Quin seria l’impacte d’un ciberatac a la nostra organització?

La meva organització és a punt per fer front a un ciberatac?

En anteriors publicacions ens hem preguntat “Per què les meves dades interessen als ciberdelinqüents” I sobretot “És possible evitar atacs a través dels mails? Com?” També hem informat d’algun cas en què un atac ha estat gestionat de manera que es disminueixi la seva afectació i el temps de recuperació posterior.

Tot i així, continuen sent generalitats, moltes, lluny del nostre entorn. Ara, volem respondre la pregunta: “La meva organització es a punt per fer front a un ciberatac?”.

En comptes de fer una àrida llista amb els elements que hem de tenir en compte abans, durant i després d’un ciberincident, avui volem simular un atac, per així poder il·lustrar com hauria de ser la reacció de la nostra organització (en un escenari ideal, és clar). Potser ens sorprendrà l’aparent senzillesa de la situació que s’ha presentat aquí, l’hem simplificat per fer que la lectura sigui més amena. Però la realitat acostuma a ser molt més complicada i dolorosa.

Un divendres com qualsevol altre… O no

Som divendres, són 3/4 de 6 i la setmana és a punt d’acabar. Els 85 empleats podran gaudir d’un merescut descans de cap de setmana. En Pablo, el responsable financer continua davant de la pantalla. De sobte veu que alguns noms de fitxers han canviat i que no els pot obrir. El seu instint li diu que ha de trucar i informar l’Enrique, el contacte del departament d’informàtica. L’Enrique no contesta, però per sort, en Pablo té el seu número de mòbil personal.

L’Enrique no és un especialista en ciberseguretat, però entén que podria ser una temptativa de segrest de dades (ransomware). Alhora que segueix parlant amb el Pablo, per telèfon, es connecta a la consola de l’antivirus i constata que, efectivament, el programari ha detectat “anomalies” en 3 dispositius, entre ells el d’en Pablo. L’ordinador de la Maria, la presidenta, i el de l’Alberto, cap de vendes, també podrien estar infectats.

En Pablo comenta que des que va descarregar un fitxer adjunt d’un correu, aquella tarda, el seu ordinador va lent. A més a més, el fitxer mai no es va obrir. L’Enrique entén que aquest correu és probablement l’element a partir del qual s’ha generat l’atac.

Preguntes que ens hem de fer

• Saben els treballadors a qui contactar, fins i tot els caps de setmana, en cas de dubte o quan detecten una situació d’emergència?
• Els nostres treballadors estan formats per detectar les situacions problemàtiques, dubtoses o d’emergència i donar l’alarma?
• Tenim una solució de detecció de malwares a tots els dispositius i servidors de l’organització?
• Hi ha algú encarregat de vigilar aquesta solució de detecció de malwares en tot moment o bé descobrirem els danys el dilluns al matí?

1. Sol·licitar Ajuda experta

L’Enrique entén ràpidament que no té els coneixements necessaris per respondre a aquest atac. Està molt preocupat en pensar que, per ara, només s’han identificat 3 treballadors que han descarregat el fitxer infectat, però és molt probable que molts altres hagin rebut també aquest correu i també l’hagin descarregat.

És qüestió de temps abans que la infecció estigui fora de control! Per això decideix contactar a una antiga col·lega, l’Ana, especialista en ciberseguretat.

L’Enrique explica ràpidament la situació a l’Ana, la qual us recomana les següents accions:

• Tallar les comunicacions dels dispositius infectats amb la xarxa local i Internet. Aquesta acció evita l’exfiltració de dades, la contaminació creuada i la recepció d’ordres malintencionades per part de persones externes a l’empresa.
• Esborrar el correu maliciós de totes les bústies de correu de la companyia. Aquesta acció evita que més persones descarreguin el malware i la infecció s’estengui.
• Revocar els accessos del Pablo, la María i l’Alberto als sistemes de l’empresa, i també el sistema de comptabilitat i els sistemes en xarxa. La revocació dels accessos permet limitar les possibilitats que els atacants puguin accedir als sistemes de lempresa.
• Examinar els registres (logs) dels principals sistemes de l’empresa i verificar si s’han fet accions il·legítimes des dels dispositius del Pablo, la Maria o l’Alberto. Hi ha algun fitxer que hagi estat llegit i/o potencialment extret?

