Cu ce vă putem ajuta?

HACKED?

Ajutor, suntem blocați!

Cuprins

A apărut o urgență. Ce ar trebui să fac acum?

Iată acțiunile recomandate și persoanale de contact pentru situații de urgență.

▶ Am câteva întrebări ✔ Am nevoie de ajutor

Nu te panica, urmează sfaturile noastre!

1. Nu intra în panică

Dacă ai motive să suspectezi că terțe părți neautorizate au preluat controlul asupra unui PC sau server din organizația ta, este important să rămâi calm și să acționezi cu atenție pentru a rezolva cu succes situația. Nu te grăbi să iei decizii pripite; Împărtășește-ți suspiciunile doar cu un număr restrâns de persoane, menținând informațiile la un nivel minim de difuzare. Solicită ajutor profesional cât mai rapid posibil, deoarece fiecare minut contează în limitarea daunelor. Chiar și suspiciunea unui incident de securitate, chiar dacă nu este confirmată, necesită expertiză în domeniul informaticii judiciare (IT forensics) pentru a clarifica faptele.

2. Nu opri echipamentele

Oprirea sistemelor – mai ales dacă acestea sunt de obicei în funcțiune – nu face decât să alerteze inutil atacatorii și poate duce la distrugerea probelor. Dacă este posibil, încearcă să nu folosești sistemul informatic afectat și să păstrezi aparența de normalitate. Există doar câteva situații speciale, cum ar fi criptarea datelor de către un ransomware, în care oprirea imediată a echipamentului este cea mai bună soluție.

3. Păstrează rețeaua activă – sau nu...

Deconectarea cablurilor de rețea nu ajută întotdeauna, deoarece această măsură poate determina atacatorii să înceapă rapid „curățarea” urmelor de pe un alt sistem. Totuși, dacă ești foarte sigur că atacul asupra sistemului tău IT tocmai a avut loc și că atacatorii abia încep să manipuleze datele, este recomandat să deconectezi imediat dispozitivul compromis de la rețea.

În cazul criptotroienilor (ransomware), recomandăm deconectarea sistemelor afectate de la rețea pentru a preveni răspândirea lor în interiorul infrastructurii (vezi și cazurile WannaCry sau Petya).

Decizia privind deconectarea de la rețea și/sau oprirea echipamentului trebuie luată de la caz la caz. Cea mai eficientă metodă de întrerupere a conexiunii de rețea este scoaterea cablului de rețea sau dezactivarea conexiunii Wi-Fi.

4. Documentează și fotografiază

Notează pe hârtie orice comportament suspect al sistemelor de operare, orice mesaj apărut pe ecran și alte informații, indicând ora exactă. Cel mai bine este să folosești ceasul de pe smartphone pentru o referință de timp fiabilă – ora de pe calculator poate fi manipulată. Te rugăm să nu faci capturi de ecran pe sistemul informatic pe care bănuiești că acționează atacatorii, deoarece astfel ai putea suprascrie memoria temporară și alte zone ale hard disk-ului. În schimb, fotografiază ecranul cu o cameră externă – o poză făcută cu telefonul mobil poate fi, de asemenea, foarte utilă.

5. Salvează copia de rezervă și toate log-urile

Asigură-te că ai o copie de rezervă funcțională a datelor și protejeaz-o cu orice preț! Oprește suprascrierea automată a copiilor de siguranță mai vechi și verifică dacă poți comuta temporar de la backup incremental sau diferențial la backup complet pentru a salva toate datele, fără excepție, pe durata crizei. De asemenea, activează imediat toate opțiunile de logare pentru sistemele de operare, aplicații și echipamentele de rețea și împiedică suprascrierea jurnalelor existente (în special a celor din Windows Security Event Logs). Dacă folosești un sistem SIEM, protejează datele colectate împotriva manipulării și sabotajului. Log-urile și fișierele jurnal sunt instrumente extrem de valoroase în investigarea atacurilor cibernetice și a accesărilor ilegale. Atacatorii știu acest lucru și vor încerca să distrugă aceste dovezi. Informează neapărat responsabilul cu protecția datelor din organizație despre colectarea extinsă de loguri. Oferim clienților noștri o listă de verificare practică pentru a ne asigura că nu este omis niciun aspect legat de logare.

