W związku z wojną na Ukrainie istnieje zwiększone zagrożenie w cyberprzestrzeni. Ogłoszono stopień alarmowy CHARLIE-CRP, dlatego zespół CERT przygotował rekomendacje dla Polaków i polskich przedsiębiorców, które powinni wdrożyć.
"Każdy z nas codziennie jest narażony na zagrożenia w cyberprzestrzeni, ale są momenty, gdy czujność trzeba jeszcze dodatkowo wzmocnić. W związku z obecną sytuacją na Ukrainie oraz ogłoszeniem stopnia alarmowego CHARLIE-CRP, polecamy przygotowane przez CERT Polska rekomendacje dla obywateli i firm, których wdrożenie uważamy za konieczne" - apeluje CSIRT Ministerstwa Obrony Narodowej.
Pamiętaj o kopii zapasowej
CERT rekomenduje, by każdy zapoznał się z zasadami bezpieczeństwa skrzynek pocztowych i kont w mediach społecznościowych. To jednak nie wszystko. Zespół podał kilka punktów, na które powinniśmy wrócić uwagę i które powinniśmy wdrożyć:
- uważać na sensacyjne informacje, w szczególności zachęcające do natychmiastowego podjęcia jakiegoś działania,
- weryfikować informacje w kilku źródłach i nie udostępniać jej dalej, jeśli mamy wątpliwości, co do ich autentyczności,
- uważać na wszelkie linki w wiadomościach mailowych i SMS-ach, zwłaszcza te sugerujące podjęcie jakiegoś działania, np. konieczność zmiany hasła, albo podejrzaną aktywność na koncie,
- posiadać kopię zapasową wszystkich ważnych plików i potrafić je przywrócić w przypadku takiej potrzeby,
- śledzić ostrzeżenia o nowych scenariuszach ataków na mediach społecznościowych zespołu CERT (Twitter, Facebook),
- zgłaszać każdą podejrzaną aktywność przez formularz dostępny na stronie CERT lub na specjalny adres mailowy cert@cert.pl. Podejrzane SMS-y należy wysyłać bezpośrednio na numer 799 448 084. Numer nadawcy wiadomości warto zapisać w telefonie.
Zobacz: Były minister obrony: Polacy mogą spać i pracować spokojnie. Jesteśmy bezpieczni
Ważne informacje dla przedsiębiorców
CERT przygotował również zasady postępowania dla przedsiębiorców. Należy:
- Przetestować przywracanie infrastruktury z kopii zapasowych. Kluczowe jest, żeby zostało to wykonane w praktyce na wybranych systemach, nie tylko proceduralnie.
- Upewnić się, że posiadane kopie zapasowe są odizolowane i nie ucierpią w przypadku ataku na resztę infrastruktury.
- Upewnić się, że dokonywane są aktualizacje oprogramowania, w szczególności dla systemów dostępnych z internetu. Należy zacząć od podatności, które są na liście obecnie aktywnie wykorzystywanych w atakach.
- Upewnić się, że wszelki dostęp zdalny do zasobów firmowych wymaga uwierzytelniania dwuskładnikowego.
- Przejrzeć usługi w adresacji firmowej dostępne z internetu i ograniczyć je do niezbędnego minimum. Można w tym celu wykorzystać np. portal Shodan. W szczególności nie powinny być bezpośrednio dostępne usługi pozwalające na zdalny dostęp jak RDP czy VNC.
- Aktualizować w sposób automatyczny sygnatury posiadanych systemów bezpieczeństwa typu AV, EDR, IDS, IPS, itd.
- Wdrożyć filtrowanie domen w sieci firmowej na bazie publikowanej przez nas listy ostrzeżeń. Dzięki temu w szybki sposób zablokowane zostaną zaobserwowane przez nas złośliwe domeny.
- Zapoznać się z przygotowanym przez CSIRT KNF poradnikiem dotyczącym obrony przed atakami DDoS i wdrożyć jego rekomendacje.
- Zapoznać się z naszym poradnikiem omawiającym sposoby wzmocnienia ochrony przed ransomware i wdrożyć jego rekomendacje.
- Zapoznać się z naszymi materiałami dotyczącymi bezpieczeństwa haseł.
- Zapoznać się z naszym artykułem dotyczącym mechanizmów weryfikacji nadawcy wiadomości i wdrożyć je dla domen wykorzystywanych do wysyłki poczty.
- W przypadku posiadania własnego zakresu adresów IP zalecamy dołączenie do platformy N6. Za jej pośrednictwem udostępniamy na bieżąco informacje o podatnościach i podejrzanej aktywności obserwowanej przez nas w podanym zakresie adresowym.
- Wyznaczyć osobę odpowiedzialną za koordynację działań w przypadku wystąpienia incydentu i przećwiczyć procedury reagowania.
- Uczulić pracowników na obserwację podejrzanej aktywności oraz poinformowanie o sposobie jej zgłaszania do wyznaczonej w firmie osoby.
- Zgłosić do nas osobę kontaktową, nawet jeśli nie zobowiązuje do tego ustawa. Dzięki temu będziemy w stanie szybko skontaktować się z właściwą osobą w celu przesłania ostrzeżenia.
- Zgłaszać każdą podejrzaną aktywność do właściwego CSIRT-u, tj.: CSIRT NASK, CSIRT GOV, CSIRT MON.
Szczególną ostrożność powinny zachować firmy, które współpracują z podmiotami na Ukrainie lub mają tam swoje oddziały. Wówczas należy również sprawdzić reguły dla dostępu sieciowego i ograniczyć dozwolony ruch do minimum, monitorować ruch sieciowy, w szczególności na styku sieci z tymi firmami/oddziałami, objąć szczególnym monitoringiem hosty, na których jest zainstalowane oprogramowanie, które otrzymuje automatyczne aktualizacje od podmiotów na Ukrainie oraz ostrzec pracowników, by byli szczególnie wyczuleni na informacje nakłaniające ich do podjęcia jakiegoś działania.
WP
Czytaj dalej:
Inne tematy w dziale Technologie