Webinár: Kyberútok na váš biznis

Keďže ešte neviete, o aký typ incidentu ide, ani čo všetko je ním zasiahnuté, chcete rýchlo zabrániť ďalšiemu šíreniu škôd. Reakcie na rôzne typy incidentov sa samozrejme budú diametrálne odlišovať, no niektoré aktivity môžu byť považované za univerzálne.

• Duchaprítomná reakcia jednotlivca – zvláštne sa správajúci počítač odpojiť okamžite.
• Zvolajte Krízový štáb – budú pravdepodobne prijímané náročné rozhodnutia.
• Nepodliehajte panike, zachovajte pokoj a snažte sa nepodceniť rozsah útoku.
• V prípade podozrenia na šírenie škodlivého kódu izolujete sieť: Odpojte jednotlivé časti siete (segmenty) od internetu a od seba navzájom. Ak nemáte žiadne lepšie možnosti, siahnete po najjednoduchšom riešení – vytiahnete sieťové káble (nie napájacie).
• V prípade cloudovej infraštruktúry spravíte snapshot aktuálneho stavu a zakážete prístupy (z rovnakých dôvodov).

Ako je to z právneho hľadiska, keď len tušíme, že máme problém, ale nie sme si istí. Máme už počas útoku nejaké povinnosti? Napríklad voči Úradu na ochranu osobných údajov alebo Národného bezpečnostného úradu (NBÚ)?

V situácii, keď ešte len existuje vážne podozrenie, že máme problém – či už ide o možné narušenie systémov, únik údajov alebo podozrivú aktivitu – už v tomto štádiu nám vznikajú určité právne povinnosti a dôvody na aktiváciu interných procesov.

Ide najmä o tzv. všeobecnú prevenčnú povinnosť – podľa Občianskeho zákonníka, keď každý je povinný počínať si tak, aby nedochádzalo k škodám na zdraví, majetku, prírode atď. V kontexte kybernetickej bezpečnosti to znamená, že ak máme dôvodné podozrenie, že sa niečo deje, je potrebné konať aktívne a obozretne, aby sa škoda minimalizovala alebo sa jej úplne predišlo.

V tejto fáze je však rovnako dôležitý aktívny prístup a je potrebné zdokumentovať celý postup riešenia resp. preverovania daného bezpečnostného incidentu, a to od úplne prvotného zistenia, tak aby v prípade pokiaľ sa pri ďalšom preverovaní zistí, že ide o závažný kybernetický incident, mala firma všetky potrebné dôkazy a podklady pre ďalšie vyšetrovanie.

V prvých minútach teda, keď si ešte nie sme istí, či skutočne ide o kybernetický incident alebo len napríklad systémovú chybu, nie je potrebné ešte nikoho informovať. Z pohľadu práva, ak sa organizácia rozhodne v rámci reakcie na kybernetický incident radikálne obmedziť činnosť (napr. „vytiahnuť káble“ a vypnúť systémy), takýto postup je odôvodnený, a za určitých okolností aj chránený zákonom. V tomto prípade je opäť potrebné upozorniť na všeobecnú prevenčnú povinnosť v zmysle Občianskeho zákonníka, ktorá ukladá organizícii povinnosť aktívne konať tak, aby zamedzila vzniku škody.

V prípade vzniku škody na strane zákazníkov prichádza do úvahy aj inštitút krajnej núdze v zmysle Občianskeho zákonníka, kedy podnikateľ, ktorý spôsobil škodu zákazníkovi prerušením poskytovania služieb/nedodaním tovaru riadne alebo včas, nie je za ňu zodpovedný, pokiaľ sa odvracalo priamo hroziace kybernetické nebezpečenstvo, ktoré sám nevyvolal.

Úpravu zodpovednosti za škodu v neskorších fázach, t.j. keď do procesu je už zainteresovaný aj NBÚ, obsahuje priamo aj zákon o kybernetickej bezpečnosti (ZoKB). V takom prípade podnikateľ nezodpovedá za škodu spôsobenú iným subjektom – napr. zákazníkom, ktorým sa dočasne obmedzí prístup k službám/tovarom na základe rozhodnutia NBÚ. Zodpovednosť v tomto prípade prechádza priamo na NBÚ.

