Если ваша сеть заражена программой-вымогателем, немедленно примите меры, чтобы защитить свою систему. Вместо того, чтобы платить выкуп, который не гарантирует восстановления ваших данных, как можно скорее сообщите об атаке в ФБР и местные правоохранительные органы. Обратитесь к специалистам по восстановлению данных, чтобы восстановить доступ к своим данным. Если он был взломан, вам также может потребоваться уведомить затронутых клиентов, заказчиков или партнеров. После этого проанализируйте атаку, чтобы вы могли лучше защитить свою систему и снизить вероятность снова стать жертвой атаки программы-вымогателя.
Шаги
Метод 1 из 3: Работа с правоохранительными органами
Шаг 1. Свяжитесь с местным полевым офисом ФБР
Федеральные правоохранительные органы занимаются преступлениями в Интернете, включая программы-вымогатели. Сотрудники ближайшего полевого офиса смогут помочь вам минимизировать ущерб вашему бизнесу и могут сотрудничать с правоохранительными органами штата и местными властями, чтобы попытаться найти преступника.
У ФБР 56 полевых офисов в крупных городах США. Чтобы найти ближайший к вам, перейдите на страницу https://www.fbi.gov/contact-us/field-offices и выберите свой штат в раскрывающемся меню с надписью «Категории»
Шаг 2. Подайте заявление в местную полицию, чтобы немедленно принять меры
Если в ваших помещениях произошло физическое нарушение, местное отделение полиции определенно может помочь с этим. Однако, даже если ваши фактические объекты не были взломаны, местная полиция все равно может собрать доказательства и дать вам совет о том, как защитить ваш бизнес.
Некоторая местная полиция может не знать, как бороться с интернет-преступностью, особенно в небольших городах и сельской местности. Хотя у них может не быть опыта и оборудования для оказания какой-либо существенной помощи, вам все же стоит подать заявление в местную полицию
Шаг 3. Подайте жалобу в Центр жалоб на Интернет-преступления (IC3)
ФБР поддерживает IC3 по адресу https://www.ic3.gov/. На сайте вы можете подать жалобу, которая будет направлена во все соответствующие правоохранительные органы. Включите в свой отчет следующую информацию:
- Дата заражения программой-вымогателем
- Тип программы-вымогателя (указан на странице с требованием выкупа или по расширению файла шифрования программы-вымогателя).
- Информация о вашей компании, включая вашу отрасль и размер вашего бизнеса
- Как произошло заражение
- Сумма выкупа, запрошенного хакерами.
- Биткойн или адрес кошелька другой криптовалюты хакера, если он указан на странице с требованием выкупа.
- Общая сумма выкупа, которую вы уже заплатили (если есть)
- Общие убытки, связанные с заражением программой-вымогателем, включая предполагаемую потерю бизнеса
Кончик:
Если вы подаете жалобу в IC3, вам также необходимо заполнить Заявление о воздействии на потерпевшего, которое представляет собой отдельную форму. Некоторая информация в этой форме может повторять информацию, которую вы уже предоставили в своей жалобе.
Шаг 4. Сообщите в HHS, если данные включали защищенную информацию о здоровье
Если у вас есть бизнес в секторе здравоохранения, на который распространяется Закон о переносимости и подотчетности медицинской информации (HIPAA), федеральный закон требует, чтобы вы сообщали о любых инцидентах с использованием программ-вымогателей в Департамент здравоохранения и социальных служб США (HHS). Основываясь на вашем описании заражения программой-вымогателем, HHS определит, нужно ли вам уведомлять людей о том, что их информация была скомпрометирована, и что должно включать ваше уведомление.
HHS также оценит вашу сеть и компьютерные системы, чтобы убедиться, что вы соблюдаете протоколы безопасности данных, требуемые HIPAA. В противном случае к вам могут быть применены санкции за несоблюдение. Однако самостоятельное сообщение о заражении и устранение повреждений может уменьшить санкции, наложенные на ваш бизнес
Шаг 5. Поговорите со всеми вовлеченными сотрудниками
Обычно сотрудник, скачивающий программу-вымогатель, совершает невинную ошибку. Важно понять их точку зрения, пока подробности инцидента еще свежи в их памяти. Запишите разговор и сделайте заметки для правоохранительных органов.
