Se la tua rete è stata infettata da ransomware, agisci immediatamente per proteggere il tuo sistema. Invece di pagare il riscatto, che non garantisce il recupero dei tuoi dati, segnala l'attacco all'FBI e alle forze dell'ordine locali il più rapidamente possibile. Utilizza gli specialisti del recupero dati per riottenere l'accesso ai tuoi dati. Se è stato compromesso, potrebbe anche essere necessario informare i clienti, i clienti o i collaboratori interessati. Successivamente, analizza l'attacco in modo da poter proteggere meglio il tuo sistema per ridurre la probabilità di cadere nuovamente vittima di un attacco ransomware.
Passi
Metodo 1 di 3: lavorare con le forze dell'ordine
Passaggio 1. Contatta l'ufficio locale dell'FBI
Le forze dell'ordine federali si occupano di crimini su Internet, incluso il ransomware. Gli agenti dell'ufficio locale più vicino saranno in grado di aiutarti a ridurre al minimo i danni alla tua attività e potrebbero collaborare con le forze dell'ordine statali e locali per tentare di rintracciare l'autore.
L'FBI ha 56 uffici sul campo nelle principali aree metropolitane degli Stati Uniti. Per trovare quello più vicino a te, vai su https://www.fbi.gov/contact-us/field-offices e scegli il tuo stato dal menu a discesa denominato "Categorie"
Passaggio 2. Presentare un rapporto alla polizia locale per gestire le ripercussioni immediate
Se c'è stata una violazione fisica delle tue strutture, il tuo dipartimento di polizia locale può sicuramente aiutarti. Tuttavia, anche se le tue strutture effettive non sono state compromesse, la polizia locale può comunque raccogliere prove e darti consigli su come proteggere la tua attività.
Alcune forze di polizia locali potrebbero non sapere come gestire la criminalità su Internet, in particolare nelle piccole città e nelle aree rurali. Anche se potrebbero non avere le competenze e le attrezzature per fornire un'assistenza significativa, vale comunque la pena dedicare del tempo a presentare una denuncia alla polizia locale
Passaggio 3. Presentare un reclamo all'Internet Crime Complaint Center (IC3)
L'FBI mantiene l'IC3 su https://www.ic3.gov/. Sul sito Web è possibile presentare un reclamo che verrà inoltrato a tutte le forze dell'ordine competenti. Includi le seguenti informazioni nel tuo rapporto:
- La data dell'infezione da ransomware
- Il tipo di ransomware (elencato nella pagina del riscatto o guardando l'estensione del file di crittografia del ransomware)
- Informazioni sulla tua azienda, incluso il tuo settore e le dimensioni della tua attività
- Come si è verificata l'infezione
- L'importo del riscatto richiesto dagli hacker
- L'indirizzo del portafoglio di Bitcoin o di altre criptovalute dell'hacker se incluso nella pagina del riscatto
- L'importo totale del riscatto che hai già pagato (se presente)
- Perdite complessive associate all'infezione da ransomware, inclusa la perdita stimata di affari
Consiglio:
Se presenti un reclamo all'IC3, dovrai anche compilare un Victim Impact Statement, che è un modulo separato. Alcune delle informazioni in questo modulo potrebbero ripetere le informazioni che hai già fornito nel tuo reclamo.
Passaggio 4. Segnalare a HHS se i dati includevano informazioni sanitarie protette
Se hai un'attività nel settore sanitario coperta dall'Health Information Portability and Accountability Act (HIPAA), la legge federale richiede di segnalare eventuali incidenti ransomware al Dipartimento della salute e dei servizi umani (HHS) degli Stati Uniti. In base alla tua descrizione dell'infezione ransomware, HHS determinerà se è necessario informare le persone che le loro informazioni sono state compromesse e cosa dovrebbe includere la notifica.
L'HHS valuterà anche la tua rete e i tuoi sistemi informatici per garantire che stavi seguendo i protocolli di sicurezza dei dati richiesti da HIPAA. Se non lo fossi, potresti essere soggetto a sanzioni per non conformità. Tuttavia, l'auto-segnalazione dell'infezione e la riparazione del danno possono ridurre le sanzioni imposte alla tua attività
Passaggio 5. Parla con tutti i dipendenti coinvolti
In genere, il dipendente che scarica il ransomware ha commesso un errore innocente. È importante ottenere la loro versione della storia mentre i dettagli sull'incidente sono ancora freschi nella loro mente. Registra la conversazione e prendi appunti per le forze dell'ordine.
