Tips & Trics

Ką reikia žinoti ir ko (ne)daryti įvykus kibernetiniam saugumo incidentui

  1. Izoliuoti kibernetinės atakos metu pažeistus įrenginius:
    1. Pažeistų įrenginių atjungimas nuo tinklo.
    2. Neperkrauti ir nieko nekeisti pažeistose sistemose (kitu atveju gali dingti vertinga incidento
      tyrimui reikalinga informacija).
  2. Atlikti veiksmus vadovaujantis organizacijos patvirtintu incidentų valdymo planu.
  3. Kiti rekomenduojami veiksmai:
    1. Apie incidentą informuokite NKSC (Nacionalinį kibernetinio saugumo centrą). Jeigu buvo paveikti
      asmens duomenys, informuokite VDAI (Valstybinė duomenų apsaugos inspekcija).
    2. Atkreipiame dėmesį, kad pažeidžiamumai turėtų būti pašalinti, sistemos ir failai turi būti
      atstatomi iš švarių atsarginių kopijų. Atstatydami serverio veiklą iš
      atsarginių kopijų, ne visada galite užkirsti kelią vykstančiai kibernetinei atakai, nes kenksmingo
      kodo kopija taip pat gali būti atstatyta kartu su duomenimis.
    3. Pakeiskite pagrindinius administratoriaus slaptažodžius.
    4. Peržiūrėkite prieigos teises (jei buvo nutekintas administratoriaus slaptažodis).
    5. Pakeiskite ir sugriežtinkite ugniasienės taisykles.
  4. Jei į serverius nėra sudiegtos antivirusinės apsaugos – skubiai sudiekite.
    1. Peržiūrėkite ar nėra paliktų nesaugiai atvertų RDP, SMB, SQL, SSH, FTP portų. Jeigu jie atviri –
      izoliuokite pagal GeoIP arba kitais sprendimais, pvz.: su 2FA/VPN.
    2. Nepalikite kitų spragų, kaip pvz. neatnaujinta OS ar  programinės įrangos su nustatytais sistemų
      pažeidžiamumais naudojimas.