Также возьмите интервью у сотрудников, обнаруживших программу-вымогатель. Узнайте, что произошло, когда они узнали об этом, и с кем они связались, чтобы сообщить о проблеме. Запишите интервью для правоохранительных органов
Шаг 6. Отключите все поврежденное оборудование
Удалить программу-вымогатель и восстановить данные может быть сложно. Однако отключение оборудования может помочь уменьшить ущерб, который может нанести программа-вымогатель, и предотвратить кражу данных.
- Не выключайте полностью свои компьютеры или другое оборудование, пока сотрудники службы безопасности данных или правоохранительные органы не сообщат вам об этом. Это потенциально может привести к потере данных или ценных доказательств.
- Позаботьтесь о том, чтобы не уничтожить какие-либо доказательства, которые могут быть размещены на ваших компьютерах или в сети, например, пытаясь удалить программы-вымогатели или файлы шифрования.
Метод 2 из 3: уведомление клиентов или заказчиков
Шаг 1. Нанять юрисконсульта, который поможет определить ваши обязанности
В некоторых случаях атака программы-вымогателя может считаться утечкой данных в соответствии с законодательством штата или федеральным законодательством. Адвокат может помочь вам определить, нужно ли вам уведомлять клиентов или заказчиков о нарушении и какую информацию должно содержать это уведомление. Как правило, определение того, является ли атака программы-вымогателя утечкой данных, зависит от 4 критериев:
- Тип данных: информация о состоянии здоровья, финансов и личности, как правило, запускает требования к уведомлению.
- Федеральные законы и законы штата, которые могут применяться к хранимым вами данным.
- Как и где хранятся данные, включая резервное копирование или шифрование
- Как работает программа-вымогатель, включая то, как она попала в систему и позволяет ли хакерам получать доступ к вашим данным, манипулировать ими или просто удерживать их в заложниках.
Шаг 2. Проконсультируйтесь с правоохранительными органами о сроках отправки уведомлений
Обнародование информации о заражении программами-вымогателями и возможной утечке данных до того, как правоохранительные органы завершат свои первоначальные расследования, может помешать этим расследованиям, особенно если существует риск, что хакеры будут знать, что уведомления были отправлены. Кроме того, правоохранительные органы могут рекомендовать сначала уведомлять только затронутых лиц или компании, а позднее - возможное публичное уведомление.
- Слишком ранний выпуск публичного уведомления может спровоцировать панику в зависимости от характера вашего бизнеса и типа информации, которой вы располагали.
- Вы также хотите убедиться, что через свои уведомления вы не разглашаете информацию, которая потенциально может помешать расследованию правоохранительных органов.
Шаг 3. Назначьте контактное лицо для получения информации о нарушениях
Один человек в вашем бизнесе должен нести ответственность за обработку всех внешних сообщений о заражении программами-вымогателями и потенциальной утечке данных. Выберите кого-то на уровне руководства, кто способен проводить публичные расследования и координировать ответные меры правоохранительных органов, а также реагировать на действия любых регулирующих органов.
- В зависимости от размера вашего бизнеса и количества лиц или предприятий, которые могут быть затронуты, вы можете создать специальный веб-сайт или бесплатный номер, по которому люди смогут получать информацию о заражении и потенциальной утечке данных.
- Если у вас нет контактной информации обо всех потенциально затронутых людях, вам может потребоваться более масштабная кампания по связям с общественностью, чтобы удостовериться, что любой, кто потенциально может пострадать, получил надлежащее уведомление. Например, если вы являетесь розничным продавцом, у вас может не быть контактной информации всех клиентов, которые использовали кредитные карты в вашем магазине.
Шаг 4. Свяжитесь с основными кредитными бюро, если есть риск кражи личных данных
Если задействованные данные включают имена и номера социального страхования, существует риск того, что личности этих людей могут быть украдены. Крупные кредитные бюро могут предоставить вам дополнительную информацию и советы о том, как уведомить людей о риске. Как правило, пострадавшие должны размещать в своих файлах предупреждения о мошенничестве или о замораживании кредитов. Используйте следующую информацию для 3 основных кредитных бюро:
- Equifax: https://equifax.com/ или 1-800-685-1111
- Experian: https://experian.com/ или 1-888-397-3742
- TransUnion: https://transunion.com/ или 1-888-909-8872
Шаг 5. Отправьте письменное уведомление пострадавшим лицам и предприятиям
Составьте письмо с четким описанием заражения программой-вымогателем, шагами, которые вы предприняли для защиты их данных, и данными, которые потенциально были затронуты. В заключение дайте совет о том, что им следует делать, чтобы защитить себя от кражи личных данных или других связанных рисков.
