Ransomware w urzędzie gminy - jak przygotować ciągłość działania, zanim systemy staną?
Atak na gminę Obrazów pokazał, jak szybko samorząd może stracić dostęp do własnych danych. Nagle padają serwery, a obsługa obywateli zamiera. Dlatego warto przygotować plany awaryjne jeszcze zanim na monitorach urzędników pojawi się żądanie okupu. Dowiedz się, jak chronić instytucję przed atakiem.
Blokada infrastruktury - co oznacza w praktyce?
Przestępcy zwykle szyfrują pliki i grożą ich publikacją. Co więcej, pracownicy z dnia na dzień tracą narzędzia, a do tego staje obsługa petentów. Wtedy pojawia się dodatkowe ryzyko - oszuści chętnie wykorzystują zamieszanie, podszywając się pod administrację i wyłudzając informacje od obywateli.
Podobne mechanizmy widać było już w innych instytucjach publicznych. Pisaliśmy o tym między innymi tu: Atak ransomware na wrocławski sanepid. A czy Twoja organizacja jest gotowa?
Jakie sprawy trzeba załatwiać mimo infekcji?
Nawet przy zaszyfrowanych serwerach urząd musi wydawać akty zgonu czy pilne zaświadczenia. Kiedy systemy nie działają, a mieszkańcy nie dostają swoich dokumentów, w urzędzie ludzie odsyłani są z kwitkiem. Właśnie dlatego trzeba wcześniej ustalić, jak realizować te procesy awaryjnie.
Najlepiej przygotować środowiska odseparowane od głównej sieci. Wtedy złośliwy kod nie zainfekuje papierowych rejestrów ani fizycznie odciętych terminali. Jeśli przeniesiesz tam krytyczne zadania, na przykład obsługę stanu cywilnego, urząd przyjmie petentów nawet podczas awarii całego systemu.
Ustal, kto decyduje w pierwszych godzinach po ataku
Kryzys można opanować tylko wtedy, gdy podzieli się obowiązki. W trakcie incydentu brakuje czasu na ustalanie kompetencji. Lepiej od razu przypisać role:
- wójt lub burmistrz - przejmuje komunikację z mediami i zarządza sztabem, unikając deklaracji o zapłacie;
- sekretarz - to on organizuje pracę urzędników w trybie papierowym lub przez systemy rezerwowe;
- dział IT - natychmiast odcina zainfekowane maszyny od sieci i sprawdza na ekranach, które pliki zaszyfrowano.
Jednak to, jak szybko urzędnicy wrócą do pracy zależy od tego, czy informatycy dysponują odpowiednimi narzędziami takimi jak np. SOC, platforma do zarządzania incydentami (SIRP) i przetestowany backup danych.
Jak połączyć backup i zarządzanie incydentem?
Ciągłość działania zależy od tego, jak szybko informatycy przywrócą zaszyfrowane systemy. Bez konkretnych ram czasowych nie wiadomo, jak długo potrwa przestój i kiedy mieszkańcy znów załatwią swoje sprawy. Z takim problemem mierzą się urzędy, w których archiwa zapasowe odkładają się na serwerach lub w chmurze, ale nikt nigdy nie próbował z nich odtworzyć infrastruktury.
Jak uniknąć tego ryzyka? Trzeba regularnie testować procedury odtworzeniowe. Przećwiczenie powrotu do pracy w bezpiecznych warunkach daje informatykom gotową ścieżkę ratunkową na wypadek ataku.
To może Cię zainteresować: Backup danych. Czym jest, po co go robić i dlaczego reguła 3-2-1 to przeszłość?
Żeby zyskać czas na uruchomienie takich procedur awaryjnych, potrzebujesz technologii, które w ogóle powstrzymają rozprzestrzenianie się szyfrowania. W tym celu całodobowy SOC wypatruje anomalii w sieci, zanim złośliwy kod sparaliżuje wszystkie serwery urzędu. Gdy tylko znajdzie zagrożenie, platforma do zarządzania incydentami bezpieczeństwa automatycznie odcina zarażone stacje.
Dzięki temu złośliwe oprogramowanie nie niszczy głównego środowiska, a bezpieczny backup danych pozwala szybko odzyskać pliki. Wówczas gmina może utrzymać ciągłość działania.
