Phishing w Twojej firmie – stało się i co dalej?
Phishing w Twojej firmie – stało się i co dalej?
Ogromne straty finansowe, wyciek danych kontrahentów, utrata zaufania kluczowych klientów, a w końcu brak płynności finansowej i bankructwo. Brzmi jak najgorszy koszmar? Niestety, to wcale nie musi być sen. Twoją firmę może spotkać taki scenariusz w przypadku udanego ataku phishingowego. Na dodatek za jeden z najczęstszych skutków takiego ataku, mianowicie wyciek danych osobowych, RODO przewiduje karę finansową do 10 milionów euro lub do 2 procent rocznego obrotu firmy. Zatem czy Twoja firma jest przygotowana na odparcie ataku, a pracownicy wiedzą, jak go rozpoznać i co zrobić w sytuacji, gdy do niego dojdzie?
CO ZROBIĆ, GDY PRACOWNIK ZOSTAŁ ZAATAKOWANY?
“Tylko spokój może nas uratować” – powiedzenie to ma idealne zastosowanie w przypadku ataku phishingowego w firmie. W takiej chwili emocje sięgają zenitu, dlatego najlepiej jest, gdy zaatakowany pracownik postępuje zgodnie z rozsądnym planem.
Ważny jest czas reakcji, więc każda firma powinna być przygotowana na różne ryzyka i na najważniejsze z nich mieć opracowane odpowiednie procedury bezpieczeństwa, które w przypadku ataku będą mówiły co robić krok po kroku. Pracownik, który pada ofiarą cyberprzestępcy, musi wiedzieć, gdzie je odnaleźć i kogo powiadomić.
Osoba odpowiedzialna za obsługę incydentu (np. specjalista IT) zarządza sytuacją. Podejmuje działania zmierzające do zatrzymania rozprzestrzeniania się ataku, stara się zminimalizować jego skutki, zabezpiecza ślady włamania. Stara się przywrócić bezpieczne funkcjonowanie firmy.
Istotne czynności, o których powinien pamiętać specjalista obsługujący incydent:
- Odizoluj system pracownika od zasobów firmowych tak, aby zabezpieczyć pozostałe komputery, serwery i dane w chmurze i rozpocząć dochodzenie. W praktyce oznacza to:
- odłączenie komputera od sieci i domeny,
- przeprowadzenie analizy,
- zabezpieczenie dowodów,
- poddanie urządzenia kwarantannie lub przywrócenie systemu z obrazu głównego.
- Rozłącz wszystkie aktywne sesje tego pracownika.
- Sprawdź, czy zainfekowany system został wykorzystany do przeprowadzenia dalszej części ataku na zewnątrz lub do wewnątrz firmy i podejmij odpowiednie kroki. Obserwuj aktywności zaatakowanego konta.
- W przypadku, gdy jest ryzyko przejęcia hasła pracownika, należy je jak najszybciej zrestartować, zmienić na nowe, unikalne. Jeżeli pracownik w jakimkolwiek miejscu wykorzystywał identyczne hasło, powinien je również zmienić na inne, dedykowane. Na wszystkich kontach z tym hasłem przeanalizuj ostatnie aktywności, najlepiej również w historii logów.
- Zweryfikuj, czy inni pracownicy nie stali się ofiarą tego samego lub podobnego ataku (nie każdy mógł to zauważyć i wykonać zgłoszenie).
- W przypadku poważnego incydentu rozważ, przynajmniej w początkowej fazie, zatrudnienie specjalisty informatyki śledczej z zewnątrz, który jest odizolowany od firmy, pracowników, procesów i spojrzy na sytuację szerzej, bez obciążenia kontekstowego.
- Przeprowadź analizę naruszenia danych i zastosuj środki zaradcze.
- W przypadku incydentu RODO, tj. gdy doszło do naruszenia danych osobowych, oceń skutki, jakie może powodować ujawnienie tych danych z perspektywy osoby lub osób, których dane wyciekły i określ jakie są jej / ich zagrożenia i jakie jest ryzyko naruszenia praw lub wolności w związku z wyciekiem tych danych. Jeśli w Twojej firmie został powołany Inspektor Ochrony Danych lub inny specjalista zajmujący się ochroną danych osobowych, niezwłocznie powiadom go o incydencie.
