají, pro rychlejší a efektivnější komunikaci přímo na místě je doporučeno připravit označení pro každého, kdo se bude účastnit obnovy (např. jednoduše pomocí nalepovacích jmenovek, které obsahují jméno, organizaci, funkci a případně další potřebné informace).
  • Zajistěte dostatečně velkou místnost pro analytiky, dodavatele a další zúčastněné, ideálně vybavenou tabulemi (whiteboard, flip chart).

Postup při obnově dat/sítě

  • Zjistěte stav online a off-line záloh.
  • Zajistěte alternativní internetové připojení.
  • Navrhněte novou architekturu sítě.
  • Definujte segmentaci sítě.
  • Vytvořte čistou VLAN, ve které se začne budovat nová infrastruktura.
  • Proveďte audit administrátorských účtů a reset všech administrátorských hesel v celé infrastruktuře.
  • Připravte čisté administrátorské stanice, kterým můžou administrátoři plně důvěřovat.

Další zdroje informací z oblasti kybernetické bezpečnosti

V případě potřeby zavedení komplexního systému řízení bezpečnosti informací nebo jako zdroj inspirace lze využít vyhlášku č. 82/2018 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (dále jen „VKB“).

Webové stránky NÚKIB mohou rovněž sloužit jako zdroj informací o problematice kybernetické bezpečnosti. Lze je nalézt pod tímto odkazem: https://www.nukib.cz.

NÚKIB dle potřeby vydává další podpůrné materiály, které lze využít v rámci řešení jednotlivých oblastí kybernetické bezpečnosti. Tyto materiály jsou dostupné zde: www.nukib.cz/cs/kyberneticka-bezpecnost/regulace-a-kontrola/. Dalším zdrojem jsou také informace o aktuálních hrozbách, které lze nalézt zde: www.nukib.cz/cs/infoservis/hrozby/, nebo doporučení, která se nacházejí zde: www.nukib.cz/cs/infoservis/doporuceni/.

Při zabezpečování informací a osobních údajů musí být rovněž zohledněno nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a k tomu vydané metodické pokyny MŠMT. Více zde: https://www.msmt.cz/dokumenty-3/gdpr-na-skolach.

AFCEA, Policejní akademie ČR v Praze, 2015, Výkladový slovník Kybernetické bezpečnosti https://www.cybersecurity.cz/data/slovnik_v310.pdf nebo https://www.nukib.cz/download/publikace/podpurne_materialy/vykladovy_slovnik_KB_3_vydani.pdf

NÚKIB, 2020, Minimální bezpečnostní standard, https://nukib.cz/download/publikace/podpurne_materialy/2020-07-17_Minimalni-bezpecnostni-standard_v1.0.pdf

NÚKIB, 2020, Ransomware: Doporučení pro mitigaci, prevenci a reakci, https://nukib.cz/download/publikace/podpurne_materialy/Ransomware%20-%20Doporuceni_pro_mitigaci_prevenci_a_reakci.pdf 

NÚKIB 2020, Bezpečnostní standard pro videokonference v1.0, https://nukib.cz/download/publikace/podpurne_materialy/2020-07-17_Standard-pro-VTC_1.0.pdf  

NÚKIB, 2020, Poskytované služby, https://nukib.cz/cs/kyberneticka-bezpecnost/vladni-cert/poskytovane-sluzby/

NÚKIB, 2020, Analýza hrozby ransomware, https://nukib.cz/download/publikace/analyzy/Analyza_hrozby_ransomware.pdf

NÚKIB, 2020, Spear-phishing a jak se před ním chránit, https://nukib.cz/cs/infoservis/doporuceni/1514-spear-phishing-a-jak-se-pred-nim-chranit/

NÚKIB, 2019, Bezpečnostní doporučení NÚKIB pro administrátory 4.0, https://www.nukib.cz/download/publikace/vzdelavani/Admin%204.0%20brozura.pdf