Jeśli Twoja sieć jest zainfekowana oprogramowaniem ransomware, natychmiast podejmij działania, aby zabezpieczyć swój system. Zamiast płacić okup, który nie gwarantuje odzyskania danych, jak najszybciej zgłoś atak FBI i lokalnym organom ścigania. Skorzystaj ze specjalistów ds. odzyskiwania danych, aby odzyskać dostęp do swoich danych. Jeśli zostało naruszone, konieczne może być również powiadomienie klientów, klientów lub współpracowników, których to dotyczy. Następnie przeanalizuj atak, aby lepiej zabezpieczyć swój system i zmniejszyć prawdopodobieństwo, że ponownie staniesz się ofiarą ataku ransomware.
Kroki
Metoda 1 z 3: Praca z organami ścigania
Krok 1. Skontaktuj się z lokalnym biurem terenowym FBI
Federalne organy ścigania zajmują się przestępstwami internetowymi, w tym oprogramowaniem ransomware. Funkcjonariusze najbliższego biura terenowego będą w stanie pomóc Ci zminimalizować szkody w Twojej firmie i mogą współpracować ze stanowymi i lokalnymi organami ścigania w celu wyśledzenia sprawcy.
FBI ma 56 biur terenowych w głównych aglomeracjach w całych Stanach Zjednoczonych. Aby znaleźć najbliższy, przejdź do https://www.fbi.gov/contact-us/field-offices i wybierz swój stan z menu rozwijanego oznaczonego „Kategorie”
Krok 2. Złóż raport lokalnej policji, aby poradzić sobie z natychmiastowymi reperkusjami
Jeśli doszło do fizycznego naruszenia twoich obiektów, lokalna policja z pewnością może w tym pomóc. Jednak nawet jeśli Twoje rzeczywiste obiekty nie zostały naruszone, lokalna policja nadal może zebrać dowody i udzielić Ci porad, jak chronić Twój biznes.
Niektórzy lokalni policjanci mogą nie wiedzieć, jak radzić sobie z przestępczością internetową, szczególnie w małych miastach i na obszarach wiejskich. Chociaż mogą nie mieć wiedzy i sprzętu, aby zapewnić jakąkolwiek znaczącą pomoc, nadal warto poświęcić czas na złożenie zgłoszenia na lokalnej policji
Krok 3. Złóż skargę do Internet Crime Complaint Center (IC3)
FBI utrzymuje IC3 pod adresem https://www.ic3.gov/. Na stronie możesz złożyć skargę, która zostanie przekazana do wszystkich odpowiednich organów ścigania. Uwzględnij w swoim raporcie następujące informacje:
- Data infekcji ransomware
- Typ oprogramowania ransomware (wymieniony na stronie okupu lub po rozszerzeniu pliku szyfrowania ransomware)
- Informacje o Twojej firmie, w tym o Twojej branży i wielkości Twojej firmy
- Jak doszło do infekcji
- Kwota okupu żądana przez hakerów
- Bitcoin lub inny adres portfela kryptowaluty hakera, jeśli znajduje się na stronie okupu
- Łączna kwota okupu, którą już zapłaciłeś (jeśli w ogóle)
- Ogólne straty związane z infekcją ransomware, w tym szacowane straty biznesowe
Wskazówka:
Jeśli złożysz skargę do IC3, będziesz musiał również wypełnić Oświadczenie o Wpływie na Ofiarę, które jest osobnym formularzem. Niektóre informacje zawarte w tym formularzu mogą powtarzać informacje podane już w skardze.
Krok 4. Zgłoś do HHS, jeśli dane zawierały chronione informacje o stanie zdrowia
Jeśli prowadzisz działalność w sektorze opieki zdrowotnej, która jest objęta ustawą o przenoszeniu i rozliczaniu informacji o zdrowiu (HIPAA), prawo federalne wymaga zgłaszania wszelkich incydentów związanych z oprogramowaniem ransomware do amerykańskiego Departamentu Zdrowia i Opieki Społecznej (HHS). Na podstawie Twojego opisu infekcji ransomware HHS określi, czy musisz powiadomić ludzi, że ich informacje zostały naruszone i co powinno zawierać Twoje powiadomienie.
