Reagowanie na incydenty IT w firmie

Kategoria: 

W dobie prowadzenia biznesu w sieci sprawne reagowanie na incydenty bezpieczeństwa jest konieczne. Przestoje, które powodują, są niebezpieczne dla organizacji firmy, a przede wszystkim kosztowne. Bezpieczeństwo IT to także przewidywanie i zapobieganie problemom, zanim się wydarzą. Najlepiej mieć przygotowany i wdrożony w życie plan reagowania na incydenty, zapewniający ciągłość działania przedsiębiorstwa i aktywnie im zapobiegający.

 

 

 

Czym są incydenty bezpieczeństwa IT?

Plan reagowania na incydenty bezpieczeństwa

Reagowanie na incydenty IT w firmie

Raportowanie i wnioski z incydentów

Przepisy prawa a incydenty bezpieczeństwa

Jak ułatwić reagowanie na incydenty?

Podsumowanie

 

 

 

Czym są incydenty bezpieczeństwa IT?

 

Incydenty bezpieczeństwa IT to wszystkie nieplanowane przerwy, powodujące lub mogące spowodować zakłócenie funkcjonowania, lub obniżenie jakości usług świadczonych przez firmę. To naruszenie bezpieczeństwa jednego z elementów systemu IT: integralności, dostępności lub poufności. Przykładowe incydenty IT to:

 

  • brak zasilania elektrycznego powodujący niedostępność istotnej infrastruktury IT,
  • zalanie serwerowni,
  • usunięcie ważnych danych przez administratora aplikacji przez przypadek,
  • aktywowanie się wirusa ze stacji PC,
  • zewnętrzny atak na jeden z systemów,
  • skopiowanie nielegalnych utworów do sieci LAN,
  • wyciek kluczowych danych biznesowych z firmy,
  • rażące nieprzestrzeganie procedur bezpieczeństwa lub prawa (ustawa o ochronie danych osobowych).

 

Jednym ze sposobów zapobiegania incydentom bezpieczeństwa IT jest system DLP, który identyfikuje i uniemożliwia przesyłanie krytycznych z punktu widzenia firmy plików oraz blokuje przesyłających je użytkowników. Dodatkowo umożliwia monitoring serwera.

 

Plan reagowania na incydenty bezpieczeństwa

 

Plan reagowania na incydenty bezpieczeństwa to dokument, który każda firma powinna przygotować i wdrożyć. Jego stosowanie może zapobiec albo zminimalizować koszty ewentualnych przestojów, odzyskiwania utraconych danych lub przywracania zasobów. Dobry plan identyfikuje wszelkie możliwe zagrożenia, sposoby ich rozpoznawania i opisuje procedury ochrony oraz zwalczania ich skutków. Plan przewiduje obowiązki i role każdego z członków zespołu odpowiedzialnego za bezpieczeństwo IT. Dzięki wytycznym zawartym w takim dokumencie zespół będzie podejmował szybkie i adekwatne działania, bo to właśnie czas reakcji przy wystąpieniu problemu jest kluczowy.

 

Reagowanie na incydenty IT w firmie

 

Działania podejmowane po wykryciu incydentu muszą być prowadzone zgodnie z ustalonym planem. Jego przestrzeganie jest gwarancją zniwelowania skutków naruszeń bezpieczeństwa.

 

Wykrycie incydentu

 

Incydenty bezpieczeństwa IT mogą być wykryte na każdym etapie ataku komputerowego. Moment wykrycia decyduje o użyciu właściwej procedury w reakcji na niego. Jeśli incydent zostanie wykryty na etapie, w którym nie nastąpiło jeszcze naruszenie poufności, dostępności i integralności danych, można mówić o sukcesie planu reagowania.

 

Sposobów na wykrywanie ataków jest wiele i zależą od stopnia ich zaawansowania. Najczęściej informacje o atakach można uzyskać poprzez powiadomienia i ostrzeżenia pochodzące z sieci wewnętrznej lub obserwując jej nietypowe zachowania. Najczęstsze źródła informacji o incydentach to:

  • systemy ochrony, tj. antywirusy, firewall, SIEM, IDP, IPS, DLP,
  • logi z urządzeń sieciowych oraz flowy sieciowe,
  • logi z oprogramowania usługowego, systemów operacyjnych oraz aplikacji,
  • systemy kontroli integralności plików,
  • partnerzy monitorujący sieć,
  • wewnętrzni i zewnętrzni użytkownicy sieci, którzy zauważą anomalie pracy systemu.