Začína naozajstná operácia, ktorú buď máte vopred vymyslenú vo forme Incident Response plánu alebo pod tlakom musíte čosi vymyslieť a vykonať.

• Vybavenie: Pre tím, ktorý pracuje na riešení incidentu, potrebujete minimálne „čisté“ PCčka a mobily. Musíte ich rýchlo zohnať, pripraviť, vybaviť potrebnými nástrojmi, dôkladne „hardenovať“ a ochrániť, aby sa pri práci na infikovanom prostredí sami neinfikovali znovu. Rovnako to bude so základnou infraštruktúrou na ktorej budú fungovať (sieť, dátové nosiče atď.).
• Mapovanie škôd: Začnete zisťovať, čo všetko je zasiahnuté – ktoré systémy, dáta, servery. Používate dostupné nástroje, ako napr. AV, EDR, FW, NDR, SIEM a pod., aby ste získali čo najviac informácií.
• Zbieranie dôkazov: Uchovávate stopy pre ďalšie forenzné vyšetrovanie. Všetko dokumentujete.
• Stanovenie priorít: Rozhodujete sa, ktoré systémy alebo dáta sú najdôležitejšie a majú prednosť.
• Heslá: Zmeníte ich najlepšie na všetkých účtoch za nové, silné a unikátne.
• Hunting: Začínate pátrať, kde všade sa útočník v systéme „zašil“ – či už ide o novovytvorené účty, scheduled tasks, powershell skripty, zmenené konfigurácie alebo milión ďalších spôsobov ako si zabezpečil opätovný prístup.

Okrem interných zdrojov vo forme oddelenia IT, či špecialistov na bezpečnosť je možné obrátiť sa s prosbou o pomoc na vlastných IT dodávateľov, na štátne jednotky Computer Security Incident Response Team CSIRT (CSIRT-SK, prípadne rezortné CSIRTy), prípadne aj komerčné centrá Security Operation Center SOC, či v prípade niektorých poisťovní využiť Incident Response tím poisťovne.

Aké ohlasovacie povinnosti má firma už počas prvých 24 hodín po útoku, respektíve keď už vie, že došlo ku kybernetickému útoku?

Z právneho hľadiska je veľmi dôležité identifikovať závažnosť a dopady kybernetického bezpečnostného incidentu. Z pohľadu ZoKB je organizácia povinná bezodkladne hlásiť až závažný kybernetický bezpečnostný incident, teda nie každý incident. Pokiaľ teda atakovaná firma posúdi, že došlo k závažnému kybernetickému bezpečnostnému incidentu, je povinný najneskôr do 24 hodín od jeho zistenia hlásiť NBÚ včasné varovanie.

Ak by incident mohol viesť k úniku osobných údajov, je potrebné vykonať posúdenie dopadov a rozhodnúť, či ide o porušenie ochrany osobných údajov, nakoľko v takom prípade vzniká oznamovacia povinnosť aj voči Úradu na ochranu osobných údajov (ÚOOÚ) do 72 hodín od zistenia porušenia.

Rovnako je dôležité upozorniť na povinnosť oznámiť orgánom činným v trestnom konaní skutočnosti, že bol spáchaný trestný čin, ktorého sa kybernetický bezpečnostný incident týka. Napadnutá organizácia sa nemusí v prvých hodinách s uvedeným stresovať, ale zároveň po riadnom prešetrení incidentu by nemala dlho otáľať s prípadným podaním trestného oznámenia.

V neposlednom rade, ak ide o regulovaný sektor (napr. energetika, zdravotníctvo) – treba tiež sledovať osobitné regulácie. Napríklad distribútor elektriny má povinnosť evidovať výpadky a na požiadanie ich hlásiť Úradu pre reguláciu sieťových odvetví (ÚRSO). V iných sektoroch môžu byť obdobné oznamovacie alebo evidenčné povinnosti voči príslušným regulátorom.

Z právneho pohľadu nejde len o technické riešenie situácie, ale aj o právne dôsledky toho, kedy, ako a s kým firma incident rieši. V prvom rade – ak organizácia nemá vlastný Incident Response tím, neznamená to, že je bezmocná. Dôležité je neotáľať, pretože oneskorené alebo nezvládnuté riešenie môže mať nielen technické, ale aj právne následky.

