Świadomość zagrożeń związanych z cyberbezpieczeństwem znacząco rośnie. Nie zmienia to faktu, że w dalszym ciągu wszyscy jesteśmy podatni na cyberataki i kradzież danych osobowych, czy też innych informacji o nas. Dlatego dziś nie będziemy mówić o tym, jak się bronić, tylko jak się zachować, gdzie szukać informacji, gdy już dojdzie do incydentu bezpieczeństwa informacji w naszej organizacji.
Biorąc pod uwagę fakt, że cyberbezpieczeństwo dotyczy nas, nie tylko w pracy, ale również prywatnie, dobrze jest mieć świadomość jak najlepiej zareagować na incydent w cyberprzestrzeni. Dlaczego warto o tym mówić? Bo bez względu na to, czy incydent dotknie nas w pracy, czy w domu, zapewne będzie się to wiązało z większymi emocjami np. stresem. Dlatego tak ważne jest mieć tę wiedzę, zareagować na taką sytuację, a przynajmniej starać się zachować tzw. zimną krew.
Zapewne inaczej będzie wyglądało podejście do praktyk stosowanych w dużej korporacji a inaczej w mniejszej organizacji czy instytucji publicznej. Zasady i odpowiedzialność dotyczące reagowania na incydenty mogą różnić się w zależności od wielkości np. urzędu, organizacji oraz liczby pracowników czy też jej zasobów.
Postaram się przedstawić na tyle ogólnie sam zarys czy obraz reakcji na incydent bezpieczeństwa, aby zrozumieć jak ważny jest to składnik, w szeroko pojmowanym procesie zarządzania bezpieczeństwem informacji oraz jakie ogólne elementy powinien on zawierać.
PLAN REAGOWANIA NA INCYDENT – Co to za dokument i czy mam go w swojej organizacji?
Plan reagowania na incydenty – to zestaw narzędzi i procedur, które Twój zespół bezpieczeństwa może wykorzystać do identyfikacji i usuwania skutków zagrożeń cybernetycznych. Powinien być zaprojektowany tak, aby pomóc Twojemu zespołowi szybko i jednolicie reagować na wszelkiego rodzaju zagrożenia zewnętrzne.
Oczywiście, proces reagowania na incydenty powinien opierać się m.in. na regulacjach oraz przepisach prawa, lecz nie można zapominać o zbudowaniu właściwego zespołu reagowania czy też planie postępowania/reakcji na incydenty.
W ostatnich latach można zauważyć dużą dynamikę wzrostu liczby ataków i incydentów w obszarze cyberbezpieczeństwa w jednostkach samorządowych. Jak wiadomo załatwianie spraw urzędowych to dla nasz chleb powszedni. Pochylę się bardziej ku reagowaniu na incydenty właśnie w takich instytucjach – jednostkach samorządowych.
Wyniki nie chcą być inne. Niestety, po naszych audytach można zauważyć, że wiele organizacji czy urzędów nie jest w pełni przygotowanych do radzenia sobie z incydentami bezpieczeństwa w systemach informatycznych, zaczynając od dokumentacji a kończąc na zabezpieczeniach IT.
Miejmy nadzieję, że pomocny w tej walce okaże się unijny projekt – „Cyberbezpieczny Samorząd”, który ma na celu wesprzeć finansowo jednostki samorządu terytorialnego w podniesieniu poziomu cyberbezpieczeństwa w jednostkach.
Zacznijmy jednak od początku.
Zgodnie z art. 4 krajowy system cyberbezpieczeństwa obejmuje m.in. „…podmioty publiczne, w tym m.in. jednostki sektora finansów publicznych”. Jest to najliczniejsza grupa, gdyż obejmuje całą administrację, samorządy terytorialne i spółki komunalne.
Zapewne kluczowe z punktu widzenia każdego z nas jako obywatela jest to, by zwłaszcza jednostki samorządu terytorialnego dbały o bezpieczeństwo systemów informatycznych, ponieważ przechowują one olbrzymie ilości naszych danych.
Z punktu widzenia jednostek samorządu terytorialnego, również powinno mieć to szczególne znaczenie, gdyż takie naruszenie bezpieczeństwa informacji może prowadzić do następujących skutków: obniżenie produktywności (brak dostępu do informacji, niedziałające systemy informatyczne), dodatkowa praca z obsługą zdarzenia (obsługa skarg, pisma do urzędów), zarządzanie mediami (komunikaty o zdarzeniu, opłata za publikację), czy też mniejsza lojalność pracowników (np. w przypadku ujawnienia informacji o dokładnych zarobkach). Czego oczywiście żadnemu urzędowi nie życzymy.
