Dzisiaj jest: 23.11.2024, imieniny: Adeli, Felicyty, Klemensa

Procedura reagowania na incydenty - element polityki bezpieczeń

Dodano: 12.04.2019 Czytane: 17

Incident reponse, czyli reagowanie na incydenty to kompleksowo zaplanowane rozwiązanie, wdrażane w strukturach organizacji, mające na celu szybkie zniwelowanie problemów związanych z naruszeniem bezpieczeństwa, cyberatakiem, czy awarią systemów, skutkujących brakiem dostępu do danych.

Celem wdrożenia polityki obejmującej incydent response jest takie rozwiązanie problemu w zakresie bezpieczeństwa jednostki, by ograniczyć szkody związane z potencjalnymi naruszeniami ciągłości przetwarzania danych, w tym skrócić czas przywracania prawidłowej pracy organizacji oraz zminimalizować koszty odzyskiwania dostępu do zasobów. W większych firmach nad prawidłowością pracy systemów oraz podejmowaniem działań adekwatnych do zdarzenia czuwają specjalnie powołane do tego celu zespoły reagowania na incydenty bezpieczeństwa komputerowego.

Znaczenie reagowania na incydenty

Każdy kryzys, który nie został zażegnany w należyty sposób, w zgodzie z przyjętą polityką bezpieczeństwa, może przerodzić się w większy problem, skutkujący poważnym naruszeniem systemu, bezpowrotną utratą dostępu do danych oraz narazić organizację na ryzyko strat finansowych.

Dlatego tak ważne jest, by polityka bezpieczeństwa przewidywała szerokie spektrum scenariuszy dotyczących kwestii bezpieczeństwa systemów informatycznych i przetwarzanych w nich danych, obejmujących w szczególności ataki hakerskie i włamania do sieci, sabotażowe działania szpiega zatrudnionego w firmie, który celowo usunął dane, bądź uszkodził infrastrukturę techniczną, wykorzystywaną w procesie przetwarzania danych, a także zdarzenia powstałe na skutek zaniedbań personelu, czy zdarzeń losowych, jak np. zagubienie przez pracownika służbowego telefonu, w którego pamięci znajdują się dane stanowiące tajemnicę przedsiębiorstwa.



Plan reagowania na incydenty

Plan reagowania na incydenty to nic innego jak dokument, stanowiący element polityki bezpieczeństwa organizacji. Powinien zawierać on procedury dotyczące ujawniania problemów, a także reagowania na nie oraz mechanizmy służące ograniczaniu ich skutków. Bez należycie opracowanego planu firma może nie wykryć ataku, bądź zareagować na naruszenie w niewłaściwy sposób. Tym bardziej, że w sytuacji zagrożenia należy działać szybko, a stres i presja czasu nie są najlepszymi doradcami.
Dlatego w obliczu zagrożenia bezpieczeństwa danych nieprzygotowany zespół może podjąć błędne, znamienne w skutkach decyzje. Dobrze przygotowany plan przewiduje kilka etapów obsługi zdarzenia:

  • zdefiniowanie zasobów sprzętowych wykorzystywanych przez organizację,
  • przeszkolenie personelu w zakresie koniecznych działań podejmowanych w razie wystąpienia incydentu,
  • ujawnienie zdarzenia oraz weryfikacja, czy narusza ono bezpieczeństwo zasobów organizacji,
  • ograniczanie skutków incydentu oraz rozprzestrzeniania się jego przyczyny, np. wirusa poprzez odcięcie jednostek roboczych od zainfekowanej sieci,
  • identyfikacja głównego źródła zdarzenia i jego wyeliminowanie,
  • usuwanie skutków zdarzenia,
  • wyciąganie wniosków na przyszłość oraz uszczelnianie procedur.

Jak to wygląda w MSP?

Mikro i małe przedsiębiorstwa nie są przygotowane na incydenty związane z naruszeniem spójności systemów informatycznych, skutkujące brakiem dostępu do danych
Jak wynika z najnowszego raportu pt. „Badanie opinii publicznej w zakresie funkcjonowania rynku usług telekomunikacyjnych oraz preferencji konsumentów/ klientów instytucjonalnych” opracowanego w grudniu 2018 r. na zlecenie Urzędu Komunikacji Elektronicznej, polskie małe i średnie przedsiębiorstwa zupełnie nie zdają sobie sprawy z niebezpieczeństw czyhających na ich cyfrowe zasoby.

Niemal 79 proc. badanych przedsiębiorców nigdy nie zetknęło się z pojęciem Big Data z perspektywy prowadzonej działalności, zaś tylko 10,3 spośród badanych firm korzystających z Internetu, przechowuje dane w chmurze. Mimo, że większość z badanych przedsiębiorców zdaje sobie sprawę z korzyści płynących z używania rozwiązań chmurowych, to jednak obawa przed przekazaniem danych w obce ręce jest większa – właściciele firm boją się zatem wycieku danych, możliwości wglądu do informacji przez osoby niepożądane, a także ataków hakerskich skutkujących kradzieżą danych.