Z právneho hľadiska odporúčame:

• Mať pripravený rámec pre spoluprácu s externistami – vopred, nie až keď horí. To môže byť v zmluvách s IT dodávateľmi, v interných smerniciach alebo aspoň v krízovom pláne.
• Zabezpečiť, aby zvolený externý partner vedel pomôcť aj s povinnosťami voči štátu – teda aby vedel pomôcť s prípravou včasného varovania (24 hodín) a v neskoršej fáze aj oznámenia incidentu (72 hodín), alebo podkladov pre OČTK či Úrad na ochranu osobných údajov.
• Nenechávať rozhodnutie o privolaní pomoci na poslednú chvíľu. Zákon o kybernetickej bezpečnosti (§ 19) predpokladá aktívnu spoluprácu a dokumentáciu – čím skôr je odborník pri incidente, tým lepšie sa dajú splniť zákonné povinnosti aj ochrániť záujmy organizácie.
• Dôležitá je aj právna ochrana voči tretím stranám – zákazníkom, obchodným partnerom či štátnym orgánom. Rýchle a správne riešenie incidentu je často najlepšou ochranou proti prípadným súdnym sporom alebo sankciám.

Prichádza na rad dlhodobý boj a snaha rýchlo obnoviť prevádzku, ale zároveň zabezpečiť, že sa incident nezopakuje hneď znovu. Ako to vyzerá v praxi?

• Osvojíte si paranoidný prístup: To, čo nebolo dostatočne overené a zabezpečené, jednoducho považujete za kompromitované.
• Staviate novú sieť: Začínate prakticky od nuly – budujete novú, čistú sieťovú infraštruktúru. Tá by mala byť segmentovaná (ideálne mikrosegmentovaná), a komunikácia medzi jednotlivými časťami sa riadi zásadou “least privilege” (minimálne nevyhnutné prístupy).
• Monitorujete: Po celú dobu podrobne sledujete, čo sa v tejto novej infraštruktúre deje – v reálnom čase.
• Obnova systémov: V samostatnej časti infraštruktúry začnete obnovovať systémy:
  • Nanovo inštalujete operačné systémy a aplikácie.
  • Dáta obnovujete zo záloh, ale až po dôkladnej kontrole, že sú čisté a nezmenené.
  • Všetko hardenujete a aktualizujete.
  • Na nové systémy nasadzujete bezpečnostné nástroje (napr. EDR) a tiež monitorujete, čo sa v nich deje.
  • Po dôkladnej kontrole presúvate systémy do pripravených nových segmentov.
• Forenzná analýza: Paralelne s obnovou robíte dôkladnú analýzu incidentu, aby ste zistili ako presne k útoku došlo, aké zraniteľnosti boli zneužité (a ako), čo ste mohli a mali spraviť inak. Zistenia (lessons learned) použijete na zlepšenie svojej obrany a reakcie v budúcnosti.

Z právneho hľadiska, čo všetko je potrebné mať zaznamenané prvé dni po útoku? Aké dokumenty a dôkazy by sme mali zhromaždiť pre prípadné vyšetrovanie, a možno aj ako ich správne uchovávať?

V prvom rade je dôležité myslieť na to, že každý krok počas riešenia incidentu je potrebné zaznamenávať – nielen kvôli internej analýze, ale aj pre audit, komunikáciu s úradmi (NBÚ, ÚOOÚ) a zákazníkmi či v prípadnom trestnom konaní.

Odporúča sa viesť incident log s údajmi o:

• časovej osi incidentu a prijatých opatreniach,
• komunikácii (interná/externá),
• technických dôkazoch (logy, snímky, forenzné dáta). Tieto dôkazy musia byť uložené bez možnosti manipulácie (napr. read-only, s hashovaním).

Pri závažnom incidente musí organizácia do 72 hodín od zistenia hlásiť oznámenie (v ktorom sa aktualizujú a dopĺňajú informácie z včasného varovania) a následne do jedného mesiaca predložiť záverečnú správu.

Z právneho hľadiska sú kľúčové:

• preukázateľnosť konania,
• dokumentácia rozhodnutí a opatrení,
• spolupráca s úradmi (čo, kedy a komu bolo nahlásené).

Odporúča sa pripraviť si:

• šablónu záverečnej správy,
• interný Incident Response protokol s časťou o dôkazoch,
• zodpovednú osobu za dokumentáciu (napr. manažér kybernetickej bezpečnosti + právnik).

