Blog

Phishing w Twojej firmie – stało się i co dalej?

Wiedza

Phishing w Twojej firmie – stało się i co dalej?

Ogromne straty finansowe, wyciek danych kontrahentów, utrata zaufania kluczowych klientów, a w końcu brak płynności finansowej i bankructwo. Brzmi jak najgorszy koszmar? Niestety, to wcale nie musi być sen. Twoją firmę może spotkać taki scenariusz w przypadku udanego ataku phishingowego. Na dodatek za jeden z najczęstszych skutków takiego ataku, mianowicie wyciek danych osobowych, RODO przewiduje karę finansową do 10 milionów euro lub do 2 procent rocznego obrotu firmy. Zatem czy Twoja firma jest przygotowana na odparcie ataku, a pracownicy wiedzą, jak go rozpoznać i co zrobić w sytuacji, gdy do niego dojdzie?

CO ZROBIĆ, GDY PRACOWNIK ZOSTAŁ ZAATAKOWANY?

“Tylko spokój może nas uratować” – powiedzenie to ma idealne zastosowanie w przypadku ataku phishingowego w firmie. Emocje nie są dobrym doradcą, dlatego należy zadbać, by w takiej sytuacji skutecznie je opanować. Pomaga w tym przygotowanie firmy na taką ewentualność. Gdy są opracowane odpowiednie procedury bezpieczeństwa, które w przypadku ataku wskażą algorytm postępowania, pracownik, który padł ofiarą cyberprzestępcy, wie, jak zareagować, kogo powiadomić oraz jest świadomy, że ważny jest szybki czas reakcji.
Osoba odpowiedzialna za obsługę incydentu (np. specjalista IT) zarządza sytuacją, rzetelnie wykonuje swoją pracę, zmierzającą do zminimalizowania ewentualnych skutków i przywrócenia bezpieczeństwa firmy oraz służy fachową radą.

Istotne czynności, o których powinien pamiętać specjalista obsługujący incydent:

  • Należy odizolować system pracownika od zasobów firmowych tak, aby zabezpieczyć pozostałe firmowe zasoby i rozpocząć dochodzenie. W praktyce należy odłączyć komputer od sieci i domeny, przeprowadzić jego analizę i zabezpieczyć dowody, poddać go kwarantannie lub przywrócić system z obrazu głównego.
  • Rekomendujemy rozłączenie wszystkich aktywnych sesji tego pracownika.
  • Niezbędne jest sprawdzenie, czy zainfekowany system został wykorzystany do przeprowadzenia dalszej części ataku na zewnątrz lub do wewnątrz firmy i podjęcie odpowiednich kroków. Należy obserwować aktywności zaatakowanego konta.
  • W przypadku, gdy mogło zostać utracone hasło pracownika, należy je jak najszybciej zrestartować, zmienić na nowe, unikalne. Jeżeli pracownik w jakimkolwiek miejscu wykorzystywał to samo hasło, powinien je również zmienić na inne, niepowtarzające się.
  • Dobrym zwyczajem jest włączenie MFA lub 2FA – uwierzytelniania wieloskładnikowego.
  • Konieczna jest weryfikacja, czy inni pracownicy nie stali się ofiarą podobnego ataku (nie każdy mógł to zauważyć i wykonać zgłoszenie).
  • W przypadku poważnego incydentu warto rozważyć, przynajmniej w początkowej fazie, zatrudnienie specjalisty informatyki śledczej z zewnątrz, który jest odizolowany od firmy, pracowników, procesów i spojrzy na sytuację szerzej, bez obciążenia kontekstowego.
  • Należy przeprowadzić analizę naruszenia danych i zastosować środki zaradcze.
  • W przypadku incydentu RODO, tj. gdy doszło do naruszenia danych osobowych, należy ocenić skutki, jakie może powodować ujawnienie tych danych z perspektywy osoby lub osób, których dane wyciekły i określić jakie są jej / ich zagrożenia i jakie jest ryzyko naruszenia praw lub wolności w związku z wyciekiem tych danych.

Jeżeli ryzyko naruszenia praw lub wolności osób, których dane wyciekły jest:

  • wysokie
    należy zgłosić naruszenie RODO do UODO i zawiadomić użytkowników, których powyższe dotyczy. Masz na to 72 godzin od stwierdzenia naruszenia.
  • niskie
    (np. dane, które przechowujesz nie są istotne w kontekście ryzyka naruszenia praw lub wolności osób, lub np. skradzione zapisy danych były zaszyfrowane i ryzyko ich odszyfrowania jest niewielkie) niezbędne jest powiadomienie UODO, bez konieczności powiadomienia użytkowników. Za brak zgłoszenia naruszenia danych osobowych lub niewywiązanie się z obowiązku poinformowania użytkowników o takim naruszeniu mogą skutkować nałożeniem kary na firmę do 10 milionów euro, lub 2 procent rocznego obrotu przedsiębiorstwa.

Brak zgłoszenia naruszenia danych osobowych lub niewywiązanie się z obowiązku poinformowania użytkowników o takim naruszeniu mogą skutkować nałożeniem kary na firmę do 10 milionów euro, lub 2 procent rocznego obrotu przedsiębiorstwa.

ZAPOBIEGAJ

Phishing jest globalnym i bardzo kosztownym problemem. Przeszło 90 procent (!) ataków hakerskich zaczyna się właśnie od phishingu. Cyberprzestępcom jest prościej zaatakować człowieka niż ominąć zabezpieczenia systemowe. Phishing jest niebezpiecznie skuteczny, ponieważ opiera się na manipulacjach socjotechnicznych, wykorzystujących ludzkie słabości i podatności na manipulację.

Twoi pracownicy to główna linia obrony, która w przypadku zagrożenia wymierzonego w człowieka może ochronić firmę przed poważnymi stratami, a nawet bankructwem. Nie ma tutaj znaczenia, jak dużym przedsiębiorstwem zarządzasz. Każda firma jest zmuszona zadbać o kwestie bezpieczeństwa zarówno od strony technologii, jak i od strony kompetencji security awareness pracowników. Dotyczy to sytuacji prewencji oraz postępowania w przypadku wystąpienia incydentu.

Budowanie świadomości dotyczącej cyberzagrożeń to proces, który wymaga czasu i treningu. Kadra zarządzająca, dyrektorzy CISO, IT są odpowiedzialni za ustalenie odpowiednich priorytetów i budowę kultury bezpieczeństwa. Można to robić mniej lub bardziej efektywnie. Najlepsze rezultaty przynosi regularny trening i symulacje ataków, które prowadzą do wypracowania w pracownikach bezpiecznych nawyków i umiejętność wychwycenia prób ataków na Twoją firmę.

Nie pozostawiaj swoich pracowników samotnie w walce z hakerami, często tworzącymi wieloosobowe grupy przestępców cybernetycznych. Rozważ rozpoczęcie Praktycznego Treningu Antyphishingowego i jak najszybciej zmień swoich pracowników w aktywnych, wykwalifikowanych obrońców cyberbezpieczeństwa Twojej firmy.