Plan reagowania na incydenty związane z bezpieczeństwem  IT koniecznym elementem dokumentacji każdej firmy

Reagowanie na incydenty (incident responses) to działania podejmowane po wykryciu naruszenia systemu cyberbezpieczeństwa danej organizacji. Aby reakcja była adekwatna do sytuacji i podjęta we właściwym czasie konieczne jest odpowiednio wcześniejsze opracowanie i wdrożenie w ramach instytucji planu reagowania na incydenty, a także posiadania zespołu, który w razie potrzeby podejmie należyte działania. 

Plan reagowania na incydenty

Wszystko po to, by zminimalizować szkody, a także koszty ewentualnego odzyskiwania utraconych danych, bądź przywracania naruszonych zasobów. W zależności od organizacji zespół ten nazywa się zespołem reagowania na incydenty bezpieczeństwa komputerowego, bądź  zespołem reagowania na incydenty komputerowe. Niezależnie od nomenklatury, aby zespół mógł podjąć odpowiednią reakcję, w firmie musi funkcjonować procedura reagowania na incydenty. Bez takiej dokumentacji, przewidującej możliwe scenariusze, nawet najbardziej kompetentny i wykwalifikowany zespół specjalistów będzie podejmował chaotyczne, nieprzemyślane działania, które nie tylko wydłużą czas reakcji, ale mogą również pogorszyć sytuację.
Plan powinien określać role i obowiązki każdego z członków zespołu. Dobrze opracowany plan przewiduje oraz definiuje także możliwe zagrożenia, sposób ich rozpoznawania oraz wprowadza mechanizmy ochrony przed nimi. Jednak jak wiadomo nie ma idealnych zabezpieczeń, a bezpieczeństwo danych w organizacji zagrożone jest przez wiele czynników ryzyka, w tym czynnik ludzki oraz sprzętowy. Tym bardziej samo posiadanie planu nie wystarcza – zespół musi opracować możliwe scenariusze i ćwiczyć reakcje, by przygotować się do realnego zagrożenia.

Reagowanie na incydenty jako obowiązek wynikający z przepisów prawa – zgłaszanie naruszenia ochrony danych osobowych organowi nadzorczemu

Nie tylko instrukcje wewnętrzne wymagają reagowania na incydenty w odpowiednim czasie, ale także przepisy prawa. Art. 33 RODO przewiduje, iż w przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości nie później niż w terminie 72 godzin (tj. trzech dni) po stwierdzeniu naruszenia, ma obowiązek zawiadomić organ nadzoru, czyli UODO. Zgłoszenia nie dokonuje się, jeśli jest mało prawdopodobne, by naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Zgłoszenie powinno zawierać co najmniej:

1. Opis charakteru naruszania ochrony danych osobowych
2. Dane kontaktowe inspektora ochrony danych osobowych, który może posiadać dodatkowe informacje dotyczące zdarzenia
3. Oszacowanie możliwych konsekwencji naruszenia ochrony danych osobowych
4. Opis środków zastosowanych, bądź proponowanych przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym środków zastosowanych w celu zminimalizowania skutków naruszenia
5. Zgłoszenie złożone po terminie powinno zawierać także przyczyny opóźnienia

Jak powinien wyglądać plan reagowania na incydenty i co powinien zawierać?

By organizacja mogła czuć się odpowiednio zabezpieczona na wypadek potencjalnego zagrożenia jej bezpieczeństwa, w tym bezpieczeństwa danych elektronicznych oraz infrastruktury IT, powinna opracować politykę w tym zakresie. Na przygotowanie i wdrożenie procedury składa się kilka elementów:

1. Przygotowanie, czyli audyt – organizacja musi być przygotowana do działania na wypadek naruszenia jej systemu bezpieczeństwa. W tym celu konieczne jest zdefiniowanie całej infrastruktury sprzętowej – serwerów, stacji roboczych oraz komputerów osobistych tworzących wewnętrzną sieć organizacji, na których przetwarzane są dane. Zespół ds. reagowania na incydenty musi znać strukturę sieci, a także wszelkie niezbędne hasła dostępowe.
2. Identyfikacja, czyli rozdzielanie kompetencji – w polityce należy określić jakie sytuacje uruchamiają zespół do działania, np. atak hakerski, infekcja sieci spowodowana działaniem wirusa, utrata danych przez pojedynczych użytkowników, znalezienie pamięci USB na podłodze firmowej kuchni, komunikat wysyłany przez serwer o kończącym się miejscu w przestrzeni dyskowej, czy o awarii jednego z dysków w macierzy.
3. Ograniczanie, czyli minimalizowanie – podejmowanie działań mających na celu powstrzymywanie rozprzestrzeniania się zagrożenia, co może generować dalsze szkody, np. w sytuacji ataku hakerskiego na sieć wewnętrzną organizacji. Wszelkie poczynania podejmowane w tym zakresie mają na celu minimalizowanie skutków zdarzenia.
4. Eliminowanie, czyli przywracanie porządku – usuwanie zagrożenia oraz przywracanie normalnej pracy systemów naruszonych incydentem, a także usunięcie skutków zdarzenia.
5. Odzyskiwanie, czyli weryfikacja czy zasoby IT organizacji są bezpieczne i wolne od skutków zdarzenia, np. czy w sieci nie krążą wirusy, które mogłyby doprowadzić do kolejnego incydentu związanego z bezpieczeństwem.
6. Uszczelnianie, czyli wyciąganie wniosków ze zdarzenia oraz uszczelnianie procedur i luk w systemach, które pozwoliły na wystąpienie incydentu, tak by nie dopuścić do podobnego zdarzenia w przyszłości.
7. Zawiadamianie, czyli alarmowanie odpowiednich służb o wystąpieniu zdarzenia. Jeśli incydent pochodził z zewnątrz może zachodzić również konieczność powiadomienia np. policji, np. o włamaniu do sieci, ataku hakerskim, czy kradzieży danych przez pracownika, bądź osobę trzecią. Jeśli zachodzi obawa naruszenia bezpieczeństwa danych osobowych należy zawiadomić UODO.

Reagowanie na incydenty (incident responses)

Co dalej po wystąpieniu zdarzenia naruszającego system bezpieczeństwa w organizacji?

Przede wszystkim należy wyciągnąć wnioski i uszczelnić istniejące procedury. Należy zastanowić się także, czy zdarzenie można było przewidzieć i zapobiec mu, ewentualnie dlaczego nie zadziałały mechanizmy obronne. Czasami atak stanowi wynik starannie przygotowanego działania osoby, bądź grupy osób mających na celu osłabić daną organizację. Dziś cały świat boryka się z problemem szpiegostwa przemysłowego, które niszczy organizacje od środka. Osoba celowo zatrudnia się w danej instytucji, zdobywa zaufanie zespołu oraz zwierzchników, pnie się po szczeblach struktury wewnętrznej. Czasami trwa to całymi latami, w związku z czym osoba jest doskonale przygotowana do sabotażu, ponieważ dobrze zna organizację, z drugiej zaś strony może działać przez nikogo nie podejrzewana. Zwykle działa na zlecenie konkurencji i ma za zadanie przekazywać swym mocodawcom poufne informacje wykradzione od pracodawcy, bądź zaatakować w odpowiednim momencie, np. jeśli firma szykuje się do wielkiego przetargu, pozbawienie jej dostępu do danych w kluczowej chwili, bądź po prostu wprowadzenie w organizacji chaosu, może uniemożliwić złożenie oferty.

Współpraca z firmą data recovery w zakresie opracowywania planu reagowania na incydenty oraz odzyskiwania utraconych danych

Reagowaniem na niektóre incydenty związane z naruszeniem bezpieczeństwa danych zajmują się firmy data recovery. Jeśli efektem zdarzenia jest awaria nośników, bądź utrata danych, laboratorium odzyskiwania danych z pewnością pomoże przywrócić dostęp do zasobów organizacji. Zaś specjaliści z działu informatyki śledczej dokonają analizy zdarzenia oraz wytypują osoby odpowiedzialne za incydent. Współpraca z firmą świadczącą usługi odzyskiwania danych i informatyki śledczej to gwarancja bezpieczeństwa danych w instytucji, a przynajmniej szybkiej reakcji na wszelkie przypadki utraty danych.
Eksperci laboratorium data recovery mogą uczestniczyć także w opracowywaniu planu bezpieczeństwa, wskazując słabe punkty struktury IT w organizacji, pod kątem działania systemów backupowych, czy konieczności przywracania dostępu do danych.
Firma data recovery to zatem kluczowy partner w zakresie tworzenia i utrzymywania systemu bezpieczeństwa w organizacji. Dlatego każdy przezorny i odpowiedzialny administrator IT, a także inspektorzy danych osobowych, wypełniających często swe role na rzecz wielu podmiotów powinni utrzymywać stałą współpracę z firmą świadczącą usługi odzyskiwania danych oraz informatyki śledczej. W razie potrzeby od razu konsultują się z ekspertami i nie tracą czasu (który w sytuacji awaryjnej ma kluczowe znaczenie) dopiero na poszukiwanie odpowiedniego podmiotu udzielającego wsparcia w zakresie przywracania prawidłowej pracy systemów przetwarzających dane w organizacji. Tym bardziej, jeśli w trakcie okazuje się, że wybrany wykonawca nie posiada odpowiednich kompetencji do usunięcia skutków zdarzenia, a jego działania dodatkowo pogarszają sytuację. …A czas płynie…