Kā rīkoties pēc kiberuzbrukuma

Rīcības plāns pēc kiberuzbrukuma — tūlītējie soļi, izolēšana, pierādījumu saglabāšana, CERT.LV un DVI paziņošana, atkopšana.

2025. gada 20. maijs
securIT

Kiberuzbrukums var skart jebkuru uzņēmumu — neatkarīgi no lieluma vai nozares. Kritiski svarīgi ir tas, ko darāt pirmajās stundās un dienās pēc incidenta atklāšanas. Pareiza un ātra rīcība var būtiski samazināt kaitējumu, savukārt haotiska vai novēlota reaģēšana var padarīt situāciju daudzkārt sliktāku.

Šajā rakstā sniegsim strukturētu rīcības plānu, kas piemērojams dažādu veidu kiberuzbrukumiem — no izspiedējvīrusiem līdz datu noplūdēm.

1. solis — Neraustieties, bet rīkojieties ātri

Pirmā reakcija uz kiberuzbrukumu bieži ir panika. Tas ir saprotami, bet bīstami — panikā pieņemti lēmumi var iznīcināt pierādījumus vai pasliktināt situāciju.

Galvenie principi:

  • Neieslēdziet un neizslēdziet sistēmas bez apzināta lēmuma — izslēgšana var iznīcināt operatīvās atmiņas pierādījumus
  • Nemaksājiet izpirkumu nekavējoties — tas negarantē datu atgūšanu un finansē turpmākus uzbrukumus
  • Nedēzējiet logus — tie ir kritiski pierādījumi
  • Sāciet dokumentēt visu no pirmā brīža — laikus, novērojumus, veiktās darbības

Ja jūsu uzņēmumam ir SOC pakalpojums, SOC komanda, visticamāk, jau ir pamanījusi incidentu un uzsākusi reaģēšanu. Sazinieties ar viņiem nekavējoties.

2. solis — Izolēšana (Containment)

Mērķis — apturēt uzbrukuma izplatīšanos un novērst turpmāku kaitējumu.

Tīkla izolēšana:

  • Atvienojiet skartās sistēmas no tīkla (izvelciet tīkla kabeli vai deaktivizējiet Wi-Fi), bet neieslēdziet datoru
  • Ja uzbrukums ir aktīvs un izplatās, apsveriet atsevišķu tīkla segmentu izolēšanu
  • Mainiet VPN un attālās piekļuves akreditācijas datus, lai bloķētu uzbrucēja atkārtotu piekļuvi

Kontu drošība:

  • Mainiet kompromitēto kontu paroles
  • Atsauciet aktīvās sesijas un tokenus
  • Ieslēdziet MFA, ja tā vēl nav ieslēgta

Dokumentēšana:

  • Pierakstiet, kuras sistēmas ir skartas
  • Fiksējiet laiku, kad incidents tika atklāts
  • Pierakstiet visas veiktās darbības un to laikus

3. solis — Pierādījumu saglabāšana

Pierādījumi ir kritiski gan turpmākai izmeklēšanai, gan tiesībsargājošo iestāžu vajadzībām, gan apdrošināšanas prasībām.

Ko saglabāt:

  • Sistēmu žurnāli (logfaili) — ugunsmūra, serveru, e-pasta, antivīrusa
  • Tīkla trafika ieraksti
  • E-pasti, kas saistīti ar uzbrukumu (pikšķerēšanas e-pasti, izspiedējvīrusa paziņojumi)
  • Skarti faili — neizdzēsiet šifrētos failus vai ļaunprogrammatūras paraugus
  • Ekrānuzņēmumi un fotogrāfijas

Ko nedarīt:

  • Neformatējiet vai nepārinstalējiet skartās sistēmas, kamēr pierādījumi nav nodrošināti
  • Neizdzēsiet e-pastus vai čatu vēsturi, kas saistīta ar incidentu
  • Nepalaižiet antivīrusa skenēšanu uz skartajām sistēmām (tas var mainīt pierādījumus)

Ja jums nav forenziskās izmeklēšanas pieredzes, iesaistiet speciālistu. securIT var palīdzēt ar incidentu izmeklēšanu un pierādījumu nodrošināšanu.

4. solis — Novērtēšana

Kad izolēšana ir pabeigta, novērtējiet incidenta apjomu:

  • Kādas sistēmas ir skartas? Serveri, darbstacijas, mākoņpakalpojumi?
  • Kādi dati ir skarti? Vai ir skarti personas dati (GDPR aspekts)? Konfidenciāli biznesa dati?
  • Kā uzbrucējs iekļuva? Pikšķerēšana, ievainojamības izmantošana, kompromitēti akreditācijas dati?
  • Vai uzbrucējs joprojām ir sistēmā? Vai ir atstātas aizmugures durvis (backdoors)?
  • Kāds ir biznesa ietekmes apjoms? Cik ilgi sistēmas ir nepieejamas? Kādi ir finansiālie zaudējumi?

5. solis — Paziņošana

Atkarībā no incidenta veida un apjoma, ir jāpaziņo vairākām pusēm:

CERT.LV

CERT.LV ir Latvijas nacionālā kiberdrošības incidentu reaģēšanas institūcija. Paziņojiet CERT.LV par jebkuru nopietnu kiberincidentu — viņi var sniegt tehnisku palīdzību un informēt par līdzīgiem uzbrukumiem citām organizācijām.

Ja esat NIS2 subjekts, paziņošana ir obligāta ar noteiktiem termiņiem:

  • 24 stundu laikā — sākotnējais brīdinājums
  • 72 stundu laikā — detalizēts paziņojums
  • 1 mēneša laikā — gala ziņojums

DVI (Datu valsts inspekcija)

Ja incidents skar personas datus un rada risku datu subjektu tiesībām, jāpaziņo DVI 72 stundu laikā saskaņā ar GDPR prasībām.