HHS oceni również twoją sieć i systemy komputerowe, aby upewnić się, że postępujesz zgodnie z protokołami bezpieczeństwa danych wymaganymi przez HIPAA. Jeśli tego nie zrobiłeś, możesz podlegać sankcjom za nieprzestrzeganie przepisów. Jednak samodzielne zgłoszenie infekcji i naprawienie szkody może zmniejszyć sankcje nałożone na Twoją firmę
Krok 5. Porozmawiaj z wszystkimi zaangażowanymi pracownikami
Zazwyczaj pracownik, który pobiera oprogramowanie ransomware, popełnił niewinny błąd. Ważne jest, aby poznać ich wersję wydarzeń, gdy szczegóły incydentu są wciąż świeże w ich pamięci. Nagraj rozmowę i rób notatki dla organów ścigania.
Przeprowadź również wywiady z pracownikami, którzy odkryli oprogramowanie ransomware. Dowiedz się, co się stało, gdy dowiedzieli się o tym i z kim się skontaktowali, aby poinformować o problemie. Nagraj wywiad dla organów ścigania
Krok 6. Przełącz wszystkie urządzenia, których dotyczy problem, w tryb offline
Usunięcie oprogramowania ransomware i odzyskanie danych może być trudne. Jednak przełączenie sprzętu w tryb offline może pomóc zmniejszyć szkody, jakie może spowodować oprogramowanie ransomware i zapobiec kradzieży danych.
- Nie wyłączaj całkowicie komputerów ani innego sprzętu, dopóki urzędnicy ds. bezpieczeństwa danych lub organy ścigania nie powiedzą Ci, że możesz. Może to potencjalnie spowodować utratę danych lub cennych dowodów.
- Uważaj, aby nie zniszczyć żadnych dowodów, które mogą znajdować się na komputerach lub w sieci, na przykład próbując usunąć oprogramowanie ransomware lub pliki szyfrowania.
Metoda 2 z 3: Powiadamianie klientów lub klientów
Krok 1. Zatrudnij radcę prawnego, który pomoże Ci określić Twoje obowiązki
W niektórych okolicznościach atak ransomware może zostać uznany za naruszenie danych zgodnie z prawem stanowym lub federalnym. Adwokat może pomóc w ustaleniu, czy musisz powiadomić klientów lub klientów o naruszeniu i jakie informacje powinno zawierać to powiadomienie. Ogólnie rzecz biorąc, to, czy atak ransomware stanowi naruszenie danych, zależy od 4 kryteriów:
- Rodzaj danych: informacje zdrowotne, finansowe i dotyczące tożsamości osobistej zazwyczaj wyzwalają wymagania dotyczące powiadomienia
- Przepisy federalne i stanowe, które mogą mieć zastosowanie do przechowywanych danych
- Jak i gdzie przechowywane są dane, w tym czy są one archiwizowane czy szyfrowane
- Jak działa samo oprogramowanie ransomware, w tym w jaki sposób dostało się do systemu i czy umożliwia hakerom dostęp do danych, manipulowanie nimi lub po prostu przetrzymywanie ich jako zakładników
Krok 2. Skonsultuj się z organami ścigania w sprawie terminu powiadomień
Upublicznienie infekcji ransomware i możliwego naruszenia bezpieczeństwa danych przed zakończeniem przez organy ścigania wstępnych dochodzeń może utrudnić te dochodzenia, szczególnie jeśli istnieje ryzyko, że hakerzy będą świadomi, że wysłano powiadomienia. Ponadto organy ścigania mogą zalecić najpierw powiadomienie osób lub firm, których to dotyczy, z potencjalnym publicznym powiadomieniem później.