Intervista anche i dipendenti che hanno scoperto il ransomware. Scopri cosa è successo quando l'hanno scoperto e chi hanno contattato per parlare del problema. Registra l'intervista per le forze dell'ordine
Passaggio 6. Disconnettere tutte le apparecchiature interessate
Può essere difficile rimuovere il ransomware e recuperare i dati. Tuttavia, mettere offline la tua attrezzatura può aiutare a ridurre i danni che il ransomware può causare e impedire che i dati vengano rubati.
- Non spegnere completamente i computer o altre apparecchiature finché i funzionari della sicurezza dei dati o le forze dell'ordine non ti diranno che puoi farlo. Ciò potrebbe potenzialmente comportare una perdita di dati o prove preziose.
- Fare attenzione a non distruggere alcuna prova che potrebbe essere ospitata sui computer o sulla rete, ad esempio cercando di eliminare il ransomware o i file di crittografia.
Metodo 2 di 3: Notifica a clienti o clienti
Passaggio 1. Assumi un consulente legale per aiutarti a determinare le tue responsabilità
In alcune circostanze, un attacco ransomware può essere considerato una violazione dei dati ai sensi della legge statale o federale. Un avvocato può aiutarti a determinare se è necessario informare i clienti oi clienti della violazione e quali informazioni dovrebbe contenere tale avviso. In generale, se un attacco ransomware costituisce una violazione dei dati si basa su 4 criteri:
- Tipo di dati: le informazioni sanitarie, finanziarie e di identità personale in genere determinano i requisiti di notifica
- Le leggi federali e statali che potrebbero applicarsi ai dati che hai archiviato
- Come e dove vengono archiviati i dati, incluso se è stato eseguito il backup o crittografato
- Come funziona il ransomware stesso, incluso come è entrato nel sistema e se consente agli hacker di accedere o manipolare i tuoi dati o semplicemente tenerli in ostaggio
Passaggio 2. Consulta le forze dell'ordine sui tempi delle tue notifiche
Rendere pubbliche l'infezione ransomware e la possibile violazione dei dati prima che le forze dell'ordine abbiano completato le indagini iniziali potrebbe ostacolare tali indagini, in particolare se esiste il rischio che gli hacker vengano a conoscenza dell'invio di notifiche. Inoltre, le forze dell'ordine possono raccomandare di informare prima solo le persone o le aziende interessate, con una potenziale notifica pubblica in seguito.
- Rilasciare una notifica pubblica troppo presto potrebbe suscitare il panico, a seconda della natura della tua attività e del tipo di informazioni che hai.
- Vuoi anche assicurarti di non rilasciare informazioni attraverso le tue notifiche che potrebbero potenzialmente ostacolare le indagini delle forze dell'ordine.
Passaggio 3. Designare una persona di contatto per le informazioni relative alla violazione
Una singola persona nella tua azienda dovrebbe essere responsabile della gestione di tutte le comunicazioni esterne relative all'infezione da ransomware e alla potenziale violazione dei dati. Scegli qualcuno a livello dirigenziale che sia in grado di occuparsi delle indagini pubbliche e di coordinare la risposta delle forze dell'ordine, nonché di occuparsi delle azioni di qualsiasi agenzia di regolamentazione.
- A seconda delle dimensioni della tua attività e del numero di persone o aziende potenzialmente interessate, potresti voler creare un sito Web dedicato o un numero verde che le persone possono utilizzare per ottenere informazioni sull'infezione e sulla potenziale violazione dei dati.
- Se non si dispone delle informazioni di contatto di tutte le persone potenzialmente interessate, potrebbe essere necessario avviare una campagna di pubbliche relazioni più consistente per assicurarsi che chiunque sia potenzialmente interessato abbia un preavviso adeguato. Ad esempio, se sei un rivenditore, potresti non avere le informazioni di contatto di tutti i clienti che hanno utilizzato carte di credito nel tuo negozio.
Passaggio 4. Contattare le principali agenzie di credito se esiste il rischio di furto di identità
Se i dati coinvolti includevano nomi e numeri di previdenza sociale, c'è il rischio che l'identità di quelle persone possa essere rubata. Le principali agenzie di credito possono fornirti maggiori informazioni e consigli su come informare le persone del rischio. In genere, le persone interessate dovrebbero inserire avvisi di frode o blocchi del credito nei propri file. Utilizza le seguenti informazioni per le 3 principali agenzie di credito:
- Equifax: https://equifax.com/ o 1-800-685-1111
- Experian: https://experian.com/ o 1-888-397-3742
- TransUnion: https://transunion.com/ o 1-888-909-8872
Passaggio 5. Inviare una notifica scritta alle persone e alle aziende interessate
Redigere una lettera che includa una chiara descrizione dell'infezione ransomware, i passaggi che hai intrapreso per proteggere i loro dati e i dati che sono stati potenzialmente interessati. Chiudi con consigli su cosa dovrebbero fare per proteggersi dal furto di identità o da altri rischi associati.