Datu subjekti

Ja personas datu pārkāpums rada augstu risku fizisko personu tiesībām, jāinformē arī skarti datu subjekti (klienti, darbinieki).

Vadība un valde

Uzņēmuma vadībai jābūt informētai par incidentu un tā iespējamām sekām — finansiālām, operacionālām, reputācijas un juridiskām.

Apdrošināšanas kompānija

Ja uzņēmumam ir kiberdrošības apdrošināšana, nekavējoties paziņojiet apdrošinātājam. Ievērojiet polises nosacījumus — noteiktas darbības var ietekmēt apdrošināšanas segumu.

6. solis — Iznīcināšana un atkopšana

Kad izolēšana un novērtēšana ir pabeigta, sākas aktīvā fāze:

Iznīcināšana (Eradication):

  • Noņemiet ļaunprogrammatūru no skartajām sistēmām
  • Aizveriet ievainojamības, caur kurām uzbrucējs iekļuva
  • Noņemiet aizmugures durvis un nesankcionētus kontus
  • Atjauniniet visas kompromitētās paroles un sertifikātus

Atkopšana (Recovery):

  • Atjaunojiet sistēmas no tīrām rezerves kopijām (pārliecinieties, ka kopijas nav inficētas!)
  • Pakāpeniski atjaunojiet tīkla savienojumus, monitorējot anomālijas
  • Testējiet atjaunotās sistēmas pirms pilnvērtīgas ekspluatācijas
  • Pastipriniet uzraudzību pēc atkopšanas — uzbrucēji bieži atgriežas

7. solis — Mācīšanās un uzlabošana

Pēc incidenta atrisināšanas veiciet detalizētu pēcincidenta analīzi:

  • Kas notika? Pilna incidenta hronoloģija
  • Kāpēc tas notika? Pamatcēloņu analīze
  • Kas strādāja? Kuri drošības pasākumi palīdzēja
  • Kas nestrādāja? Kuri pasākumi bija nepietiekami
  • Ko mainīt? Konkrēti uzlabošanas pasākumi ar termiņiem un atbildīgajiem

Rezultātus dokumentējiet un ieviesiet izmaiņas — gan tehniskās, gan procesuālās. Atjauniniet incidentu reaģēšanas plānu, balstoties uz gūto pieredzi.

Incidentu reaģēšanas plāna sagatavošana

Labākais laiks sagatavoties kiberuzbrukumam ir pirms tā notiek. Katram uzņēmumam vajadzētu būt gatavam incidentu reaģēšanas plānam:

  • Atbildīgo personu kontaktinformācija — kas pieņem lēmumus 24/7
  • Eskalācijas procedūras — kādi incidenti prasa kādas eskalācijas
  • Komunikācijas plāns — kas ko komunicē (iekšēji, klientiem, medijiem, regulatoriem)
  • Tehniskās procedūras — izolēšanas, pierādījumu saglabāšanas, atkopšanas soļi
  • Ārējo partneru kontaktinformācijaSOC sniedzējs, CERT.LV, DVI, jurists, apdrošinātājs

Plāns jātestē vismaz reizi gadā ar galda vingrinājumu (tabletop exercise), kur komanda izspēlē fiktīvu incidenta scenāriju.

Biežāk uzdotie jautājumi (BUJ)

Vai jāmaksā izspiedējvīrusa izpirkums? Vairums kiberdrošības ekspertu un tiesībsargājošās iestādes iesaka nemaksāt. Iemesli: nav garantijas, ka saņemsiet atšifrēšanas atslēgu; jūs finansējat noziedzīgu darbību; un jūs kļūstat par atkārtotu mērķi. Tomēr katrs gadījums ir unikāls — ja nav rezerves kopiju un bizness ir apdraudēts, konsultējieties ar kiberdrošības un juridiskiem speciālistiem pirms lēmuma pieņemšanas.

Cik ātri jāreaģē uz kiberuzbrukumu? Jo ātrāk, jo labāk. Pirmās stundas ir kritiskas — tās nosaka, vai uzbrukums tiek apturēts pie vienas sistēmas vai izplatās pa visu infrastruktūru. Tieši tāpēc SOC uzraudzība ir tik vērtīga — SOC konstatē un reaģē uz incidentiem reāllaikā, ne tad, kad darbinieks pamanīs kaut ko aizdomīgu.

Vai jāziņo policijai par kiberuzbrukumu? Jā, it īpaši, ja ir radīti finansiāli zaudējumi vai nozagti dati. Latvijā kibernoziegumi ir Valsts policijas kompetencē. Ziņojiet arī CERT.LV, kas var sniegt tehnisku palīdzību un koordinēt reaģēšanu. Jo vairāk organizāciju ziņo, jo labāk tiesībsargājošās iestādes var izsekot un apturēt uzbrucējus.

Kā novērst atkārtotu uzbrukumu? Izprotiet, kā uzbrucējs iekļuva, un novērsiet šo ievainojamību. Ieviesiet papildu drošības pasākumus — MFA, tīkla segmentēšanu, SOC uzraudzību. Apmāciet darbiniekus par pikšķerēšanas atpazīšanu. Un galvenais — regulāri testējiet savus drošības pasākumus, nevis tikai pieņemiet, ka tie darbojas.

Vai vēlaties uzlabot sava uzņēmuma kiberdrošību? Sazinieties ar securIT[email protected] vai +371 27555221.