Üdvözlöm Önöket! Az, amit most olvasnak, nem egy elméleti tanulmány, és nem is egy sajtóközlemény a tökéletes incidenskezelésről. Ez az én történetem. Az én vallomásom azokról a napokról, amikor a világ, amit építettem, fenntartottam és védtem, egyetlen pillanat alatt összeomlani látszott. Az én történetem arról, milyen érzés egy zsarolóvírus támadás epicentrumában állni, és minden felelősséggel, minden teherrel a vállamon küzdeni a túlélésért. A nevemet nem fedhetem fel, ahogy a cégét sem, de a tapasztalatom, a rémálom és a tanulságok – nos, azok valóságosabbak, mint bármi, amit valaha átéltem.
Az első pillanatok: Amikor a valóság eltorzul
Emlékszem, épp a reggeli kávémat kortyolgattam, amikor az első riasztás befutott. Nem egy szokványos riasztás volt. Nem egy túlterhelt szerver, nem egy elrontott felhasználói jelszó. Ez egy vészjelzés volt, ami azt üvöltötte: „baj van, óriási baj!” Az egyik junior rendszergazda hívott, remegő hangon. „Főnök, valami nem stimmel. A hálózati meghajtók kódolva vannak. Minden. Egy ismeretlen fájl jelent meg az asztalokon…” A vér megfagyott az ereimben. Tudtam, hogy mi az. A rémálom, amiről annyit olvastunk, amire annyit készültünk, most valósággá vált. A ransomware ütött be.
A következő percek ködösek. Az agyam egyszerre próbálta feldolgozni a tagadást, a pánikot és az azonnali cselekvési tervet. Azonnal megkezdtem a hálózat fizikai izolálását, amit csak tudtam. Telefonáltam a csapatom minden tagjának, még azoknak is, akik otthon voltak. „Mindenki be. Most. Van egy incidensünk.” A hangomra igyekeztem higgadtságot erőltetni, de belül a gyomrom görcsbe rándult. Lássuk be, IT vezetőként az ember mindig arra számít, hogy felkészült. Folyamatosan fejlesztjük a rendszereket, patch-elünk, oktatunk, szimulációkat tartunk. De abban a pillanatban rájöttem, hogy az elmélet és a gyakorlat között hatalmas szakadék tátong.
A káosz első 24 órája: Döntések, amik életeket befolyásolnak
Amikor a csapatom beérkezett, láttam a szemükben a rémületet és a kérdéseket. „Mi történt? Mekkora a baj? Meg tudjuk oldani?” A válaszok homályosak voltak. Először is, fel kellett mérnünk a kár nagyságát. Ez az első lépés minden incidensreakció tervben, de a valóságban ez egy lassú, gyötrelmes folyamat. Rendszer rendszert követve ellenőriztük, mi működik és mi nem. Szinte azonnal nyilvánvalóvá vált, hogy a támadás mélyen behatolt. A legtöbb szerver, a fájlmegosztók, az adatbázisok – mind kódolva voltak. Az adatokhoz való hozzáférés megszűnt. A zsarolók üzenete mindenhol ott virított: „A fájlait titkosítottuk. A visszafejtéshez fizetnie kell.”
A legnehezebb feladat a vezetőség tájékoztatása volt. A vezérigazgató, a pénzügyi igazgató, a jogi osztály – mindannyian engem néztek. Én voltam a felelős. Én voltam az, akinek meg kellett magyaráznia, hogyan történhetett ez. Először a műszaki részleteket akartam elmondani, de gyorsan rájöttem, hogy nem ez a lényeg. A lényeg a hatás volt: leállt az üzlet. Nincs termelés, nincs számlázás, nincs ügyfélkapcsolat. Milliók forogtak kockán percenként. A kérdés az volt: „Fizessünk?”
Egy ransomware támadás esetén ez a legégetőbb és legmegosztóbb kérdés. Kifizessük a váltságdíjat, és reménykedjünk, hogy visszakapjuk az adatainkat, vagy álljunk ellen, és próbáljuk meg saját erőből helyreállítani a rendszert a biztonsági mentésekből? A jogi osztály azonnal figyelmeztetett a fizetés jogi és etikai következményeire, nem beszélve arról, hogy semmi sem garantálja a visszafejtést. A pénzügyi osztály a kieső bevételek és a büntetések (GDPR és egyéb szabályozások) miatt aggódott. Én? Én csak azt akartam, hogy a cég újra működjön. Végül a vezetőség úgy döntött, nem fizetünk. Hosszú és nehéz döntés volt, amit az indokolt, hogy a biztonsági mentések, bár régebbiek voltak a kívánatosnál, de elvileg rendelkezésre álltak.
A helyreállítás kálváriája: Gyötrelem és elszántság
A döntés megszületett, de a munka csak ezután kezdődött igazán. A következő napok, hetek egyetlen hatalmas, elmosódott masszává olvadtak össze. 18-20 órás munkanapok, folyamatos koffein- és adrenalinfröccsök, némi szendvics. A csapatom fáradt volt, de elszánt. Szemükben láttam a kimerültséget, de soha nem adták fel. Együtt voltunk, ebben a közös katasztrófában. A rendszer helyreállítás lassú és fájdalmas volt.
Először is, fel kellett építenünk egy teljesen új, tiszta hálózatot, egy „steril” környezetet. Ezután kezdhettük meg a biztonsági mentések visszatöltését. Sajnos, a támadók a biztonsági mentések egy részét is elérhetővé tették, vagyis törölték, vagy kódolták. Ez volt az egyik legfájdalmasabb felismerés: a backup tervünk nem volt tökéletes. Az offline mentések mentették meg a bőrünket, de azok sem voltak frissek, ami adatvesztést jelentett.