- Zbyt wczesne opublikowanie powiadomienia publicznego może wywołać panikę, w zależności od charakteru Twojej firmy i rodzaju posiadanych informacji.
- Chcesz się również upewnić, że nie ujawniasz w swoich powiadomieniach informacji, które mogą potencjalnie utrudnić dochodzenie organów ścigania.
Krok 3. Wyznacz osobę do kontaktu w sprawie informacji związanych z naruszeniem
Jedna osoba w Twojej firmie powinna być odpowiedzialna za obsługę całej komunikacji zewnętrznej dotyczącej infekcji ransomware i potencjalnego naruszenia bezpieczeństwa danych. Wybierz kogoś na poziomie zarządzania, który jest w stanie zająć się zapytaniami publicznymi i koordynować reakcję organów ścigania, a także zająć się działaniami wszelkich organów regulacyjnych.
- W zależności od wielkości firmy i liczby osób lub firm potencjalnie dotkniętych problemem, możesz skonfigurować dedykowaną stronę internetową lub bezpłatny numer, z którego ludzie będą mogli korzystać w celu uzyskania informacji o infekcji i potencjalnym naruszeniu danych.
- Jeśli nie masz danych kontaktowych wszystkich osób potencjalnie dotkniętych problemem, być może będziesz musiał rozpocząć bardziej znaczącą kampanię public relations, aby upewnić się, że każda osoba potencjalnie dotknięta problemem została odpowiednio powiadomiona. Na przykład, jeśli jesteś sprzedawcą, możesz nie mieć informacji kontaktowych wszystkich klientów, którzy korzystali z kart kredytowych w Twoim sklepie.
Krok 4. Skontaktuj się z głównymi biurami kredytowymi, jeśli istnieje ryzyko kradzieży tożsamości
Jeśli dane zawierały nazwiska i numery ubezpieczenia społecznego, istnieje ryzyko, że tożsamość tych osób może zostać skradziona. Główne biura kredytowe mogą dostarczyć Ci więcej informacji i porad, jak powiadamiać ludzi o ryzyku. Zazwyczaj osoby, których to dotyczy, powinny umieszczać w swoich plikach powiadomienia o oszustwach lub zawieszanie kredytu. Użyj następujących informacji dla 3 głównych biur kredytowych:
- Equifax: https://equifax.com/ lub 1-800-685-1111
- Experian: https://experian.com/ lub 1-888-397-3742
- TransUnion: https://transunion.com/ lub 1-888-909-8872
Krok 5. Wyślij pisemne powiadomienie do dotkniętych osób i firm
Przygotuj pismo zawierające jasny opis infekcji ransomware, kroki podjęte w celu ochrony ich danych oraz dane, które potencjalnie zostały zaatakowane. Zakończ z poradą, co powinni zrobić, aby uchronić się przed kradzieżą tożsamości lub innymi powiązanymi zagrożeniami.
FTC ma wzór listu, z którego możesz skorzystać, dostępny pod adresem
Wskazówka:
Poproś prawnika, aby sprawdził Twoje zawiadomienie, zanim je wyślesz. Mogą upewnić się, że jest ona zgodna ze wszystkimi obowiązującymi przepisami prawa regulującymi Twoją sytuację.
Metoda 3 z 3: Ochrona Twojej firmy
Krok 1. Zatrudnij eksperta ds. bezpieczeństwa danych, który przeanalizuje Twój system
Ekspert ds. bezpieczeństwa danych może sprawdzić, w jaki sposób oprogramowanie ransomware wpłynęło na Twój system i stworzyć protokoły, które ochronią Twoje dane przed podobnymi infekcjami w przyszłości. Mogą również działać w celu wyłączenia oprogramowania ransomware i odzyskania danych.
