Co robić, gdy zostaniesz zhakowany? Poradnik dla małych firm
Piotr R
20 stycznia 2025
Wszystkie firmy powinny działać w oparciu o założenie, że incydent cyberbezpieczeństwa może nastąpić w każdej chwili. Takie podejście przygotowuje je również na bezpośrednie następstwa; wiedza o tym, co robić po cyberataku, jest kluczowa, gdy czas jest najważniejszy. Jednym z największych problemów, z jakimi obecnie mierzy się cyberbezpieczeństwo, jest przekonanie jednostki lub firmy, że im się to nie przydarzy. Pomysł zagubienia się w tłumie jest bardzo kuszący – to kluczowy powód, dla którego ludzie są całkowicie zaskoczeni, nie wiedząc, co robić dalej. Dlatego w tym artykule przedstawimy najlepsze rady od zespołu Bitdefender, dzięki którym będziesz wiedział, co zrobić, gdy zostaniesz zhakowany.
Duże firmy dysponują systemami obejmującymi plany reagowania obejmujące skutki cyberataku, jednak małe firmy czasami nie wdrażają ochrony obejmującej całą organizację i nie uważają zagrożeń online za realny problem. „Dlaczego mieliby mnie ścigać?” to pytanie, które doprowadziło do upadku wielu organizacji, a jego potencjalne szkody dorównuje jedynie inne powszechne pytanie: „Co teraz zrobimy?”
Rodzaje ataków i pożądana reakcja
Podczas gdy ataki ransomwareprzyciągają wiele uwagi w mediach, nie są jedynymi, które zagrażają firmom na całym świecie. Mają bezpośrednie i destrukcyjne skutki, ale nie powinny być jedynym celem podczas budowania i wdrażania cyberbezpieczeństwa w firmie.
Ataki phishingowe
Nic dziwnego, że phishing jest jednym z najczęstszych ataków. Ludzie i firmy spotykają się z nim na co dzień. W wielu sytuacjach atakom phishingowym można zapobiec, szkoląc ludzi, aby rozpoznawali je od samego początku, jeśli ataki w jakiś sposób ominą środki bezpieczeństwa. Jednak niektóre wiadomości mogą oszukać nawet najbardziej ostrożnych pracowników.
Atakujący często próbują przekonać ludzi w organizacji do dobrowolnego udostępniania swoich danych uwierzytelniających, klikania na linki lub otwierania załączników. Każde działanie może prowadzić do ataków wtórnych, dlatego przestępcy często preferują phishing jako punkt wejścia.
Jeśli dojdzie do takiego zdarzenia, firma ma do dyspozycji kilka sposobów postępowania:
Natychmiast zmień wszelkie naruszone dane uwierzytelniające.
Poinformuj wszystkich pracowników o naruszeniu, aby uniknąć dalszych szkód i upewnij się, że każdy ma nowe i unikalne uprawnienia.
Przejrzyj dzienniki e-mail, aby zidentyfikować inne potencjalne ofiary.
Ulepsz filtrowanie wiadomości e-mail i wdróż bardziej kompleksowe szkolenie pracowników, aby incydent mógł być wykorzystany również jako okazja do nauki.
Oprogramowanie wymuszające okup
Ataki ransomware mogą być dewastujące dla dużych firm, więc wyobraź sobie, co zrobiłyby z mniejszymi. W takich przypadkach atakujący prawdopodobnie ukradną wszystkie możliwe prywatne dane, jakie znajdą, i ostatecznie zablokują systemy, żądając zapłaty za klucze deszyfrujące. Wykorzystają również skradzione informacje, aby szantażować firmę, aby zapłaciła.
Częstą przyczyną naruszenia bezpieczeństwa systemu, a nawet całej sieci, jest fakt, że pracownik padnie ofiarą ataku phishingowego i otworzy załącznik.
Firmy mają kilka możliwości, które zawsze muszą brać pod uwagę:
Izoluj zainfekowane systemy, aby w jak największym stopniu zapobiec rozprzestrzenianiu się oprogramowania ransomware.
Skontaktuj się z policją i ekspertami ds. cyberbezpieczeństwa. Pomogą ci ustalić, co zostało skradzione i jaki był punkt wejścia.
Unikaj płacenia okupu, ponieważ nie ma gwarancji, że atakujący udostępnią klucze lub że klucze te będą działać.
Jeśli to możliwe, przywróć dane z bezpiecznych kopii zapasowych.
Wzmocnij procesy tworzenia kopii zapasowych i odzyskiwania danych oraz rozważ wykupienie ubezpieczenia cybernetycznego.
