Ransomvérových útokov pribúda

29. nov 2021

Podľa dostupných štatistík je od začiatku roka 2021 každá organizácia na Slovensku vystavená kybernetickým útokom priemerne 473-krát týždenne, čo predstavuje v polročnom porovnaní takmer 50% nárast. Podľa Národného bezpečnostného úradu sa celý minulý rok vyznačoval hrozbami v podobe phishingových kampaní, šírením škodlivého kódu – najmä ransomvéru, únikmi dát a zneužívaním známych zraniteľností a budúci rok nebude zďaleka výnimkou.

Najväčšiu hrozbu pre Vaše dáta v súčasnej dobe predstavuje ransomvér. Jedná sa o malvér, ktorý útočníci využívajú na uzamknutie elektronických zariadení, zašifrovanie a odcudzenie dát s cieľom vymáhať od majiteľa peniaze. Výkupné je rádovo v desiatkach až stovkách tisíc eur. Pokiaľ nezaplatíte, tak môžete o svoje dáta nenávratne prísť. Okrem toho útočník môže tieto dáta predať v šedej zóne internetu, alebo ich zverejniť.

Na Slovensku je zaznamenaných viacero ransomvér útokov na inštitúcie verejnej správy. Posledný z nich sa zameral na jedno zo slovenských miest. Prišli o všetky svoje dáta vrátane zálohovaných dát, ktoré boli zašifrované prvé.  Nakoniec po vyjednávaní s útočníkmi získali dešifrovacie kľúče. Na to sa ale nespoliehať nedá. Samotná obnova dát a prevádzky im aj napriek tomu trvala takmer tri týždne.

Čo robiť, aby ste sa vyhli takýmto problémom:

  • Pravidelne si meňte heslá a používajte silné heslá. Nie len bežní používatelia, ale predovšetkým administrátori.
  • Zálohujte a majte aj tzv. studené zálohy, ktoré nie sú dostupné z Vašej lokálnej siete.
  • Majte pod kontrolou vzdialený prístup do Vašej siete. Obmedzte prístup najmä cez RDP, ktorý obsahuje množstvo zraniteľností. Pokiaľ je potreba ho používať, tak ho umožnite len prostredníctvom VPN a nastavte blokovanie na základe GeoIP.
  • Segmentujte svoje siete. To čo je prístupné z Internetu, by malo byť na samostatnom segmente oddelenom od ostatnej časti siete. Taktiež vo vnútri lokálnej siete je potrebné urobiť segmentáciu tak, aby produkčné systémy boli oddelené od ostatnej časti siete.
  • Pravidelne aktualizujete všetky služby, operačné a informačné systémy, ktoré u Vás bežia.  Vyraďte z prevádzky už nepodporované operačné systémy.
  • Zaveďte pravidelné a automatizované vyhodnocovanie a monitorovanie logov prostredníctvom systémov SIEM a následné vyhodnocovanie prostredníctvom SOC (Security Operations Center). Zabezpečte ich archiváciu aspoň po dobu 6 mesiaco
  • Pre prípad, že sa niečo stane majte pripravené plány obnovy (kontinuity), aby ste mohli Vaše systémy v čo najkratšej dobe dostať do bežnej prevádzky.

Posledná rada je, pokiaľ ste za posledné tri mesiace nemenili heslá administrátorov systémov, tak ich ihneď zmeňte a meňte ich minimálne každé tri mesiace.

RNDr. Daniel Schikor

Vedúci auditor informačnej bezpečnosti