Jeżeli ryzyko naruszenia praw lub wolności osób, których dane wyciekły jest:
- wysokie
należy zgłosić naruszenie RODO do UODO i zawiadomić użytkowników, których powyższe dotyczy. Masz na to 72 godzin od stwierdzenia naruszenia. - niskie
(np. dane, które przechowujesz nie są istotne w kontekście ryzyka naruszenia praw lub wolności osób, lub np. skradzione zapisy danych były zaszyfrowane i ryzyko ich odszyfrowania jest niewielkie) niezbędne jest powiadomienie UODO, bez konieczności powiadomienia użytkowników.Za brak zgłoszenia naruszenia danych osobowych lub niewywiązanie się z obowiązku poinformowania użytkowników o takim naruszeniu mogą skutkować nałożeniem kary na firmę – do 10 milionów euro, lub 2 procent rocznego obrotu przedsiębiorstwa.
ZAPOBIEGAJ
Phishing jest globalnym i bardzo kosztownym problemem. Przeszło 90 procent (!) ataków hakerskich zaczyna się właśnie od phishingu. Podejrzane wiadomości pojawiają się na firmowych skrzynkach codziennie. Cyberprzestępcom jest prościej zaatakować człowieka niż ominąć zabezpieczenia systemowe. Phishing jest niebezpiecznie skuteczny, ponieważ opiera się na manipulacjach socjotechnicznych, wykorzystujących ludzkie słabości i podatności na manipulację.
Twoi pracownicy w przypadku otrzymania phishingu mogą ochronić firmę przed poważnymi stratami, a nawet bankructwem. Nie ma tutaj znaczenia, jak dużym przedsiębiorstwem zarządzasz. Każda firma jest zmuszona zadbać o kwestie bezpieczeństwa zarówno od strony technologii, jak i od strony kompetencji security awareness zatrudnionych osób. Dotyczy to sytuacji prewencji oraz postępowania w przypadku wystąpienia incydentu.
- Ucz pracowników. Budowanie świadomości dotyczącej cyberzagrożeń to proces, który wymaga czasu i treningu – im szybciej zaczniesz, tym szybciej pracownicy będą w stanie rozpoznać atak i odpowiednio na niego zareagować.
- Działaj strategicznie – buduj kulturę bezpieczeństwa.
- Działaj efektywnie. Najlepsze rezultaty przynoszą zaplanowane, regularne działania. Praktyczne treningi i symulacje ataków prowadzą do wypracowania w pracownikach bezpiecznych nawyków i umiejętność rozpoznania próby ataku na Twoją firmę. Pracownicy chętniej się uczą, jak wiedza jest im podana w atrakcyjny sposób.
- Przypominaj i utrzymuj temat bezpieczeństwa na głównym planie.
- Wymagaj. Dane logowania do systemów, poczty elektronicznej, kont bankowych, numery kart kredytowych są celem hakerów. Nie tylko naucz pracowników ostrożności i dobrych praktyk, wskaż rzeczy, na które powinni zwrócić szczególną uwagę np. tego, że hasła powinny być unikalne i odpowiednio przechowywane np. z wykorzystaniem menadżera haseł, a dostęp do kont powinien być zabezpieczony z wykorzystaniem uwierzytelniania wieloskładnikowego MFA lub 2FA. Wymuś korzystanie z MFA w systemach firmowych. Egzekwuj stosowanie silnych haseł. Ograniczaj dostęp do danych. Gdzie to możliwe, wymuszaj stosowanie procedur bezpieczeństwa przez oprogramowanie.
- Weryfikuj. Sprawdzaj reakcje pracowników na symulowane zagrożenia. Mierz ich podatności i ryzyko całej firmy.
- Motywuj i angażuj. Celem jest zwiększenie bezpieczeństwa pracowników i całej firmy. Mów o zagrożeniach, zachęcaj do dzielenia się wiedzą z najbliższymi i stosowania procedur bezpieczeństwa w życiu prywatnym.
Nie pozostawiaj swoich pracowników samotnie w walce z hakerami, często działającymi w wyspecjalizowanych grupach przestępczych.
Rozważ Praktyczny Trening Antyphishingowy. Wykorzystaj nasze doświadczenia, żeby wzmocnić pracowników w walce z hakerami i sprawdzić lub rozwinąć ich praktyczne umiejętności rozpoznawania phishingów.