Ataki typu DoS (odmowa usługi) lub rozproszona odmowa usługi (DDoS)
Ataki DDoSmają jasny cel: przeciążenie systemu lub sieci ruchem i uczynienie go niedostępnym dla świata zewnętrznego. Może być również używany do wdrażania bardziej złożonych ataków. Niemożność składania zamówień, otrzymywania faktur i komunikowania się z firmą przez klientów jest niemal tak zła, jak atak ransomware. Jednak firmy muszą wiedzieć, co robić, jeśli napotkają takie problemy.
Firmy powinny z wyprzedzeniem wiedzieć, z kim w ramach swojego dostawcy usług internetowych współpracować, aby w razie potrzeby zablokować złośliwy ruch.
Organizacje, zwłaszcza te korzystające z usług online skierowanych do użytkowników końcowych, powinny korzystać z zasobów do łagodzenia skutków ataków DDoS w celu analizy i odzyskiwania danych, jeśli zajdzie taka potrzeba.
W przypadku ataków DDoS istotne jest również sprawdzenie konfiguracji serwera, aby zapobiec przyszłym przeciążeniom.
Dobrą praktyką jest monitorowanie wzorców ruchu w celu wykrycia anomalii, aby ataki DDoS nie zaskoczyły firmy.
Naruszenia danych i zagrożenia wewnętrzne
O naruszeniach bezpieczeństwa danych słyszymy zazwyczaj, gdy atakujący włamują się do systemów i kradną ważne informacje, jednak do naruszenia bezpieczeństwa danych może dojść również wtedy, gdy ludzie popełniają błędy i nieprawidłowo konfigurują usługi i serwery online. Warto również być świadomym zagrożeń wewnętrznych, czyli osób w firmie, które mogą mieć złe zamiary lub podejmować nieumyślne działania szkodzące organizacji.
Poniżej przedstawiamy kilka niezbędnych kroków, które należy podjąć w przypadku zaistnienia któregoś z tych scenariuszy:
Firmy muszą niezwłocznie powiadomić strony poszkodowane zgodnie z wymogami prawa.
Zbadaj i napraw luki w zabezpieczeniach wykorzystane podczas naruszenia.
Współpraca z doradcami prawnymi i inspektorami ds. zgodności.
Ulepsz szyfrowanie i kontrolę dostępu.
Cofnij uprawnienia dostępu dla zaangażowanych osób.
Zapewnij szkolenie w zakresie zasad przetwarzania danych.
Ataki na łańcuchy dostaw
Choć nie są tak efektowne jak niektóre inne incydenty cyberbezpieczeństwa, ataki na łańcuchy dostaw są niebezpieczne, ponieważ zazwyczaj są zaprojektowane tak, aby pozostać niezauważone. Zwykle dzieje się tak, gdy dostawca zewnętrzny zostaje naruszony, a ten wektor jest używany do infiltracji innej firmy.
Na przykład firma może używać pewnego typu oprogramowania, do którego atakujący uzyskali dostęp. Pojawia się nowa aktualizacja tego oprogramowania, a firma ją wdraża, nie wiedząc, że zapewniła atakującym tylne wejście.
Kiedy zdarzy się coś takiego, konieczne jest podjęcie kilku kroków:
Firma musi natychmiast powiadomić sprzedawcę i innych klientów.
Weryfikacja i łatanie systemów w celu wyeliminowania tylnych furtek ma kluczowe znaczenie.
Przeprowadź ponowną ocenę relacji z dostawcami i przeprowadź audyt ich bezpieczeństwa.
Ulepsz praktyki zarządzania ryzykiem dostawców.
Jak zabezpieczyć się przed cyberatakami?
To tylko niektóre z najbardziej prawdopodobnych scenariuszy, z którymi będzie musiała zmierzyć się firma, i nie warto myśleć, że tobie się to nie przydarzy. Wszelkie szkody spowodowane takimi atakami zawsze będą droższe niż jakakolwiek inwestycja w rozwiązania bezpieczeństwa. Wiedza o tym, co należy zrobić po cyberataku, jest równie ważna.
Bitdefender Total Security to rozszerzona wersja pakietu zabezpieczeń, który obejmuje każdy scenariusz ataku, chroniąc cenne aktywa Twojej firmy, zanim cyberprzestępcy postawią stopę w Twojej sieci. Co najlepsze, może być administrowany przez każdego pracownika w Twojej firmie – nie są wymagane żadne umiejętności informatyczne.
Account Manager, od ponad roku pracuję w branży IT i od ponad 5 lat jestem copywriterem. Do moich zadań należy nawiązywanie współpracy partnerskich, pisanie i redagowanie tekstów, kontakt z dziennikarzami, tworzenie notatek prasowych oraz zamieszczanie ich na stronach internetowych i w naszych mediach społecznościowych. Wcześniej byłem przez kilka lat związany z branżą OZE oraz z technologiami telemetrycznymi i elektronicznymi. Interesuję się językoznawstwem, literaturą, grą na gitarze oraz branżą gier.