Vieme, že incident môže trvať hodiny, dni, niekedy sa rieši celé týždne aj mesiace. A riešia ho ľudia. Ako vlastne zvládnuť takúto krízovú situáciu z pohľadu ľudí? Prečo je dôležité riešiť ľudský faktor uprostred technickej katastrofy?

Ak ste napadnutí, nezabudnite, že aj Incident Response tím sú len ľudia. Aj pri katastrofe a ich dobrých úmysloch a úprimnej snahe, každý z nich musí niekedy jesť, piť, nadýchať sa čerstvého vzduchu, oddýchnuť si, či odísť sa vyspať. Len tak dokážu podávať špičkový výkon aj počas vypätých dní, ktoré sa veľmi pravdepodobne pretiahnu na týždne, alebo dokonca mesiace. Bez fyzického aj psychického odpočinku riskujete ich vyčerpanie, vyhorenie a prudké zníženie kvality práce.

Z právneho hľadiska je dôležité si povedať, akým spôsobom daná organizácia zabezpečuje plnenie svojich povinností, a teda, či ich zabezpečuje prostredníctvom externého dodávateľa alebo interne prostredníctvom svojich zamestnancov. V prípade externého dodávateľa (spoločnosti / živnostníka), sa predpokladá, že má daný dodávateľ dostatočné personálne zázemie na pokrytie takýchto krízových situácií.

V prípade vlastných zamestnancov nám Zákonník práce stanovuje limity, ktoré sa rôznia podľa samotnej povahy prevádzky danej organizácie a tiež rozdelenia pracovného času. Ak sa bavíme napríklad o zamestnancoch s pracovným časom 40 hodín týždenne, tak Zákonník práce umožňuje vo výnimočných prípadoch (medzi ktoré by sme mohli klasifikovať aj naliehavú potrebu riešenia kybernetického incidentu) nariadiť zamestnancovi prácu nadčas. Podmienkou však je, že sa nepretržitý odpočinok medzi dvoma zmenami nesmie skrátiť na menej ako osem hodín. Teda pokiaľ by pracoval takýto zamestnanec 16 hodín a ďalšia pracovná zmena mu začne až po 8 hodinách je to v rámci ustanovení Zákonníka práce. K tomuto ešte dopĺňam, že ak je zamestnávateľ oprávnený nariadiť prácu nadčas a zamestnanec to nerešpektuje, dopúšťa sa porušenia pracovnej disciplíny.

Post-mortem analýza (incident review):

• Zaznamenanie časovej osi incidentu: Kedy a ako začal, ako sa šíril, kto ho spozoroval.
• Presné identifikovanie vektoru útoku – technické zraniteľnosti, ľudské chyby, procesné medzery.
• Prehľad, čo fungovalo dobre – napr. zálohy, komunikácia, detekcia.
• Čo nefungovalo – kde zlyhal monitoring, kto nevedel, čo má robiť, chýbajúce rozhodnutia.
• Využitie všetkých dostupných logov, SIEM, EDR, výpisov zo sietí.
• Spolupráca s forenzným tímom – ak bol zapojený.

„Lessons learned“ prístup:

• Cieľ nie je nájsť vinníka, ale zlepšiť reakciu nabudúce.
• Vytvoriť kultúru otvorenosti – každý môže povedať, čo sa dalo urobiť lepšie.
• Zaviesť konkrétne zmeny: nové procesy, technické úpravy, školenia.
• Zapísať odporúčania do Incident Response plánu a krízového plánu.
• Zvážiť interné cvičenie po 1–2 mesiacoch, ktoré preverí, či sa zmeny naozaj implementovali.

Tipy, ako sa vyhnúť hľadaniu vinníka:

• Diskusiu viesť formou “čo sa stalo” a “čo urobíme inak”, nie “kto to spôsobil”.
• Pripomenúť, že každý môže spraviť chybu, ale dôležité je neopakovať ju.
• Namiesto obviňovania použiť vetu: „Ak by sme mali túto situáciu opäť, čo by sme urobili lepšie?“

Ak príde kontrola alebo audit, čo by sme mali mať pripravené ako dôkaz, že sme incident zvládli dobre? Ako sa pripraviť na prípadné kontroly zo strany regulátorov?

