Kolejne akty prawne takie jak Ustawa o ochronie danych osobowych, a wcześniej RODO, czy Ustawa o krajowym systemie cyberbezpieczeństwa przykładają coraz większą wagę do odpowiedniego zarządzania incydentami cybernetycznymi. Niestety wspominając o odpowiedzialności, również finansowej, nie wskazywane są konkretne wytyczne i receptury postępowania w tego typu sytuacjach.
Przykładowo RODO w artykułach nr 25 i 32 wymaga ochrony danych w sposób odpowiedni (adekwatny do oszacowanego ryzyka dla tych danych), zaś w artykule 5 ust. 2, dodatkowo wspomniane jest o konieczności udowodnienia, iż zrobiło się wszystko, aby nie dopuścić do incydentów bezpieczeństwa oraz że zostały one poprawnie (skutecznie) obsłużone. Nie do pominięcia jest również nakaz ujawniania informacji o incydentach bezpieczeństwa, o czy mowa jest w artykule nr 33. Jak widać wymagania są dość szerokie i nieokreślone. Warto więc bliżej przyjrzeć się kwestii wykrywania incydentów cybernetycznych, a jeśli już do nich dojdzie, również złożoności procesu zarządzania nimi.
Warto zacząć od uregulowania kwestii definicyjnych. Otóż wg normy PN-ISO IEC 27000 incydent bezpieczeństwa, to pojedyncze niepożądane lub niespodziewane zdarzenie związane z bezpieczeństwem informacji lub seria takich zdarzeń, które stwarzają prawdopodobieństwo zakłócenia działań biznesowych i zagrażają bezpieczeństwu informacji.
Zarządzanie incydentami związanymi z bezpieczeństwem informacji według tej samej normy to procesy wykrywania, raportowania, szacowania, reagowania, podejmowania akcji i wyciągania wniosków z incydentów związanych z bezpieczeństwem informacji. Celowo wyróżnione zostały elementy składające się na zarządzanie incydentami, bo już sama definicja pokazuje jak złożona jest to kwestia i jak szerokie kompetencje powinien mieć zespół, który będzie obsługiwał tego typu zdarzenia.
Należy zauważyć, że obsługa incydentu zaczyna się już na etapie jego wykrycia, a żeby ten proces działał skutecznie konieczne jest aktywne poszukiwanie informacji, które pomogą w wykryciu incydentu po pojawieniu się jego pierwszych symptomów, a nie dopiero jak skutki zmaterializowania się zagrożenia będą łatwo dostrzegalne, co niekiedy oznacza, że napastnik już osiągnął zamierzone cele. „Wyścig” zespołu bezpieczeństwa z atakującym i kluczowe momenty z przebiegu incydentu zaprezentowano na rys. 1.
Incydenty bezpieczeństwa
Każdy życzyłby sobie, aby zarządzanie incydentem kończyło się na etapie jego wczesnego wykrywania i nigdy nie zaistniała potrzeba pisania raportów z przebiegu incydentu oraz szacowania strat poniesionych w jego konsekwencji. Patrząc na rysunek, można stwierdzić, iż chodzi o to aby odzyskanie kontroli nad sytuacją, co jest symbolizowane niebieską kreską na osi czasu, nastąpiło jak najszybciej, w szczególności przed osiągnięciem przez napastnika założonych celów. Jak łatwo zauważyć głównymi składowymi w okresie od rozpoczęcia ataku do odzyskania kontroli jest szybkie wykrycie incydentu, sprawna analiza tego co się wydarzyło i w końcu czas, w którym zostaną zrealizowane skuteczne działania, co w dużej mierze zależy od prawidłowości wyników analizy.