A napok alatt a csapatommal azonosítottuk a sebezhetőséget, amelyen keresztül a támadók bejutottak. Egy elfeledett, nem frissített távoli hozzáférés szolgáltatás volt, amit egy régi projekt miatt hagytak meg. Egy apró lyuk a pajzson, ami elegendő volt. A forenzikus vizsgálat megmutatta, hogy a támadók hetekig, talán hónapokig tartózkodtak a hálózatunkon, mielőtt aktiválták volna a zsarolóvírust. Ezt hívják „dwell time”-nak, és a mi esetünkben ez sokkolóan hosszú volt. Ez volt a második nagy lecke: a behatolás érzékelése és a fenyegetés felderítése terén súlyos hiányosságaink voltak.
A helyreállítás során folyamatosan kommunikálnunk kellett a vezetőséggel, az alkalmazottakkal és a partnerekkel. A bizonytalanság félelmet szült, a pletykák pedig tüzet. A belső kommunikáció volt a legkritikusabb. Együttérzéssel, őszintén kellett tájékoztatni az embereket, anélkül, hogy pánikot keltenénk, de a valóságot sem elhallgatva. A vezetőség, a HR és a PR osztály folyamatosan segített ebben, ami felbecsülhetetlen volt.
A tanulságok és az új valóság: Az ára a tudásnak
Végül, hetekkel a támadás után, a rendszereink többsége újra működőképes volt. Az üzletmenet lassan, de biztosan újraindult. Azonban semmi sem volt már olyan, mint korábban. Nem csak a rendszer, hanem mi magunk is megváltoztunk.
Az első és legfontosabb tanulság: a kiberbiztonság nem egy IT probléma, hanem egy üzleti kockázat. Ezt minden vezetőnek a fejébe kell vésnie. Előtte is tudtuk, de most már éreztük a saját bőrünkön. A befektetés a biztonságba nem költség, hanem beruházás az üzletmenet folytonosságába.
Második tanulság: biztonsági mentés. Tudom, klisé. De az igazság az, hogy nem elég csak csinálni. Tesztelni kell. Rendszeresen. Offline és immutábilis mentések nélkül valószínűleg fizetnünk kellett volna. A 3-2-1 szabály (3 másolat, 2 különböző adathordozón, 1 külső helyszínen) nem tanács, hanem parancs.
Harmadik tanulság: incidensreakció terv. Nekünk volt, de a valóság felülírta. Át kellett írnunk, részletesebbé, gyakorlatiasabbá téve. Gyakorlatokat kell tartani, valósághű szimulációkat. A kommunikációs protokollok kidolgozása, a jogi és PR csapat bevonása már a tervezési fázisban elengedhetetlen.
Negyedik tanulság: patch management és sebezhetőség kezelés. Azonnali, szigorúbb protokollok bevezetése a rendszeres frissítésekre és a sebezhetőségi vizsgálatokra. A legkisebb rés is halálos lehet.
Ötödik tanulság: Emberi tényező. Folyamatos felhasználói oktatás. A social engineering a behatolások egyik leggyakoribb módja. A tudatosság növelése elengedhetetlen.
Hatodik tanulság: MFA (Multi-Factor Authentication) mindenhol, ahol csak lehet. Távoli hozzáférés, belső rendszerek, kiemelt fiókok. Minden, ami csak egy jelszóval védhető, sebezhető.
Hetedik tanulság: hálózati szegmentálás és zero trust elv. Ha a támadók bejutnak egy ponton, ne tudjanak szabadon garázdálkodni az egész hálózaton.
A támadás után az egész cég kultúrája megváltozott. A kiberbiztonság mindenki ügye lett, nem csak az IT-é. A vezetőség sokkal komolyabban vette a javaslatainkat, és jelentős forrásokat biztosított a megelőzésre és a technológiai fejlesztésekre. Bevezettük az EDR (Endpoint Detection and Response) rendszereket, megerősítettük a SIEM-ünket, folyamatosan monitorozzuk a hálózatot, és külső kiberbiztonsági tanácsadókkal is együtt dolgozunk.
Az én személyes vallomásom része az is, hogy a stressz, a felelősség súlya és az átélt trauma mély nyomot hagyott bennem. Hosszú ideig rettegtem minden reggel, hogy mi fog várni. A legkisebb hibaüzenet is szívritmuszavart okozott. De a csapatom támogatása, a vezetés bizalma és a közös cél, hogy megerősödve jöjjünk ki ebből, segített túlélni. Az IT vezető szerepe ekkor nem csak műszaki, hanem emberi vezetői feladattá is vált.
Záró gondolatok: A hegekkel járó bölcsesség
Az a néhány hét volt a legnehezebb a karrieremben. Átkozottul nehéz volt. De tanulságos is. Valószínűleg senki sem akarja átélni azt, amit mi. De ha mégis megtörténik, fontos, hogy ne adjuk fel. A felkészülés, a gyors és határozott cselekvés, a csapatmunka és a vezetőség támogatása elengedhetetlen.
Ha van egyetlen üzenet, amit szeretnék átadni ezzel a vallomással, az az: ne várják meg, amíg megtörténik a baj. Fektessenek be a kiberbiztonságba, oktassák a munkatársaikat, teszteljék a rendszereiket, és ami a legfontosabb, legyen egy jól kidolgozott, és rendszeresen gyakorolt katasztrófahelyzet kezelési tervük. Mert a következő zsarolóvírus támadás nem az „ha”, hanem a „mikor” kérdése lesz.
Ez volt az én történetem. A gyötrő napoké, a félelmeké és a túlélésé. Egy történet, ami remélhetőleg segíthet másoknak, hogy elkerüljék ezt a poklot.
Leave a Reply