La FTC ha una lettera modello che puoi utilizzare disponibile su
Consiglio:
Chiedi a un avvocato di controllare la tua notifica prima di inviarla. Possono assicurarsi che sia conforme a tutte le leggi applicabili che regolano la tua situazione.
Metodo 3 di 3: proteggere la tua attività
Passaggio 1. Assumi un esperto di sicurezza dei dati per analizzare il tuo sistema
Un esperto di sicurezza dei dati può osservare come il ransomware ha influito sul tuo sistema e creare protocolli che proteggeranno i tuoi dati da infezioni simili in futuro. Possono anche lavorare per disabilitare il ransomware e recuperare i tuoi dati.
Puoi trovare esperti con una semplice ricerca online. Tuttavia, anche se il tempo è essenziale, non assumere semplicemente il nome che compare. Guarda il background e la reputazione di qualsiasi esperto di sicurezza che stai pensando di assumere. Controlla le loro referenze e, se hanno certificazioni, cerca quelle certificazioni per assicurarti che siano ancora attive e in regola
Passaggio 2. Limitare le autorizzazioni degli utenti di rete per scaricare o installare software
Spesso, le infezioni da ransomware si verificano quando un dipendente fa clic su un collegamento in un'e-mail che sembra provenire da una fonte affidabile. Se quel dipendente ha accesso solo alle parti del tuo sistema di cui ha bisogno, ci sono meno possibilità che il ransomware influisca sull'intero sistema e comprometta i tuoi dati.
Solo 1 o 2 persone nella tua azienda che sono personale IT qualificato o amministratori di rete dovrebbero avere l'autorizzazione per scaricare e installare nuovo software. Puoi eliminare questa autorizzazione da tutti gli altri account utente dei dipendenti
Consiglio:
Forma i tuoi dipendenti a non fare clic sui collegamenti attivi nelle e-mail, anche se sembrano provenire da un collega. In caso di dubbio, i dipendenti devono sempre contattare il presunto mittente per sapere se l'e-mail proviene da loro.
Passaggio 3. Effettua backup giornalieri o settimanali dei dati che conservi
Mantenere i backup su un disco rigido esterno non connesso a Internet. Se cadi vittima di un attacco ransomware in futuro, puoi caricare un backup dei tuoi dati e continuare come al solito.
Anche se dovrai comunque presentare una segnalazione alle forze dell'ordine e informare i clienti oi clienti se i dati sono stati corrotti o rubati, almeno l'attacco non interromperà la tua attività nel frattempo
Passaggio 4. Mantieni aggiornati il software e i sistemi operativi
Gli aggiornamenti includono spesso patch di sicurezza che migliorano le vulnerabilità che gli hacker possono sfruttare. Se non hai scaricato l'ultimo aggiornamento, gli hacker possono dire che il tuo sistema è ancora vulnerabile e potrebbero tentare di trarne vantaggio.
- Idealmente, configura tutti i software e i sistemi operativi per l'aggiornamento automatico in un momento in cui la tua attività non è aperta. In questo modo, puoi essere sicuro di utilizzare sempre il software più aggiornato sul tuo sistema.
- Assicurati che anche il tuo software antivirus sia aggiornato ed esegui scansioni su base giornaliera o settimanale. Questo ti aiuterà a trovare e mettere in quarantena i virus prima che infettino l'intera rete.
Passaggio 5. Creare un piano scritto per rispondere a eventuali attacchi futuri
Sfortunatamente, essere colpiti da un attacco ransomware può rendere la tua azienda un bersaglio per attacchi di follow-up. Gli hacker potrebbero provare a spacciarsi per esperti di sicurezza dei dati o offrire soluzioni per proteggere la tua azienda quando in realtà ti stanno solo preparando per un altro attacco. Se sai come reagirai, sarai un passo avanti a loro.
- Assicurati che tutti i dipendenti leggano e comprendano il piano e il ruolo che svolgeranno se il tuo sistema viene attaccato.
- Rivedi il tuo piano almeno una volta ogni 6 mesi e aggiornalo se necessario per tenere conto delle modifiche al tuo sistema o degli aggiornamenti tecnologici.