 

Weryfikacja naruszenia bezpieczeństwa

 

Po potwierdzeniu incydentu bezpieczeństwa następuje jego weryfikacja. Może się okazać, że jest on fałszywy i w rzeczywistości nie narusza bezpieczeństwa IT. Jeśli jednak atak zostanie potwierdzony, ustalany jest jego priorytet ważności (niski, średni lub wysoki). Dokonuje się tego poprzez analizę:

 

  • krytyczności problemu oraz poznanie jego istoty,
  • ewentualnego wpływu incydentu na inne systemy,
  • przyczyny powstania problemu.

 

Ustalenie priorytetu incydentu decyduje także o czasie reagowania na niego. Im wyższy priorytet, tym czas reakcji będzie krótszy. Niższe priorytety dają więcej czasu na podjęcie działań.

 

Zablokowanie źródła incydentu

 

Podczas blokowania źródła incydentu trzeba rozważyć, jaki wpływ będzie miało jego ograniczenie na inne systemy oraz działalność firmy. Może się zdarzyć, że odseparowanie krytycznego systemu zaburzy działanie innych do tego stopnia, że będzie to groźne dla funkcjonowania organizacji. Najczęstsze działania blokujące źródła incydentów to:

 

  • wyłączenie systemu,
  • odcięcie systemu od sieci,
  • rekonfiguracja systemu,
  • usunięcie głównej przyczyny problemu.

 

Zawsze gdy to możliwe, należy jak najszybciej przerwać rozprzestrzenianie się ataku do innych systemów, odłączając zainfekowany obszar oraz źródło ataku.

 

Usunięcie skutków incydentu bezpieczeństwa

 

Głównym celem usunięcia skutków incydentu bezpieczeństwa jest przywrócenie stanu sprzed ataku. Istnieje wiele sposobów na usuwanie skutków incydentu jak:

 

  • rekonfiguracja firewall,
  • wgranie nowych zabezpieczeń do systemu,
  • wprowadzenie dodatkowych zabezpieczeń dla wybranych danych.

 

O tym, którą z nich zastosować, decyduje rodzaj konkretnego ataku. Podczas usuwania skutków incydentu, należy zabezpieczyć dowody jego wystąpienia, co pozwoli na ich dokładną analizę.

 

Raportowanie i wnioski z incydentów

 

Raportowanie jest ostatnim etapem reagowania na incydenty IT. Raport powinien zawierać:

 

  • opis przyczyny incydentu,
  • harmonogram i opis podjętych działań,
  • wypisanie elementów, które zadziałały i które zawiodły,
  • skutki ataku,
  • wnioski.

 

Obok raportów prowadzona musi być ewidencja incydentów, zawierająca: datę wystąpienia; status, datę rozwiązania; opis; podjęte działania oraz zalecenia na przyszłość.Dokumenty te pozwalają wyciągnąć wnioski na temat słabych punktów systemu zabezpieczeń i wprowadzenie ulepszeń, zwiększających bezpieczeństwo i zapobiegających występowaniu danych incydentów w przyszłości.

 

Przepisy prawa a incydenty bezpieczeństwa

 

Incydenty bezpieczeństwa w pewnych warunkach wymagają raportowania do określonych przepisami prawa instytucji. Art. 33 RODO przewiduje, iż w przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości nie później niż w terminie 72 godzin (tj. trzech dni) po stwierdzeniu naruszenia, ma obowiązek zawiadomić organ nadzoru, czyli UODO. Zgłoszenie nie jest konieczne, jeśli prawdopodobieństwo ryzyka naruszenia praw lub wolności osób fizycznych jest znikome.

 

Jak ułatwić reagowanie na incydenty?

 

Plan reagowania na incydenty w firmie można dodatkowo wspomóc, wykorzystując nowoczesne programy do monitoringu użytkowników sieci jak monitoring komputera czy blokowanie USB. Powszechna w okresie pandemii praca zdalna zwiększyła narażenie na incydenty bezpieczeństwa, dlatego pulpit zdalny chroniony protokołem RDP jest taki ważny. Nieświadomy zagrożenia Insider, czyli osoba wewnątrz też może przyczynić się do incydentu. Pomocne jest także wdrożenie zasady Zero Trust, zgodnie z którą każdy użytkownik sieci jest potencjalnym zagrożeniem.

 

Podsumowanie

 

Sprawny plan reagowania na incydenty i odpowiednie narzędzia do jego realizacji, ograniczają straty finansowe i zapewniają ciągłość pracy firmy. Warto dobrze go przygotować.