Jak nie dać się rosyjskiej propagandzie i zabezpieczyć firmę przed atakiem? CERT publikuje instrukcję
Zrobiło się poważnie. Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego działający przy Ministerstwie Obrony Narodowej właśnie opublikował szereg zaleceń w związku z rozpoczęciem wojny w Ukrainie oraz ogłoszeniem stopnia alarmowego CHARLIE-CRP na terenie Polski. We współpracy z CERT Polska MON przygotowało rekomendacje zarówno dla firm, jak i dla zwykłych obywateli.
Zespół CERT Polska działający w strukturach Naukowej i Akademickiej Sieci Komputerowej przygotował szereg wytycznych, które każda firma i każdy obywatel powinien wdrożyć w związku z cyberzagrożeniami, jakie czyhają na nas w związku z rosyjską agresją. Co należy zrobić, aby nie paść ofiarą ataku lub dezinformacji?
Jak nie dać się rosyjskiej propagandzie i dezinformacji? Rekomendacje dla obywateli.
CSIRT Ministerstwa Obrony Narodowej zaleca obywatelom następujące działania:
Zapoznaj się z poradnikiem dotyczącym bezpieczeństwa skrzynek pocztowych i kont w mediach społecznościowych oraz zastosuj się do jego rekomendacji.
- Bądź wyczulony na sensacyjne informacje, w szczególności zachęcające do natychmiastowego podjęcia jakiegoś działania. Weryfikuj informacje w kilku źródłach. Upewnij się, że informacja jest prawdziwa przed podaniem jej dalej w mediach społecznościowych. Jeśli masz jakieś wątpliwości, wstrzymaj się.
- Uważaj na wszelkie linki w wiadomościach mailowych i SMS-ach, zwłaszcza te sugerujące podjęcie jakiegoś działania, np. konieczność zmiany hasła, albo podejrzaną aktywność na koncie. Obserwowaliśmy w przeszłości tego typu celowane ataki na prywatne konta, gdzie celem było zdobycie informacji zawodowych.
- Upewnij się, że posiadasz kopię zapasową wszystkich ważnych dla siebie plików i potrafisz je przywrócić w przypadku takiej potrzeby.
- Śledź ostrzeżenia o nowych scenariuszach ataków na naszych mediach społecznościowych: Twitter, Facebook.
- Zgłaszaj każdą podejrzaną aktywność przez formularz na stronie incydent.cert.pl lub mailem na cert@cert.pl. Podejrzane SMS-y prześlij bezpośrednio na numer 799 448 084. Rekomendujemy zapisanie go w kontaktach.
To bardzo dobre rekomendacje, które – prawdę mówiąc – każdy z nas powinien stosować każdego dnia nie tylko w sytuacji zagrożenia atakiem i zalewem propagandy. W dobie fake newsów i działań farm trolli powyższe rekomendacje można wręcz uznać za niezbędne minimum, by móc bezpiecznie poruszać się po internecie i mediach społecznościowych.
Jak przygotować swoją firmę na atak? Rekomendacje dla firm.
Osobną (i znacznie dłuższą) listę zaleceń CERT przygotował dla firm, które są w obecnej sytuacji o wiele bardziej zagrożone potencjalnym atakiem niż zwykle. Nie bez powodu na terenie całej Polski obowiązuje trzeci stopień zagrożenia CHARLIE-CRP, który wprowadzono po raz pierwszy od uchwalenia w 2016 r. ustawy antyterrorystycznej. CERT rekomenduje firmom następujące działania. Jak czytamy, należy:
- Przetestować przywracanie infrastruktury z kopii zapasowych. Kluczowe jest, żeby zostało to wykonane w praktyce na wybranych systemach, nie tylko proceduralnie.
- Upewnić się, że posiadane kopie zapasowe są odizolowane i nie ucierpią w przypadku ataku na resztę infrastruktury.
- Upewnić się, że dokonywane są aktualizacje oprogramowania, w szczególności dla systemów dostępnych z internetu. Należy zacząć od podatności, które są na liście obecnie aktywnie wykorzystywanych w atakach.
- Upewnić się, że wszelki dostęp zdalny do zasobów firmowych wymaga uwierzytelniania dwuskładnikowego.