Przekładając to na konkretniejsze działania można przykładowo wymienić:
- wykrywanie pełnego zakresu ataku, rodzaju zagrożenia, Indicator of Compromise (IoC) – jest to istotne ponieważ współczesne ukierunkowane ataki są najczęściej działaniami wielowątkowymi, a niektóre z tych wątków są realizowane jedynie dla odwrócenia uwagi do zasadniczego celu;
- blokowanie komunikacji w kontekście wykrytego zagrożenia – ważne jest aby właściwie blokować przebieg i tym samym ograniczać eskalację ataku, jednocześnie w jak najmniejszym stopniu wpływając na działanie funkcji biznesowych;
- usuwanie podatności, dzięki którym atak mógł być skuteczny – oczywiście wcześniej podatności te muszą być zidentyfikowane. Czasami są to podatności znane, które były akceptowane z różnych powodów, ale często jest to coś nowego i ich poszukiwanie, na podstawie bieżących obserwacji trwa równolegle z eskalacją ataku;
- ograniczanie wpływu incydentu - tutaj pomocna będzie znajomość możliwych konsekwencji ataku, oszacowania prawdopodobieństwa i czasu odzyskania kontroli;
- dokumentowanie wykonywanych czynności – o tym często zapomina się w „ferworze walki”, a niestety później trzeba napisać rożnego typu sprawozdania, między innymi, aby udowodnić, że incydent bezpieczeństwa został poprawnie obsłużony.
Dopełniając obrazu zarządzania incydentami bezpieczeństwa należy wspomnieć o warunkach jakie panują od momentu wykrycia incydentu do momentu odzyskania kontroli. Otóż zespół obsługujący taką sytuację działa pod presją czasu, do tego bezpośrednio ze środowiskami produkcyjnymi, najczęściej bez możliwości „testowego” zweryfikowania podejmowanych decyzji. Do tego dochodzi wielowątkowość działań i współpraca z wieloma osobami, z którymi wcześniej mógł nawet nie mieć kontaktu, np. prawnikami, czy osobami odpowiadającymi za kontakt z mediami. To wszystko powoduje, że nawet najlepiej przygotowany teoretycznie administrator może zostać sparaliżowany tego typu sytuacją.
Security Operations Center (SOC)
Opisana złożoność, jak również uwarunkowania towarzyszące obsłudze cyberincydentów pokazują jakie umiejętności i predyspozycje powinien posiadać zespół podejmujący się tego zadania. Aby działać szybko i skutecznie musi wykazać się nie tylko najwyższym poziomem umiejętności administratorskich, biegłością w użytkowaniu specjalizowanych narzędzi, ale również dobrą znajomością procedur i wymagań prawnych. Zespół taki powinien też cyklicznie brać udział w szkoleniach typu „live-fire cyber defence”. W cyberbezpieczeństwie zadania takie realizują zespoły Security Operations Center (SOC). Można zauważyć tu pewną analogię do jednostek specjalnych, które zajmują się np. odbijaniem zakładników i w tym konkretnie ustawicznie się szkolą. Wiedząc, że takie zespoły są, chyba nikt nie powierzyłby tego zadania zwykłym jednostkom policji, czy też wojska.
Oczywiście ważne jest aby taki specjalny zespół dobrze znał teren, w którym przyjdzie mu działać, dlatego lepszym od incydentalnego „gaszenia pożaru” wymuszonego konkretnym zdarzeniem, jest stała współpraca. „W czasie pokoju” będzie ona polegała na monitorowaniu ochranianego środowiska, analizowaniu zagrożeń, które mogą być dla danego podmiotu niebezpieczne i ogólnym wspieraniu w doskonaleniu systemu bezpieczeństwa, zaś w przypadku zaistnienia incydentu, a tego nie można wykluczyć nigdy, wcześniej zgromadzona wiedza po stronie SOC pozwoli szybciej opracować i wdrożyć skuteczne środki zaradcze.
Kliknij, żeby dowiedzieć się więcej jak działa nasz zespół SOC.
Nasz zespół z przyjemnością Ci pomoże
Zadzwoń do nas lub zostaw wiadomość. Z chęcią poznamy Twój projekt, pomożemy ci rozwiązać problemy z infrastrukturą i odpowiemy na wszystkie Twoje pytania. Z naszego biura w Warszawie wspieramy organizacje w całej Polsce.