Jak postupovat při podezření na bezpečností incident ****************************************************************************************** * ****************************************************************************************** Kybernetický incident může potkat každého – kliknutí na podvodný e-mail, ztracený notebook aplikace, která se sama nainstalovala... Důležité je nepanikařit, ale jednat rozumně a včas. ****************************************************************************************** * Co je bezpečnostní incident? ****************************************************************************************** Za bezpečnostní incident považujeme každou událost, která může ohrozit bezpečnost vašeho ú nebo univerzitních dat. Příklady • ztráta nebo krádež zařízení (notebook, mobil, USB disk), • podezřelý e-mail nebo zpráva, která se tváří jako komunikace z UK, • zjištění, že jste se přihlásili na falešnou stránku CAS, • neobvyklé chování počítače (sám odesílá e-maily, zpomaluje, otevírá reklamy), • náhlé uzamčení souborů s požadavkem na výkupné, • podezření, že váš účet používá někdo jiný. ****************************************************************************************** * Co udělat okamžitě? ****************************************************************************************** Postup se může lišit podle typu problému – ne vždy je nutné dělat všechny kroky hned. Pokud jste obdrželi podezřelý e-mail nebo zprávu • na odkazy neklikejte a přílohy neotvírejte, • e-mail přepošlete IT podpoře nebo bezpečnostnímu týmu k posouzení. Pokud máte podezření, že je zařízení napadeno nebo ztraceno: • pokud vás k tomu IT podpora nevyzve jinak, zařízení odpojte od internetu (Wi-Fi, kabel), • nepokoušejte se problém řešit sami ani neinstalujte „čisticí“ nástroje, • zařízení ponechte vypnuté nebo offline podle pokynů IT podpory. Změňte heslo do CAS Změňte si heslo do CAS zejména tehdy, pokud: • jste se přihlásili na podezřelé nebo falešné stránky, • máte podezření na zneužití účtu. Použijte jiný, důvěryhodný počítač a zvolte nové, silné heslo, které nepoužíváte jinde. Nahlaste incident IT podpoře fakulty nebo bezpečnostnímu týmu CSIRT-CUNI • čím dříve incident nahlásíte [ URL "https://csirt.cuni.cz/cs/incident_reporting/"] , tím škoda omezit. • pokud si nejste jistí, zda jde o incident, raději se poraďte – i podezření je důležité. Nevyšetřujte problém sami • neinstalujte žádné „čistící nástroje“ ani nestahujte podezřelý software, • zařízení ponechte vypnuté nebo v režimu offline, dokud IT pracovník neprovede kontrolu. ****************************************************************************************** * ****************************************************************************************** Jak incident nahlásit? Při hlášení poskytněte co nejvíce informací – pomůže to rychlejšímu vyřešení. Podrobný postup najdete v sekci Hlášení bezpečnostního incidentu [ URL "https://csirt.cuni incident_reporting/"] , kde se dozvíte, jak incident popsat, komu ho zaslat a jak probíhá Pokud dojde ke ztrátě zařízení s osobními daty studentů či zaměstnanců, IT oddělení situac Úřadu pro ochranu osobních údajů, jak ukládá legislativa. Jak poznat, že šlo o incident? Najednou se nemůžete přihlásit do univerzitního účtu. Změnilo se heslo bez vašeho vědomí. Z vašeho e-mailu odchází zprávy, které jste nenapsali. Souborům zmizela přípona nebo se nedají otevřít. Na obrazovce se objeví žádost o výkupné nebo upozornění na „vir“. Raději jednejte ihned – i planý poplach je lepší než přehlédnutý útok. Jak incidentům předcházet Buďte obezřetní při práci s e-maily a přílohami. Neinstalujte software z neznámých zdrojů. Používejte silná hesla a dvoufaktorové ověření. Pravidelně zálohujte důležitá data. Aktualizujte systém i aplikace. ****************************************************************************************** * ****************************************************************************************** Často kladené dotazy (FAQ) Mám nahlásit i e-mail, který „jen“ vypadal podezřele? • Ano. I když jste na nic neklikli, pomůže to IT oddělení odhalit probíhající útoky a ochr Klikl/a jsem na odkaz, ale nezadal/a jsem heslo – mám něco dělat? • Pro jistotu incident nahlaste. Útočníci mohou i bez zadání hesla shromažďovat informace IP adrese. Musím hlásit ztrátu notebooku se šifrovaným diskem? • Ano. Přestože nemůže díky šifrování disku dojít k úniku citlivých dat, univerzita musí p události evidovat. Jak postupovat v 5 bodech při podezření na útok 3. Změňte heslo do CAS [ URL "ldapuser.cuni.cz/account/password/nomenu/1"] z jiného, důvěr zařízení. 1. Zachovejte klid. 4. Nahlaste incident [ URL "https://csirt.cuni.cz/cs/incident_reporting/"] IT podpoře. 2. Odpojte zařízení od internetu (Wi-Fi, kabel, synchronizace s cloudem). 5. Nepokoušejte se problém řešit sami. Vyčkejte na pokyny IT oddělení. Pamatujte: Rychlá reakce může ochránit nejen vás, ale i univerzitní systémy a data kolegů. ****************************************************************************************** * ******************************************************************************************