Incidentu reaģēšana — ātrā kiberuzbrukuma novēršana un seku likvidācija
Ja jūsu uzņēmums ir uzlauzts — rīkojieties nekavējoties. Katra stunda kavēšanās palielina kaitējumu: dati tiek iznēsāti, sistēmas šifrētas, un uzbrucēji nostiprina savu klātbūtni jūsu tīklā.
Zvaniet securIT incidentu reaģēšanas komandai tagad: +371 27555221. Mēs esam pieejami 24/7, un pirmā atbilde — 4 stundu laikā.
securIT incidentu reaģēšanas (Incident Response — IR) pakalpojums nodrošina profesionālu krīzes vadību no uzbrukuma ierobežošanas līdz pilnai sistēmu atjaunošanai. Mūsu komanda veic forenzisko izmeklēšanu, palīdz izpildīt CERT.LV un DVI (Datu valsts inspekcija) ziņošanas prasības un ievieš aizsardzību pret atkārtotiem uzbrukumiem.
Ko darīt TŪLĪT, ja jūsu uzņēmums ir uzlauzts
Ja šobrīd saskaraties ar aktīvu kiberuzbrukumu, veiciet šīs darbības nekavējoties:
1. NEIZSLĒDZIET datorus un serverus — tas var iznīcināt pierādījumus, kas nepieciešami izmeklēšanai. Izņēmums — ja ransomware aktīvi šifrē failus, atvienojiet inficēto ierīci no tīkla (izvelciet tīkla kabeli vai izslēdziet Wi-Fi).
2. Atvienojiet inficētās sistēmas no tīkla — neļaujiet uzbrukumam izplatīties. Neatvienojiet visu tīklu, ja iespējams izolēt tikai skartās sistēmas.
3. Fiksējiet laiku un notikumus — pierakstiet, kad pamanījāt problēmu, kādas pazīmes novērojat, kuras sistēmas ir skartas. Šī informācija ir kritiska izmeklēšanai.
4. Nemainiet paroles vēl — ja uzbrucējs ir jūsu tīklā, viņš redzēs jaunās paroles. Paroles maināsim kontrolēti pēc uzbrucēja izolēšanas.
5. Zvaniet securIT: +371 27555221 — mūsu incidentu reaģēšanas komanda sāks darbu nekavējoties.
securIT incidentu reaģēšanas process
Mūsu incidentu reaģēšanas komanda strādā pēc strukturēta procesa, kas balstīts uz NIST SP 800-61 standartu un pielāgots Latvijas regulatīvajai videi.
Fāze 1: Sākotnējā novērtēšana un ierobežošana (pirmās 1-4 stundas). Mūsu analītiķi attālināti vai uz vietas izvērtē situāciju: kādas sistēmas ir kompromitētas, kāds ir uzbrukuma veids, vai uzbrukums joprojām ir aktīvs. Nekavējoties veicam ierobežošanas darbības — izolējam kompromitētās sistēmas, bloķējam ļaunprātīgās IP adreses, atceļam nesankcionētās piekļuves.
Fāze 2: Forenziskā izmeklēšana (1-5 dienas). Detalizēta analīze par to, kā uzbrucējs iekļuva, ko darīja jūsu sistēmās, kādiem datiem piekļuva un vai dati tika iznēsāti. Šī informācija ir nepieciešama gan drošības uzlabošanai, gan juridiskajām un regulatīvajām prasībām.
Fāze 3: Izskaušana un atjaunošana (2-10 dienas atkarībā no apjoma). Pilnīga uzbrucēja klātbūtnes likvidēšana no jūsu sistēmām. Kompromitēto kontu paroles maiņa. Sistēmu atjaunošana no tīriem dublējumiem. Drošības ielāpu instalēšana.
Fāze 4: Pēcincidenta darbības. Detalizēts incidenta ziņojums. Rekomendācijas drošības uzlabošanai. SOC ieviešana, lai novērstu atkārtotus uzbrukumus.
Ziņošanas pienākumi — CERT.LV, DVI un NIS2
Kiberincidenta gadījumā Latvijas uzņēmumiem ir likumiski pienākumi, kuru neizpilde var novest pie papildu sodiem. securIT komanda pilnībā pārvalda šo procesu jūsu vārdā.
CERT.LV ziņošana (obligāta NIS2 subjektiem): Sākotnējais brīdinājums — 24 stundu laikā pēc incidenta konstatēšanas. Pilns incidenta ziņojums — 72 stundu laikā. Noslēguma ziņojums — 1 mēneša laikā.
Datu valsts inspekcija (DVI) ziņošana (obligāta, ja skarti personas dati): GDPR paredz paziņošanu DVI 72 stundu laikā, ja datu aizsardzības pārkāpums var radīt risku fizisku personu tiesībām. Ja risks ir augsts, jāinformē arī skartās personas.
securIT sagatavo visus nepieciešamos ziņojumus, nodrošinot, ka tie atbilst formas un satura prasībām. Mēs arī palīdzam sagatavot iekšējos ziņojumus vadībai un valdei, kā arī komunikāciju ārējām ieinteresētajām pusēm.
Reaģēšanas laiki un SLA garantijas
securIT incidentu reaģēšanas pakalpojums piedāvā skaidrus un izmērāmus pakalpojuma līmeņa līgumus (SLA).
Pirmā atbilde — 4 stundu laikā pēc pieteikuma saņemšanas. Tas nozīmē, ka mūsu analītiķis sazināsies ar jums un sāks sākotnējo novērtēšanu maksimāli 4 stundu laikā. Kritiskiem incidentiem (aktīvs ransomware, aktīva datu eksfiltrācija) — pirmā atbilde 1 stundas laikā.