Wobec tego, z mojego punktu widzenia, kluczowe jest, aby zrozumieć, że oprócz konsekwencji, jakie dotykają osoby odpowiedzialne, niezbędna jest znajomość postępowania przed i po wystąpieniu sytuacji kryzysowej.
Oczywiście, nie istnieje jedna niezawodna recepta zapewniająca bezpieczeństwo zasobów firmowych, ale każdy z pracowników – tak, dobrze czytacie Drodzy Państwo, podkreślę jeszcze raz – każdy pracownik powinien znać procedury reagowania na cyberincydenty i wiedzieć do kogo i jak je zgłosić.
Organizacje, które mają wdrożoną normę ISO 27001, z pewnością już posiadają dokumentację związaną z Systemem Zarządzania Bezpieczeństwem Informacji, a w niej procedury i formularze związane z zarządzaniem incydentem.
Po co, tak naprawdę potrzebny nam jest plan reagowania na incydent?
Tak jak już wspomniałam, incydent bezpieczeństwa jest często sytuacją, która wywiera dużą presję. Posiadanie wcześniej zaplanowanych kroków reagowania na incydenty pomaga w natychmiastowej i bardziej zorganizowanej reakcji i może oszczędzić wielu niepotrzebnych skutków biznesowych, finansowych i związanych z nimi szkód dla organizacji oraz jej reputacji. Nie wliczając już dodatkowego, niepotrzebnego stresu.
Kiedy dochodzi do incydentu bezpieczeństwa, każda sekunda ma znaczenie. Infekcje złośliwym oprogramowaniem szybko się rozprzestrzeniają, ransomware może spowodować katastrofalne szkody. Zagrożone konta mogą zostać wykorzystane do eskalacji uprawnień, prowadząc napastników do bardziej wrażliwych zasobów.
Gdy incydent bezpieczeństwa cybernetycznego zostanie potwierdzony, ważne jest, aby jak najszybciej poinformować odpowiednie strony. Na przykład przepisy dotyczące prywatności, takie jak RODO, wymagają w niektórych przypadkach osobistego powiadomienia osób, których dane dotyczą. A także powiadomienia organu nadzorczego w przypadku naruszenia danych osobowych.
W zależności od powagi naruszenia należy zaangażować dział prawny, prasowy i kierownictwo. W wielu przypadkach inne działy, takie jak obsługa klienta, oczywiście z IT na czele, muszą podjąć natychmiastowe działania.
Co powinien zawierać plan reagowania na incydent?
Plan reagowania na incydenty powinien zawierać m.in.:
- Jasno określać, w zależności od rodzaju i powagi naruszenia, kto powinien zostać poinformowany,
- Pełne dane kontaktowe oraz sposób komunikacji z każdą odpowiednią stroną, aby zaoszczędzić czas w następstwie ataku,
- Wsparcie kierownictwa,
- Konsekwentne testowanie.
Pierwszym priorytetem przy wdrażaniu cyberbezpieczeństwa reagowania na incydenty jest przygotowanie się z wyprzedzeniem poprzez wprowadzenie konkretnego planu. Metodyka reagowania na incydenty powinna być przetestowana przed wystąpieniem poważnego ataku lub naruszenia danych. Powinna ona obejmować następujące fazy reakcji, zgodnie z definicją zawartą w podręczniku NIST Computer Security Incident Handling Guide (SP 800-61 r2). (źródło: Poradnik- Najlepsze praktyki obsługi incydentu naruszenia cyberbezpieczeństwa związanego z atakiem ransomware w podmiocie publicznym v1.0.0 (sekurak.pl)
Zgodnie z NIST SP 800-61r2, na proces obsługi incydentu składają się cztery główne etapy:
1) przygotowanie,
2) detekcja i analiza,
3) powstrzymanie, usunięcie i odtworzenie,
4) aktywność po incydencie.
Przygotowanie – Planowanie z wyprzedzeniem, jak obsługiwać i zapobiegać incydentom bezpieczeństwa. Działania te mogą obejmować między innymi szkolenie użytkowników z zakresu prawidłowego korzystania z systemów informatycznych i identyfikowania zagrożeń (np. wyłapywanie podejrzanych wiadomości), ale nie powinny się do nich ograniczać.
Detekcja wykrywanie i analiza – Obejmuje wszystko, od monitorowania potencjalnych wektorów ataku, przez poszukiwanie oznak incydentu, po ustalanie priorytetów.