Możesz znaleźć ekspertów za pomocą prostego wyszukiwania online. Jednak nawet jeśli czas jest najważniejszy, nie zatrudniaj po prostu imienia, które się pojawi. Przyjrzyj się przeszłości i reputacji każdego eksperta ds. bezpieczeństwa, którego chcesz zatrudnić. Sprawdź ich referencje i, jeśli mają certyfikaty, sprawdź te certyfikaty, aby upewnić się, że nadal są aktywne i mają dobrą opinię
Krok 2. Ogranicz uprawnienia użytkowników sieci do pobierania lub instalowania oprogramowania
Często infekcje ransomware mają miejsce, gdy pracownik kliknie łącze w wiadomości e-mail, które wygląda, jakby pochodziło z wiarygodnego źródła. Jeśli ten pracownik ma dostęp tylko do tych części systemu, których potrzebuje, jest mniejsze prawdopodobieństwo, że ransomware wpłynie na cały system i naruszy dane.
Tylko 1 lub 2 osoby w Twojej firmie, które są przeszkolonymi pracownikami IT lub administratorami sieci, powinny mieć uprawnienia do pobierania i instalowania nowego oprogramowania. Możesz usunąć to uprawnienie ze wszystkich innych kont użytkowników pracowników
Wskazówka:
Szkol swoich pracowników, aby nie klikali aktywnych linków w wiadomościach e-mail, nawet jeśli wydają się pochodzić od współpracownika. W razie wątpliwości pracownicy powinni zawsze skontaktować się z domniemanym nadawcą, aby dowiedzieć się, czy wiadomość e-mail pochodzi od nich.
Krok 3. Twórz codzienne lub cotygodniowe kopie zapasowe danych, które przechowujesz
Przechowuj kopie zapasowe na zewnętrznym dysku twardym, który nie jest podłączony do Internetu. Jeśli w przyszłości padniesz ofiarą ataku ransomware, możesz przesłać kopię zapasową swoich danych i kontynuować działalność jak zwykle.
Chociaż nadal będziesz musiał złożyć zgłoszenie organom ścigania i powiadomić klientów lub klientów, jeśli jakiekolwiek dane zostały uszkodzone lub skradzione, przynajmniej w międzyczasie atak nie zakłóci Twojej działalności
Krok 4. Aktualizuj oprogramowanie i systemy operacyjne
Aktualizacje często zawierają poprawki bezpieczeństwa, które poprawiają luki, które mogą wykorzystać hakerzy. Jeśli nie pobrałeś najnowszej aktualizacji, hakerzy mogą stwierdzić, że Twój system nadal jest podatny na ataki i mogą próbować wykorzystać.
- Najlepiej skonfiguruj całe oprogramowanie i systemy operacyjne, aby automatycznie aktualizowały się w czasie, gdy Twoja firma nie jest otwarta. W ten sposób możesz mieć pewność, że zawsze korzystasz z najnowszego oprogramowania w swoim systemie.
- Upewnij się, że oprogramowanie antywirusowe jest również aktualne i uruchamiaj skanowanie codziennie lub co tydzień. Pomoże to znaleźć i poddać kwarantannie wirusy, zanim zainfekują całą sieć.
Krok 5. Stwórz pisemny plan reagowania na przyszłe ataki
Niestety, atak ransomware może sprawić, że Twoja firma stanie się celem kolejnych ataków. Hakerzy mogą próbować udawać ekspertów ds. bezpieczeństwa danych lub oferować rozwiązania chroniące Twoją firmę, podczas gdy w rzeczywistości przygotowują Cię na kolejny atak. Jeśli wiesz, jak zareagujesz, będziesz o krok przed nimi.
- Upewnij się, że wszyscy pracownicy przeczytali i zrozumieli plan oraz rolę, jaką odegrają w przypadku ataku na Twój system.
- Sprawdzaj swój plan co najmniej raz na 6 miesięcy i aktualizuj go w razie potrzeby, aby uwzględnić zmiany w systemie lub uaktualnienia technologii.