Z právneho pohľadu je najdôležitejšie nasledovné:

• Preukázateľnosť konania – že organizácia konala promptne a v súlade so zákonom,  a to nie len technicky, ale aj z hľadiska rozhodovacích procesov
• Dokumentácia rozhodnutí a opatrení – prečo sme sa rozhodli vypnúť systém, ako sme incident klasifikovali, prečo sme ho hlásili (alebo nehlásili) ako závažný. Je nevyhnutné viesť dokumentáciu priebežne, nie až spätne.
• Súlad s inými reguláciami, prípadne ISO normami, ak sa aplikujú a spolupráca s úradmi – zaznamenať, kedy a aké informácie boli odovzdané NBÚ, Computer Security Incident Response Team (CSIRT-u), Úradu na ochranu osobných údajov atď.

Záverečná správa je často prvé, čo si NBÚ vyžiada. Preto ju netreba podceniť a mala by byť pripravená dôsledne.

Interná komunikácia by sa určite nemala odkladať. Zamestnanci musia vedieť, čo majú (a nemajú) robiť. Tu nejde len o informovanie, ale o zamedzenie ďalšiemu šíreniu incidentu alebo nevedomému konaniu, ktoré by mohlo situáciu zhoršiť (napr. klikanie na podozrivé e-maily, zapínanie zariadení späť do siete atď.).

Interná komunikácia by mala byť strohá, jasná a koordinovaná – napr. z IT alebo bezpečnostného oddelenia, po konzultácii s právnikom alebo krízovým tímom. Z právneho pohľadu je dôležité, aby zazneli pokyny, nie špekulácie o príčinách incidentu.

Pri klientoch, partneroch a dodávateľoch treba byť opatrnejší. Kým nie je isté, že incident ich mohol alebo môže zasiahnuť, odporúčam nekomunikovať unáhlene. Ale zároveň, ak zistíme, že došlo k úniku dát, kompromitácii služieb alebo inému riziku pre tretie strany, máme zmluvnú a zákonnú povinnosť informovať.

V tejto fáze navrhujeme:

• komunikáciu si pripraviť vopred, ale s odoslaním čakať, kým máme aspoň základné fakty.
• poradiť sa s právnikom alebo PR krízovým tímom, aby sa predišlo zbytočnému reputačnému alebo právnemu riziku.

Pri incidentoch vždy lepšie mať koordinovanú komunikáciu – nie reflexívnu reakciu. Každý deň, dokonca každá hodina môže zásadne zmeniť hodnotenie situácie. Zároveň platí, že ak incident môže mať právne dôsledky voči tretím stranám, komunikácia sa nesmie odkladať neprimerane dlho, aby sa organizácia neocitla v postavení, že neinformovala včas alebo porušila zmluvné a zákonné oznamovacie povinnosti.

Radíme preto mať komunikačný plán ako súčasť Incident Response plánu, kde sú vopred určení:

• komu sa komunikuje,
• čo sa komunikuje,
• kedy a kto to robí,
• a kto to schvaľuje.

Stretli sme sa napríklad s tým, že prvá reakcia IT tímu bola, že si povedali – rýchlo to vyčistíme. Vymazali logy, reštartovali servery, to všetko samozrejme v dobrej viere, že tým pomôžu, ale vlastne len zmazali dôkazy.

Napadnutá firma by sa rozhodne mala vyvarovať týchto vecí:

• Vyčkávať a nekonať
• Nechať systémy online napriek podozreniam
• Mazanie logov alebo údajov
• Obnovenie záloh bez overenia
• Komunikačné prešľapy

Ako veľmi môže z právneho pohľadu predčasná alebo zle formulovaná komunikácia – aj zvonka, aj zvnútra – poškodiť firmu? Čo ešte by firma určite robiť nemala z právneho hľadiska?

Určite by sa nemala snažiť o zatajenie incidentu. Takto sa môže firma alebo aj priamo manažér kybernetickej bezpečnosti vystaviť administratívno-právnym, trestno-právnym ale aj súkromno-právnym postihom.