Powstrzymanie, usunięcie i odtworzenie – Opracowanie strategii zapobiegania, identyfikowanie i łagodzenie skutków atakowanych hostów i systemów oraz posiadanie planu odzyskiwania zasobów.
Aktywność po incydencie – Przegląd wniosków i posiadanie planu przechowywania dowodów. Może to pomóc w identyfikacji luk, w tym niedoskonałości procedur, oraz dać impuls do zmiany.
Zarządzanie incydentami bezpieczeństwa jest sformalizowane. Obecnie obowiązujące przepisy zostały przygotowane, aby zaimplementować zapisy dyrektywy Parlamentu Europejskiego i Rady (UE) w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (dyrektywa 2016/1148), tzw. Dyrektywa NIS. Na tej podstawie została wdrożona ustawa o Krajowym systemie cyberbezpieczeństwa (dalej: ustawa o KSC).
Ważne! Organizacje samorządowe muszą stworzyć możliwości obsługi formalnej incydentów. Jest to narzucone przez przepisy prawa związane m.in. z ochroną danych osobowych.
Dodatkowo muszą stale wracać do swojego procesu zarządzania incydentami, w przeciwnym razie narażą się na ryzyko niewłaściwie zarządzanych incydentów, które mogą doprowadzić do niepotrzebnych opóźnień i zwiększania kosztów.
O czym należy pamiętać!
– Jeśli incydent dotyczy naruszenia ochrony danych osobowych np. poprzez ich nieuprawnione udostępnienie, wówczas Administrator tych danych musi powiadomić Urząd Ochrony Danych Osobowych w ciągu 72 godzin, o tej sytuacji zgodnie z art. 33 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: ogólne rozporządzenia o ochronie danych).
– z ustawy o KSC wynika, że w przypadku wystąpienia incydentu, Organizacje muszą (w ciągu 24 godzin, jeśli to incydent krytyczny) dokonać zgłoszenia incydentu do właściwego CSIRT. W przypadku jednostek samorządowych jest to CSIRT NASK (art. 22 ustawy o KSC).
Podsumowanie: Nie możemy zapomnieć o tym, że jednym z najsłabszych ogniw w „cyberwalce” jest człowiek. Same oprogramowania, narzędzia, różne rozwiązania, które mają wpływ na ochronę zasobów organizacji, urzędów, same nie zrobią bezpieczeństwa. Choćby najlepsze, najbardziej wydajne – wymagają obsługi. To tylko narzędzia, które potrzebują analizy, procesów, czasu oraz strojenia. Dlatego tak ważne jest, aby przykład był z przysłowiowej „góry”, aby to najwyższe kierownictwo rozwijało kulturę cyberbezpieczeństwa.
Pamiętajcie! Zarządzanie cyberbezpieczeństwem to ciągły proces, to wysiłek całej organizacji i wymaga sprawnej współpracy.
Jeśli twoja organizacja, urząd chcą się prawidłowo przygotować na opisywane incydenty, należy wcześniej przebadać swoją organizację pod kątem kondycji szeroko pojmowanego zarządzania cyberbezpieczeństwem.
Jeśli nie wiesz, jak oraz od czego zacząć – zgłoś się do Nas biuro@comp-net.pl.
Na koniec kilka słów ode mnie: Miejmy również świadomość tego, iż Nasze cyberbezpieczeństwo zaczyna się nie tylko w firmach, urzędach czy wielkich korporacjach ale przede wszystkim w domu – komputer, laptop, smartfon, router – każde z tych urządzeń wymaga odpowiedniego zabezpieczenia i świadomego użytkowania.
Wobec tego zachęcam również, aby w sytuacjach nie tylko służbowych ale również w domowym zaciszu, gdy dostaniecie podejrzanego maila czy wiadomość sms ,aby zgłaszać o tym do właściwego CERT-u.
Niech to wejdzie nam w nawyk. Jeśli dzieje się coś złego, czujemy zagrożenie – informujemy odpowiednie służby. Również tym przypadku miejmy taki impuls działania, bo dzięki temu CSIRT NASK (Krajowy Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego) zbiera informacje oraz informuje społeczeństwo o kolejnych zagrożeniach.
Pamiętajmy o tym, że jesteśmy częścią cyberbezpieczeństwa.
Zgłoszenia można dokonać tu: Zgłoś incydent | CERT.PL>_
Jak możemy Ci pomóc w ramach programu Cyberbezpieczny Samorząd? Zobacz tu: https://www.youtube.com/watch?v=t2K-R5To5fY
Autor: Ewa Sobczyk – Kierownik Projektu – CompNet Sp. z o.o.