Ransomware: ce faci în prima oră
Pe ecran apare un mesaj care cere bani, fișierele nu se mai deschid, iar în birou se face liniște. Ce faci în prima oră cântărește mai mult decât tot ce faci în săptămâna următoare, și, contraintuitiv, cele mai bune mișcări sunt cele calme. Lista de mai jos e scrisă ca să fie citită înainte, nu în ziua aia.
Primele minute: izolează, nu închide
Primul gest corect e să deconectezi de la rețea calculatorul afectat, scoate cablul, oprește Wi-Fi-ul, ca să oprești răspândirea către restul stațiilor și către server. Al doilea gest corect e să NU îl închizi: în memoria lui pot rămâne urme care ajută la analiză și, uneori, chiar la recuperare. Deconectat, dar pornit.
Dacă bănuiești că mai sunt stații afectate, izolează și segmentul lor de rețea. Și anunță oamenii să nu mai deschidă atașamente sau linkuri până nu se lămurește situația, atacurile vin de obicei pe e-mail, iar primul click rareori e și ultimul.
Ce nu faci, oricât de tentant ar fi
Nu plăti din prima. Plata nu garantează recuperarea, finanțează următorul atac și, în unele cazuri, ridică probleme legale. Decizia asta se ia la rece, cu toate opțiunile pe masă, iar dacă backup-ul e în regulă, de obicei nici nu se mai pune.
Nu șterge nimic și nu reinstala „să meargă repede". O reinstalare grăbită distruge exact informația de care e nevoie ca să afli pe unde a intrat atacul, iar fără răspunsul ăsta, riști să repeți ziua respectivă peste o lună, cu aceleași uși deschise.
Telefoanele din prima oră
Primul telefon: omul sau firma care vă administrează IT-ul, la noi, incidentele critice au termen de intervenție de cel mult o oră, scris în contract. Al doilea, în funcție de gravitate: DNSC, autoritatea națională pentru securitate cibernetică, are linia 1911 pentru raportarea incidentelor, gratuită și disponibilă permanent. Iar dacă sunt afectate date personale, ține minte că GDPR cere notificarea în 72 de ore; juristul sau consultantul vostru de date trebuie să afle în prima zi, nu în a treia.
Ce decide, de fapt, ziua: backup-ul de dinainte
Adevărul incomod e că soarta zilei s-a decis cu luni înainte. O firmă cu backup verificat, ținut separat de rețea, pierde câteva ore și ceva nervi: se izolează, se curăță, se restaurează. O firmă fără backup negociază cu infractori. Atacatorii caută și criptează și backup-urile la care ajung, tocmai de aceea backup-ul separat, testat prin restaurare de probă, e singurul care contează în ziua aia.
Dacă nu știi sigur în care dintre cele două firme ești, asta se află ușor și fără criză: auditul gratuit verifică exact punctele astea, backup, accese, actualizări, și îți lasă un raport scris. E genul de listă pe care e mult mai ieftin să o citești înainte.