Jednou z kľúčových zodpovedností vedenia podniku pri podpore systému riadenia informačnej bezpečnosti je zavedenie procesu riešenia bezpečnostných incidentov. Schopnosť organizácie efektívne reagovať na identifikovaný incident je závislá od kvalitnej prípravy na všetky potenciálne udalosti, ktoré by mohli nepriaznivo pôsobiť na informačné aktíva podniku.
Ak sa incident týka kritických informačných aktív, jeho zvládnutie si vyžaduje komplexné podchytenie, presnú analýzu a uvážlivú reakciu. Príprava riešenia incidentov preto musí byť nevyhnutne založená na dôkladnom plánovaní zdrojov, ale najmä na včasnom vybudovaní a otestovaní reakčných procedúr. Implementácia procesov reakcie na bezpečnostné incidenty je podmienená správnym pochopením celého životného cyklu incidentu, od jeho vzniku, až po uzatvorenie a ponaučenie.
Povedzme si niečo ku životnému cyklu incidentu a stručne aj k aktivitám, z ktorých sa skladá proces riešenia bezpečnostného incidentu.
Udalosť vs. incident
Bez vetra sa ani lístok nepohne, ako hovorí známe slovenské príslovie. Platí to aj pre bezpečnostné počítačové incidenty. Podľa lexikálneho slovníka je incident nepríjemná príhoda, nemilá udalosť a podobne je potrebné nahliadať aj na celý proces vzniku bezpečnostného incidentu. Bez predchádzajúcej UDALOSTI nemôže jestvovať INCIDENT.
V informačných technológiách je udalosťou (ang. „event“) akýkoľvek pozorovateľný jav v systémoch a v sieťach. Udalosťou je prihlásenie používateľa, spustenie aplikácie, aktivita sieťovej vrstvy a akýkoľvek iný proces, ktorý môže byť potenciálne negatívny, nechcený a nepríjemný, napríklad aj preto, že je zlomyseľný. Udalosť, nemusí nevyhnutne znamenať incident, môže však poskytnúť indície, ktoré po vyhodnotení môžu odhaliť nezvyklú, alebo neočakávanú škodlivú aktivitu.
Udalosť, podľa ITIL-u, je taká zmena stavu, ktorá má význam pre manažment konfiguračných položiek, alebo pre IT službu. Termín „udalosť“ je používaný aj v zmysle výstrahy, alebo upozornenia vytvoreného IT službou, alebo monitorovacím nástrojom. Udalosť si spravidla vyžaduje zásah prevádzkového personálu a často má za následok vytvorenie záznamu o incidente.
Na incident je možné nazerať napríklad aj prostredníctvom kvality prevádzky IT služby. Je prirodzené, že za žiaducu sa považuje len taká prevádzka služby, ktorá nejaví žiadnu kvalitatívnu odchýlku od pôvodnej špecifikácie. Oproti tomu, prevádzka IT služby, ktorá má známky nekvality, už môže byť považovaná za nežiaducu. Samotná chyba, alebo služba so zníženou kvalitou však ešte nie je bezpečnostným incidentom.
Definícia incidentu
Bezpečnostný počítačový incident je taká škodlivá udalosť, v rámci ktorej došlo ku strate dôvernosti dát, zničeniu dát, prelomeniu integrity systému, alebo obmedzeniu, či odmietnutiu dostupnosti služby. Môže to byť akékoľvek nezvyklá, alebo neočakávaná aktivita, priestupok, alebo riziko priestupku proti bezpečnostnej politike, prípadne proti akceptovateľnému použitiu bezpečnostných politík, nesplnenie štandardných postupov, ktoré viedlo ku takej zmene kvality služby, ktorá je pre organizáciu zásadne neprijateľná.
Podľa ISO 27001 – bezpečnostný incident je jedna, alebo viac nežiaducich, alebo neočakávaných bezpečnostných udalostí, u ktorých existuje vysoká pravdepodobnosť kompromitácie činností organizácie a ohrozenie bezpečnosti informácií.
Medzinárodná norma ISO/IEC 27013, ktorá pojednáva o zjednotenej implementácii systému riadenia informačnej bezpečnosti (ISO/IEC 27001) a manažmentu služieb IT (ISO/IEC 20000-1), odporúča ošetrovať incidenty v informačnej bezpečnosti ako špecifický typ závažného incidentu (ang. „major incident“). Taký postup zabezpečí, že:
- vedenie organizácie bude o incidente informované,
- procesy ošetrovania bezpečnostných incidentov budú vopred stanovené,
- pre tieto procesy bude vopred určený a vyškolený okruh zodpovedných zamestnancov.
Životný cyklus incidentu
Pre pochopenie jednotlivých fáz bezpečnostného počítačového incidentu je potrebné pozrieť sa najskôr na incident z pohľadu časového rozlíšenia. Incident počas svojej životnosti (ang. „time to live“) prechádza niekoľkými fázami, ktoré sa vzájomne prelínajú a ktoré majú rôznu, v čase sa meniacu prácnosť i zložitosť.