У FTC есть образец письма, который вы можете использовать, по адресу
Кончик:
Попросите адвоката просмотреть ваше уведомление, прежде чем отправлять его. Они могут убедиться, что это соответствует всем применимым законам, которые регулируют вашу ситуацию.
Метод 3 из 3: защита вашего бизнеса
Шаг 1. Нанять эксперта по безопасности данных для анализа вашей системы
Эксперт по безопасности данных может посмотреть, как программа-вымогатель повлияла на вашу систему, и создать протоколы, которые защитят ваши данные от аналогичных заражений в будущем. Они также могут отключать программы-вымогатели и получать ваши данные.
Вы можете найти экспертов с помощью простого онлайн-поиска. Однако, даже если время имеет существенное значение, не стоит просто нанимать первое имя, которое всплывает. Посмотрите на опыт и репутацию любого эксперта по безопасности, которого вы собираетесь нанять. Проверьте их рекомендации и, если у них есть сертификаты, поищите эти сертификаты, чтобы убедиться, что они все еще активны и имеют хорошую репутацию
Шаг 2. Ограничьте права пользователей сети на загрузку или установку программного обеспечения
Часто заражение программами-вымогателями происходит, когда сотрудник щелкает ссылку в электронном письме, которое выглядит так, как будто оно пришло из надежного источника. Если у этого сотрудника есть доступ только к тем частям вашей системы, которые ему необходимы, вероятность того, что программа-вымогатель затронет всю вашу систему и поставит под угрозу ваши данные, меньше.
Только 1-2 человека в вашей компании, обученный ИТ-персонал или сетевые администраторы, должны иметь разрешение на загрузку и установку нового программного обеспечения. Вы можете удалить это разрешение из всех учетных записей других сотрудников
Кончик:
Обучите сотрудников не переходить по активным ссылкам в электронном письме, даже если кажется, что они исходят от коллеги. В случае сомнений сотрудники всегда должны связываться с предполагаемым отправителем, чтобы узнать, пришло ли письмо от них.
Шаг 3. Делайте ежедневные или еженедельные резервные копии хранимых данных
Храните резервные копии на внешнем жестком диске, не подключенном к Интернету. Если вы станете жертвой атаки программ-вымогателей в будущем, вы можете загрузить резервную копию своих данных и продолжить работу в обычном режиме.
Хотя вам по-прежнему необходимо подать отчет в правоохранительные органы и уведомить клиентов или клиентов, если какие-либо данные были повреждены или украдены, по крайней мере, атака тем временем не нанесет ущерба вашему бизнесу
Шаг 4. Регулярно обновляйте программное обеспечение и операционные системы
Обновления часто включают исправления безопасности, которые устраняют уязвимости, которыми могут воспользоваться хакеры. Если вы не загрузили последнее обновление, хакеры могут сказать, что ваша система все еще уязвима, и могут попытаться воспользоваться этим.
- В идеале настройте все программное обеспечение и операционные системы на автоматическое обновление в то время, когда ваш бизнес закрыт. Таким образом, вы можете быть уверены, что всегда используете самое последнее программное обеспечение в своей системе.
- Убедитесь, что ваше антивирусное программное обеспечение также обновлено, и запускайте сканирование ежедневно или еженедельно. Это поможет вам найти и поместить в карантин вирусы, прежде чем они заразят всю вашу сеть.
Шаг 5. Составьте письменный план реагирования на любые будущие атаки
К сожалению, атака программы-вымогателя может сделать ваш бизнес мишенью для последующих атак. Хакеры могут попытаться выдать себя за экспертов по безопасности данных или предложить решения для защиты вашего бизнеса, хотя на самом деле они просто настраивают вас на новую атаку. Если вы знаете, как вы ответите, вы будете на шаг впереди них.
- Убедитесь, что все сотрудники прочитали и поняли план, а также роль, которую они будут играть в случае атаки на вашу систему.
- Пересматривайте свой план не реже одного раза в 6 месяцев и обновляйте его по мере необходимости, чтобы учесть изменения в вашей системе или обновления технологий.