Incidenta ierobežošana — tipiskais laiks ir 2-8 stundas pēc darba uzsākšanas, atkarībā no uzbrukuma sarežģītības un infrastruktūras apjoma.
Pilna forenziskā izmeklēšana — 3-10 darba dienas. Sarežģītākiem incidentiem — līdz 20 darba dienām.
Sistēmu atjaunošana — atkarīga no kaitējuma apjoma. Vienkāršos gadījumos — 1-3 dienas. Pilnīga infrastruktūras atjaunošana pēc ransomware uzbrukuma — līdz 2-4 nedēļām.
Retainer klienti (uzņēmumi ar iepriekš noslēgtu IR līgumu) saņem prioritāru apkalpošanu un samazinātas reaģēšanas laikus.
Incidentu reaģēšanas izmaksas
Incidentu reaģēšana tiek piedāvāta divās modelīs:
Retainer modelis (ieteicamais) — ikmēneša maksa, kas garantē prioritāru pieejamību un fiksētas stundas likmes incidenta gadījumā. Retainer maksa sākas no €500/mēnesī un ietver arī gada drošības pārbaudi un IR plāna izstrādi. Incidenta gadījumā darba stundas tiek rēķinātas pēc retainer likmes.
Ad-hoc modelis — bez iepriekšēja līguma. Piemērots uzņēmumiem, kuriem jau ir aktīvs incidents. Stundas likme ir augstāka nekā retainer klientiem, bet darbu sākam nekavējoties. Minimālais pasūtījums — 20 darba stundas.
Abos gadījumos pirms darba uzsākšanas tiek saskaņots apjoms un maksimālais budžets. Nav pārsteigumu rēķinos.
Svarīgi: katra aizkavēšanās palielina incidenta izmaksas. Vidējais kiberincidents Eiropā izmaksā €3,5-4,5 miljonus. Ātra profesionāla reaģēšana var samazināt šos zaudējumus par 50-70%.
Pēc incidenta — kā novērst atkārtošanos
Incidenta novēršana ir tikai puse no darba. securIT nodrošina, ka līdzīgs uzbrukums nevar atkārtoties.
Pēc katra incidenta mēs sagatavojam detalizētu rekomendāciju ziņojumu ar konkrētiem drošības uzlabojumiem, prioritizētiem pēc riska līmeņa un ieviešanas sarežģītības.
Lielākā daļa mūsu incidentu reaģēšanas klientu pēc incidenta izvēlas ieviest securIT SOC pakalpojumu — nepārtrauktu 24/7 drošības uzraudzību, kas novērš turpmākus uzbrukumus agrīnā stadijā. SOC pakalpojumu varam uzsākt jau 2 nedēļu laikā pēc incidenta noslēguma.
Papildus piedāvājam darbinieku pikšķerēšanas simulācijas un drošības apmācības — jo vairāk nekā 90% uzbrukumu sākas ar cilvēcisko faktoru.
Nepietiekami ir tikai novērst incidentu — jānodrošina, lai mācības tiktu iemācītas un sistēmas nostiprinātas.
Biežāk uzdotie jautājumi
Cik maksā incidentu reaģēšana, ja mums nav iepriekšēja līguma?
Ad-hoc incidentu reaģēšana tiek rēķināta pēc stundas likmes ar minimālo pasūtījumu 20 darba stundas. Pirms darba uzsākšanas saskaņojam apjomu un budžetu. Retainer klienti saņem ievērojami izdevīgākas likmes. Zvaniet mums tagad +371 27555221, lai apspriestu jūsu situāciju — sākotnējā konsultācija ir bezmaksas.
Cik ilgi aizņem atjaunošana pēc ransomware uzbrukuma?
Atjaunošanas laiks ir atkarīgs no kaitējuma apjoma un dublējumu pieejamības. Ja ir pieejami neskarti dublējumi, kritiskās sistēmas var atjaunot 1-3 dienu laikā. Pilna infrastruktūras atjaunošana var aizņemt 2-4 nedēļas. securIT paralēli veic forenzisko analīzi, lai noskaidrotu uzbrukuma cēloni un novērstu atkārtošanos.
Vai mums ir pienākums ziņot par kiberincidentu?
Jā, ja esat NIS2/NKDL subjekts — ziņošana CERT.LV ir obligāta 24 stundu laikā. Ja incidentā skarti personas dati — ziņošana DVI ir obligāta 72 stundu laikā saskaņā ar GDPR. Neziņošana var novest pie papildu sodiem. securIT pilnībā pārvalda ziņošanas procesu jūsu vārdā.
Vai securIT var strādāt attālināti vai ir jābrauc uz vietas?
Lielāko daļu incidentu reaģēšanas darbu varam veikt attālināti, izmantojot drošus attālpiekļuves rīkus. Ja nepieciešama fiziska klātbūtne (piemēram, serveru forenziskā analīze, tīkla iekārtu konfigurēšana), mūsu komanda ierodas uz vietas Latvijā. Ārpus Latvijas — pieejami partneruzņēmumi Baltijas reģionā.
Ko darīt, ja neesam droši, vai esam uzlauzti?
Zvaniet mums: +371 27555221. Mēs varam veikt ātru drošības novērtējumu, lai noskaidrotu, vai jūsu sistēmas ir kompromitētas. Labāk pārbaudīt un konstatēt, ka viss kārtībā, nekā ignorēt pazīmes un ļaut uzbrucējam turpināt darbību jūsu tīklā.