- Przejrzeć usługi w adresacji firmowej dostępne z internetu i ograniczyć je do niezbędnego minimum. Można w tym celu wykorzystać np. portal Shodan. W szczególności nie powinny być bezpośrednio dostępne usługi pozwalające na zdalny dostęp jak RDP czy VNC.
- Aktualizować w sposób automatyczny sygnatury posiadanych systemów bezpieczeństwa typu AV, EDR, IDS, IPS, itd.
- Wdrożyć filtrowanie domen w sieci firmowej na bazie publikowanej przez nas listy ostrzeżeń. Dzięki temu w szybki sposób zablokowane zostaną zaobserwowane przez nas złośliwe domeny.
- Zapoznać się z przygotowanym przez CSIRT KNF poradnikiem dotyczącym obrony przed atakami DDoS i wdrożyć jego rekomendacje.
- Zapoznać się z naszym poradnikiem omawiającym sposoby wzmocnienia ochrony przed ransomware i wdrożyć jego rekomendacje.
- Zapoznać się z naszymi materiałami dotyczącymi bezpieczeństwa haseł.
- Zapoznać się z naszym artykułem dotyczącym mechanizmów weryfikacji nadawcy wiadomości i wdrożyć je dla domen wykorzystywanych do wysyłki poczty.
- W przypadku posiadania własnego zakresu adresów IP zalecamy dołączenie do platformy N6. Za jej pośrednictwem udostępniamy na bieżąco informacje o podatnościach i podejrzanej aktywności obserwowanej przez nas w podanym zakresie adresowym.
- Wyznaczyć osobę odpowiedzialną za koordynację działań w przypadku wystąpienia incydentu i przećwiczyć procedury reagowania.
- Uczulić pracowników na obserwację podejrzanej aktywności oraz poinformowanie o sposobie jej zgłaszania do wyznaczonej w firmie osoby.
- Zgłosić do nas osobę kontaktową, nawet jeśli nie zobowiązuje do tego ustawa. Dzięki temu będziemy w stanie szybko skontaktować się z właściwą osobą w celu przesłania ostrzeżenia.
- Zgłaszać każdą podejrzaną aktywność do właściwego CSIRT-u, tj.:
- CSIRT NASK
- CSIRT GOV
- CSIRT MON
CSIRT Ministerstwa Obrony Narodowej zaleca dodatkowe akcje, jeśli firma współpracuje z podmiotami z Ukrainy lub ma tam oddziały:
- Sprawdź reguły dla dostępu sieciowego, ogranicz dozwolony ruch do minimum.
- Monitoruj ruch sieciowy, w szczególności na styku sieci z tymi firmami/oddziałami.
- Obejmij szczególnym monitoringiem hosty, na których jest zainstalowane oprogramowanie, które otrzymuje automatyczne aktualizacje od podmiotów na Ukrainie.
- Ostrzeż pracowników, aby byli szczególnie wyczuleni na informacje nakłaniające ich do podjęcia jakiegoś działania.
Wojna toczy się nie tylko w Ukrainie, ale także w cyberprzestrzeni.
Ministerstwo Obrony Narodowej słusznie przestrzega przed zagrożeniem czyhającym ze strony dezinformacji i możliwych ataków na polskie firmy. Eksperci zwracają uwagę, że równolegle do ataku na Ukrainę trwa zmasowany atak propagandowy mający na celu wybielenie bestialskich działań Rosjan. Sądząc po tym, co dzieje się choćby na polskim Twitterze, rosyjskie fake newsy także i u nas padają na żyzny grunt.
Pilnie potrzeba szeroko zakrojonych kampanii informacyjnych, które uświadomią obywateli naszego kraju, jak rozpoznawać fałszywe informacje i przede wszystkim nie udostępniać informacji bez ich wcześniejszej weryfikacji. Niestety lata stopniowego pogrążania się w bagnie trollingu, fake newsów i polaryzacji społecznej skutecznie sprawiły, że dziś mało kto umie skutecznie odróżniać prawdę od fałszu. Rządowe Centrum Bezpieczeństwa już opublikowało pierwsze zalecenia dla obywateli. Pozostaje mieć nadzieję, że w krótkim czasie podjęte zostaną bardziej stanowcze działania, tak, by docierały do nas jedynie te doniesienia z Ukrainy, które są bezwzględnie prawdziwe, a nie te, które produkują rosyjskie farmy trolli.