Z administratívno-právneho hľadiska sa zatajením incidentu môže organizácia dopustiť správneho deliktu, za ktorý ZoKB stanovuje prísne pokuty. V prípade, ak napadnutej firme vyplýva povinnosť nahlásiť kybernetický incident a túto povinnosť nedodrží, môže jej NBÚ, v závislosti od okolností, udeliť pokutu až do výšky 10 miliónov EUR alebo 2 % celkového celosvetového ročného obratu za predchádzajúce účtovné obdobie, podľa toho, ktorá suma je vyššia.

Pokiaľ by išlo o narušenie ochrany osobných údajov, môže firme hroziť pokuta aj za porušenia ustanovení podľa Nariadenia GDPR. Obdobne môžu hroziť firme sankcie aj za nedodržanie oznamovacím povinností v prípade osobitných regulácií daného odvetvia (energetika, zdravotníctvo).

Z trestno-právneho hľadiska, najmä v prípade, že ide o incident, ktorý mal alebo mohol mať závažný dopad na chránené hodnoty, ako sú osobné údaje, verejná bezpečnosť či dôveryhodnosť služieb – môže zatajenie viesť až k trestno-právnej zodpovednosti, a to buď právnickej osoby (firmy) alebo samotnej fyzickej osoby – napr. manažéra kybernetickej bezpečnosti. Zatajenie incidentu by mohlo naplniť niektoré z nasledovných skutkových podstát:

• Neohlásenie trestného činu (§ 340 Trestného zákona),
• Porušenie povinnosti pri správe cudzieho majetku (§ 237 Trestného zákona),
• V špecifických prípadoch, ak by zatajenie viedlo k ďalšej škode alebo napr. k ohrozeniu verejného záujmu (napr. pri kritickej infraštruktúre), mohlo by ísť aj o trestné činy všeobecného ohrozenia.

V prípade zatajenia incidentu hrozia aj súkromno-právne postihy, a to hlavne zodpovednosť za škodu v prípade porušenia oznamovacích povinností v zmysle Obchodného zákonníka a porušenia všeobecnej prevenčnej povinnosti podľa Občianskeho zákonníka, tak ako sme spomenuli v úvode.

Taktiež by sa organizácia mala vyvarovať bezhlavého platenie výkupného. Na konanie pri platné požadovaného výkupného neexistuje právny rámec. S ohľadom na mnohé skúsenosti pri kybernetických útokoch, ktorých následkom je aj požiadavka na zaplatenie výkupného, môžeme skonštatovať, že neexistuje právna garancia na vyriešenie stavu po jeho zaplatení.

V minulosti to naozaj bežné nebolo, ale práve kvôli NIS2 a výške možných pokút sme vymysleli produkt, ktorý kryje aj regulačné sankcie. Tie sa totiž po novom môžu vyšplhať na desaťtisíce eur a práve pre tieto prípady máme pripravený produkt v rámci KyberAliancie Slovensko, ktorý vie firmu finančne podržať aj v takýchto situáciách.

Poistenie pokút a nákladov si vieme vybaviť aj ako menšia firma alebo je to len pre veľké spoločnosti?

Náš produkt sme nastavovali v balíkoch M, L a XL. Balík M je navrhnutý špeciálne pre menšie a stredné firmy, ktoré potrebujú kryť základné riziká a pokuty podľa NIS2. Nie je to len produkt pre veľké spoločnosti, ale pre každú firmu, ktorá spadá pod túto smernicu a chce mať istotu, že nebude musieť sankcie platiť z vlastného rozpočtu.

Keď už máme nejaké firemné poistenie, vieme si overiť, či tam náhodou niečo podobné nemáme zahrnuté?

Áno, a práve preto sme v rámci nášho produktu pripravili možnosť bezplatného auditu poistného portfólia. Firmám vieme bezplatne preveriť ich existujúce zmluvy a povedať im, či už nejaké krytie majú, prípadne odporučiť, čo doplniť, aby mali istotu aj voči NIS2 sankciám a kyberincidentom.

Keď nám kyberincident spôsobí škodu, tak to rieši poisťovňa alebo KyberAliancie Slovensko?

V prípade incidentu sa aktivuje celý náš tím v aliancii. IT tím Soitron rieši technické veci, právnici z NOMUS komunikujú s úradmi a poisťovňa cez Centrum poistenia rieši financie a preplácanie nákladov. Klient tak nemusí behať od dverí k dverám, všetko zabezpečíme cez jeden kontaktný bod.