Poza tym, niezwykle niepokojący jest fakt, iż niemal 90 proc. małych firm nie zatrudnia specjalistów odpowiedzialnych za zabezpieczenie sieci i bezpieczeństwo danych. Jest to oczywiście najkrótsza droga do bezpowrotnej utraty danych firmowych. I mimo, że pozornie mogłoby wydawać się, że informacje cyfrowe przetwarzane przez małe i średnie przedsiębiorstwa nie mają kluczowego znaczenia dla ich funkcjonowania, to jednak nawet trudno wyobrazić sobie jak wyglądałaby praca takiej jednostki, gdyby nagle odciąć jej dostęp do firmowego dysku, na którym zapisane są wszystkie informacje, jak oferty, maile, faktury, dane o klientach, w tym o dłużnikach.

Utrata firmowych danych może być zatem bolesna, a ich odtworzenie na podstawie papierowych odpowiedników długotrwałe i pracochłonne, a czasami wręcz niemożliwe. W takich sytuacjach jedynym rozwiązaniem dla małych i średnich przedsiębiorców pozostaje odzyskiwanie danych w profesjonalnym laboratorium data recovery.

Lepiej zapobiegać niż leczyć

Plan reagowania na incydenty z założenia powinien przewidywać scenariusze zachowania zespołu ds. reagowania na incydenty, a także poszczególnych użytkowników i całego personelu organizacji. Zespół opracowujący dokument powinien zatem posiadać doświadczenie i przygotowanie do pracy w strukturach odpowiedzialnych za kwestie bezpieczeństwa, potrafić przewidzieć możliwe zagrożenia, a także zaplanować krok po kroku usuwanie skutków, tak by incydent był dla organizacji możliwie najmniej odczuwalny.

Zapobiegliwy kierownik takiego zespołu, już na etapie opracowywania planu, powinien pomyśleć także o nawiązaniu współpracy z podmiotami mogącymi służyć pomocą w obliczu wystąpienia zagrożenia dla zasobów firmy. W szczególności, w przypadku awarii serwera zawierającego kluczowe dane instytucji, skutkującej brakiem dostępu do zasobów cyfrowych, konieczne może być skorzystanie z usług laboratorium odzyskiwania danych.

Większość organizacji nie może funkcjonować bez dostępu do danych, dlatego nawet kilkugodzinny przestój w pracy dużej firmy wynikający z braku dostępu do danych może wygenerować milionowe straty. Jeśli administrator dopiero w obliczu tragedii zacznie poszukiwać odpowiedniego wykonawcy, któremu powierzy usługę przywracania dostępu do danych z macierzy, to po pierwsze straci cenny czas, po drugie może okazać się, iż wybrany serwis nie będzie posiadał kompetencji i narzędzi niezbędnych do skutecznego przeprowadzenia procesu data recovery.

Podobnie, w przypadku incydentów związanych z aktami sabotażu, czy kradzieżą danych, przeprowadzenie procedury computer forensic, czyli pozyskiwania cyfrowych dowodów zdarzenia powinno zostać zrealizowane z zachowaniem tzw. łańcucha dowodowego, tak by nie doszło do modyfikacji zapisów, a podjęte prace badawcze doprowadziły do wskazania sprawcy.

Wymagana współpraca

W związku z powyższym, firmy i instytucje już dziś powinny podjąć współpracę z godnym zaufania partnerem z zakresu odzyskiwania danych i informatyki śledczej, a nie oczekiwać w spokoju na wystąpienie zdarzenia. I choć niemal każdy administrator jest przekonany, że utrata danych nigdy go nie dotknie, ponieważ zabezpieczenia stosowane przez jego zespół są niezawodne, to statystyki laboratorium MiP Data & Forensic wskazują, iż prędzej, czy później każdy straci dane, ponieważ sprzęt bywa zawodny, zaś ludzie go obsługujący popełniają błędy.
Tym bardziej, że samo podpisanie umowy z firmą data recovery nie musi być kosztowne – w zależności od przyjętego modelu współpracy, można skorzystać chociażby z formy abonamentowej, praktycznie nieodczuwalnej dla budżetu organizacji. Jeśli z drugiej strony na szali postawić wysokie koszty próby odzyskiwania danych przez znaleziony na szybko, przypadkowy serwis data recovery, czas pozostawania firmy bez danych oraz wynikające z tego straty, w tym także te wizerunkowe, to rozsądny wydaje się być tylko jeden wybór.
Trzeba też pamiętać, że niektóre branże są szczególnie wyczulone na incydenty dotyczące bezpieczeństwa danych, zaś konkurencja tylko czeka na potknięcia i chwile słabości swojego rywala biznesowego, gotowa przejąć należący do niego kawałek rynku.

Plan reagowania na incydenty, którego kluczowym elementem jest współpraca z laboratorium data recovery, stanowi dla przedsiębiorstw swego rodzaju polisę ubezpieczeniową na wypadek zdarzeń skutkujących brakiem dostępu do danych. Jest to istotne zwłaszcza biorąc pod uwagę wyniki ostatnich badań, wskazujące na bagatelizowanie przez małych przedsiębiorców kwestii bezpieczeństwa zasobów cyfrowych ich firm.

Autorka jest prawnikiem specjalizującym się w prawie nowych technologii, prezes zarządu w MiP Data & Forensic – Informatyka ¦ledcza i Odzyskiwanie Danych
www.recovery.pl

 

Polecane
Zapisz się do newslettera:
Wyrażam zgodę na przetwarzanie moich danych osobowych w celach marketingu usług i produktów partnerów właściciela serwisów.

Ta strona używa plików cookies. Korzystając z tej strony wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki. Jeżeli nie wyrażasz zgody - zmień ustawienia swojej przeglądarki. Dowiedz się więcej z naszej polityki prywatności.

Zamknij