Preguntes sobre l’accés a l’Ajuda

• Tenim accés, en tot moment, a experts en ciberseguretat que ens puguin ajudar en cas d’atac?
• ¿Podem aïllar ràpidament els dispositius de treball o servidors de la nostra xarxa i Internet, fins i tot en un context de teletreball?
• Sabem a què tenen accés els nostres treballadors i tenim la capacitat de revocar ràpidament aquests accessos? Per limitar la contaminació i conèixer la potencial envergadura dels danys
• Tenim accés ràpid als registres clau dels sistemes per poder comprendre l’abast potencial dels danys?

Avaluar els danys

Per sort, l’Enrique va poder fer amb rapidesa les operacions que l’Ana li va recomanar. L’empresa tenia les eines adequades, estaven ben configurades i l’Enric tenia l’experiència i els permisos suficients, per poder controlar ràpidament l’amenaça.

L’Ana, ara, convida a l’Enrique a avaluar els danys. Els registres dels sistemes clau ens permeten pensar que no hi va haver accessos il·legítims a ells.

Resulta necessari avaluar els arxius presents als dispositius afectats. L’Ana recomana les accions següents:

• Identificar, amb les víctimes, si els dispositius contenien fitxers amb informació confidencial.
• Verificar si aquests ordinadors van establir connexions amb destins (servidors) externs desconeguts i/o sospitosos.
• Verificar, amb les víctimes, si tenien accés a més sistemes informàtics que aquells en els que l’accés ha estat revocat i assegurar-se que estiguin ben aïllats.
• Prendre una mostra del malware de l’ordinador del Pablo i analitzar-lo. En cas de ser un malware conegut, sovint és possible trobar informació addicional que ens faciliti l’eliminació completa d’aquest hoste hostil i malintencionat.

Preguntes sobre l’avaluació dels danys

• Tenim un procés d’escalat que ens permeti comunicar ràpidament amb les victimes potencials en cas de ciberincident?
• Sabem on es troba la informació sensible a la nostra empresa, com la informació sobre els empleats, els nostres proveïdors, els nostres clients, la nostra propietat intel·lectual? Si aquesta informació està copiada a diversos llocs, és difícil demostrar que no ha estat robada en cas d’incident de seguretat.
• Disposem d’un inventari actualitzat dels sistemes a què té accés cada treballador? Quan el dispositiu o la identitat digital d’un empleat es veu compromesa, és molt més fàcil avaluar l’impacte de l’incident si sabem a quina informació els ciberdelinqüents poden tenir accés.
• Tenim el coneixement i experiència interns per fer la identificació d’un malware en un dispositiu electrònic i avaluar-ne la naturalesa?

La recuperació

Amb l’ajuda de l’Ana, l’Enric ha pogut identificar el malware. La tècnica d’eradicació va ser senzilla i es va poder fer amb rapidesa. A més a més, per sort, no hi havia cap dada confidencial als dispositius contaminats. Es van seguir les precaucions habituals abans de restablir els dispositius de les víctimes.

Una història que s’acaba bé, tan bé que podríem pensar que és una ficció organitzada per l’encarregat de seguretat. Normalment aquest no és el cas, la resposta a l’atac és molt més caòtica i els danys més grans.

Per això hem de respondre a les següents preguntes:

• Tenim còpies de seguretat actualitzades i que funcionen?
• En cas afirmatiu, les podem fer servir?
• Quina informació confidencial ha caigut potencialment en mans dels cibercriminals?
• Hem d’informar als nostres treballadors, clients, socis i a la nostra assegurança?
• Hem de reportar l’incident a les autoritats? Què ha de contenir la notificació de la bretxa de seguretat?

No oblidem

No n’hi ha prou amb haver “aprovat” una auditoria de ciberseguretat, encara que sigui amb nota, per estar preparat davant d’un ciberatac. Hem de ser capaços de reaccionar amb rapidesa i prendre les decisions correctes, altrament els danys podrien ser considerables.

Pots comptar amb ESCUDA per acompanyar-te en tot el procés de seguretat informàtica de la teva empresa, des de fer una auditoria de seguretat, fins a ajudar-te en cas d’incident o vulneració, sense oblidar formar i conscienciar els teus equips en ciberseguretat. Contacta’ns al 931931848 o emplenant aquest formulari.

Més informació:

Resposta a incidents INCIBE

Bretxa de seguretat per codi maliciós notificada a l’AEPD que s’arxiva sense sanció (pel nostre col·laborador Ramon Arnó Torrades)

Quel serait l’impact d’une cyberattaque sur votre organisation

Atac de ransomware, com puc recuperar la meva informació?

Serveis informàtics per guiar les PIMES i altres organitzacions en la seva Evolució Digital Segura