6. Comunică prin canale sigure

Presupune că atacatorii ar putea fi deja în controlul serverelor tale de e-mail și că pot citi toate mesajele companiei. Cel mai bine este să folosești telefoane mobile personale (private) sau să te întâlnești față în față cu persoanele de contact. Chiar și e-mailurile criptate (fie S/MIME, fie PGP) nu oferă protecție pe un PC compromis, deoarece troienii pot înregistra apăsările de taste (keylogger) sau pot face automat capturi de ecran cu mesajul în formă necriptată.

7. Comunicarea în cadrul companiei

Un atac cybernetic reușit, în urma căruia îți pierzi controlul asupra propriilor sisteme de operare (client și server), reprezintă o amenințare gravă atât din punct de vedere al protecției datelor, cât și economic pentru companie. Cercul persoanelor informate ar trebui menținut cât mai restrâns până când incidental este complet clarificat.

Nu este întotdeauna vorba de un atac extern – majoritatea furturilor de date sunt comise de propriii angajați (așa-numiții “insideri”)! Ia în considerare informarea următoarelor persoane sau entități, fie de la început, fie pe parcursul desfășuării anchetei:

  • Responsabilul IT sau Chief Information Officer (CIO) al companieie
  • Responsabilul cu protecția datelor desemnat al organizației
  • Conducerea companiei, sub forma directorului general sau a consiliului de administrație
  • Președintele consiliului de supraveghere
  • Departamentul juridic sau o firmă de avocatură externă
  • Consiliul angajaților, reprezentanții salariaților sau un organism echivalent
  • Responsabilul de comunicare cu presa sau o agenție externă de PR

Această listă are doar un rol orientativ și depinde de structura companiei. Cu siguranță nu este completă. În funcție de reglementările bursiere, pierderea sau furtul de date poate impune o notificare obligatorie, dacă firma afectată este listată la bursă. Nu uita să implicit consiliul angajaților și responsabilul cu protecția datelor! În caz contrar, securizarea și evaluarea datelor de pe computerele angajaților ar putea fi întârziată sau chiar împiedicată.

8. Specialiștii din cadrul poliției

În acest moment – dacă nu chiar mai devreme – conducerea companiei ar trebui să decidă dacă implică autoritățile de aplicare a legii.

9. Securitate cibernetică de la început alături de Medialine

În anumite situații, clienții comerciali pot solicita asistență suplimentară sau chiar exclusivă din partea noastră, uneori fără a raporta incidental autorităților.

Ești sigur de consecințele unei raportări oficiale?

Suntem bucuroși să oferim sprijin clienților comerciali în cazul unui incident de tip “Am fost hackuit”, însă vă rugăm să înțelegeți că, în general, nu putem furniza acest tip de support utilizatorilor de tip persoană fizică.

Asistența noastră este condiționată de câteva formalități și de semnarea unui acord de intervenție. Tariful orar actual pentru o sesiune de consultanță “Am fost hackuit” este de 250 €, la care se adaugă cheltuielile de deplasare și costurile aferente, precum și TVA-ul legal, conform termenilor și condițiilor noastre în vigoare.

Ai întrebări, solicitări sau sugestii?

Discută cu noi. Suntem aici pentru tine.
Certificați ISO 27001

Formular de contact

Pentru a intra în contact cu noi, completați formularul de contact.

înapoi
Toate informațiile importante într-o privire de ansamblu.
Prin telefon
+40 (786) 877133
Prin e-mail
Solicitare online
Serviciul de asistență tehnică
Zona de asistență
Autentificare pentru clienți
Verificați starea cloud-ului
Locații Medialine în Germania, Austria și România