Od chvíle, keď sa vyskytne škodlivá udalosť, vždy uplynie istý čas, kým túto udalosť zodpovedné osoby detegujú. Pravda je taká, že niekedy ju nedokážu detegovať vôbec. Ale táto téma by bola na samostatnú úvahu. J
Po úspešnom zistení incidentu, je potrebný určitý čas na to, aby zodpovedné osoby získali výsledky hrubej analýzy a aby na základe zistených informácií zhodnotili udalosť, ktorá determinuje incident. Tento časový interval sa nazýva detekcia (ang. „detection time“). Keďže najmä pri vážnych incidentoch nie je v možnostiach jedného človeka aby reagoval na incident, je bezprostredne nutné tiež zabezpečiť eskaláciu iným útvarom a vyhľadanie kontaktných osôb zúčastnených na vopred definovaných procesoch reakcie na incident (ang. „escalation time“).
Trvanie reakcie, alebo tiež odozva na incident (ang. „response time“), je čas ktorý uplynie od detekcie až po nápravu dôsledkov incidentu a ukončenie vyšetrovania. Hlavným cieľom aktivít odozvy na incident by malo byť obnovenie funkčnosti poškodených informačných aktív, ich návrat do pôvodného stavu, zaručenie kontinuity činnosti, zákonná náprava incidentu a zhromaždenie dôkazov na podporu postupu proti vinníkom. Z toho dôvodu má odozva na incident dve samostatné časti, ktorých cieľ by sa dal zjednodušene heslovite pomenovať:
- „oprav a pokračuj“
- „vyšetri a stíhaj“
V organizáciách, pre ktoré sú ich informačné aktíva kriticky dôležité pre pokračovanie činnosti, je logicky prvou časťou vymedzenie a izoláciu incidentu a následná koordinácia snahy o obnovenie funkčnosti poškodených informácií a systémov, odstránenie následkov incidentu, náprava škôd a pokračovanie v činnosti.
Popritom musí zároveň začať racionálny a premyslený rozbor incidentu, rozklad indikácie od abstraktného, všeobecného zistenia, ku konkrétnemu popisu podstaty a podrobností incidentu, stanovenie otázok pre identifikáciu typu incidentu, overenie nastavenia bezpečnostných politík, rozpoznanie typu bezpečnostného incidentu, stanovenie pátracích postupov podľa príslušnej kategórie incidentu, klasifikácia napadnutých systémov a kompromitovaných informácií, zhodnotenie možných vyvolaných vplyvov na spolupracujúce systémy a forenzná analýza incidentu.
Podrobný opis postupov nie je vzhľadom na rôznorodosť systémov a procesov v možnostiach jediného článku. Čo však je nutné zdôrazniť – unáhlené reakcie sú v procese riešenia incidentov extrémne kontraproduktívne. Bezpečnostný incident je neštandardná udalosť, ktorá vyvoláva tendenciu chaotického konania, čo následne zvyšuje riziko strát. Je preto veľmi účelné, ak organizácia má vopred pripravený plán reakcie a popis procesov, súvisiacich so spôsobom riešenia bezpečnostného počítačového incidentu, napríklad diagnostickú maticu pre urýchlenie rozhodovania, najmä pre menej skúsený personál.
Niet nad skúsenosti…
Kedysi dávno vyhlásil generál A. V. Suvorov známu vetu: „Ťažko na cvičisku, ľahko na bojisku“. Nedá sa, než s týmto tvrdením súhlasiť. Prezieravé vedenie podniku v ideálnom prípade zabezpečí, že plán reakcie na incident bude vopred otestovaný v realistických cvičeniach s modelovými situáciami.
Poučenie z incidentu (ang. „incident learning“, alebo „lessons learnt“) je súčasťou tzv. post-incidentných aktivít. Tým sa vlastne zabezpečí previazanosť nadobudnutých skúseností s prípravou na budúci podobný incident.
Pokiaľ má organizácia úprimný záujem vyhnúť sa v budúcnosti incidentu, ktorý bol práve predmetom riešenia, potom je potrebné v čase, keď sú ešte všetky poznatky a skúsenosti čerstvé, tieto prediskutovať so všetkými zainteresovanými stranami, ktoré boli súčasťou procesu riešenia incidentu. Ako výstup z tejto diskusie je vhodné navrhnúť také protiopatrenia (alebo zmenu existujúcich protiopatrení), ktoré pomôžu organizácii zlepšiť:
- úroveň technického zabezpečenia voči zraniteľnosti, ktorá bola v incidente zneužitá,
- schopnosť reagovať na podobný incident v budúcnosti s kratšími časmi odozvy
Záver
V organizáciách s vyššou komplexitou informačných systémov je nanajvýš vhodné, aby bol vopred ustanovený a priebežne školený špecializovaný tím, ktorého úlohou bude správne reagovať na identifikované incidenty, ktorý bude schopný včas prijať protiopatrenia, zabezpečiť zber dôkazov pre ďalšie vyšetrovanie incidentu a prípadné vyvodenie pracovnoprávnych, alebo trestnoprávnych dôsledkov. Formálna definícia typov udalostí, ktoré pre organizáciu znamenajú incident, je dôležitou vstupnou podmienkou pre zavedenie procesov riešenia počítačových incidentov. Avšak je to len prvým krokom zo série následných zmien procesov, ktoré by podniku mali zaručiť schopnosť efektívneho vysporiadania sa s rizikami, ktoré sa stali bežnou súčasťou modernej doby.
Ivan Makatúra
Vyjadrite váš názor v komentároch