Dlaczego musisz mieć w firmie plan reagowania na incydenty

Incydenty cyberbezpieczeństwa to obecnie chleb powszedni. Nie ma dnia abyśmy nie słyszeli o wycieku danych. Na dodatek takie sytuacje mają też miejsce w dużych organizacjach, które raczej podejrzewalibyśmy o solidną ochronę cybernetyczną. Myślimy tutaj na przykład o platformie X (dawniej Twitter) czy National Security Agency (NSA). Pamiętamy też o domniemanym ataku na Rezerwę Federalną w USA, ale w tym wypadku okoliczności są niejasne. Sprawę uważa się za blef, niewypał lub pomyłkę spowodowaną nieznajomością angielskiego przez jednego ze współpracowników samego LockBita.

Jednak wzrost incydentów cybernetycznych potwierdzają także statystyki. Według danych National Univeristy:

• W 2022 r. miało miejsce 5.4 miliarda ataków ransomware na całym świecie
• Ponad 70% ataków było ukierunkowanych
• 4 na 10 ataków wykorzystujących malware zakończyło się ujawnieniem poufnych danych
• W większości malware dostarczono e-mailem (92%)
• 83% badanych zapłaciło okup po ataku ransomware
• Więcej niż połowa respondentów zapłaciła ponad $100,000 okupu

Nie ma wątpliwości, hakerzy wykorzystują szeroką gamę zaawansowanych technologii. Mamy do czynienia z bardzo dynamicznym przeciwnikiem, który stale ewoluuje. Z tego powodu firmy niekiedy mogą mieć spore trudności w odpieraniu ataków cybernetycznych.

Organizacje potrzebują lepszego podejścia. I tutaj wchodzi cały na biało plan reagowania na incydenty.

Różnice między zdarzeniem, alertem a incydentem

Zanim zdefiniujemy czym jest plan reagowania na incydenty, najpierw wyjaśnimy kilka pojęć. W obszarze IT wykorzystuje się trzy terminy, które czasami są używane zamiennie, ale mają różne znaczenia – zdarzenie, alert oraz incydent.

Zdarzenie – to nieszkodliwa, powtarzalna czynność, którą może być utworzenie nowego pliku, usunięcie folderu lub otwarcie wiadomości email. Zazwyczaj nie wskazuje na naruszenie bezpieczeństwa, ale w połączeniu z innymi zdarzeniami, np. kliknięcie w fałszywy link, może już stanowić zagrożenie.

Alert – powiadamia o wystąpieniu określonego zdarzenia lub serii zdarzeń, które otrzymuje odpowiedzialny zespół w celu rozpoczęcia akcji. Alerty powiadamiają na podstawie zaprogramowanych reguł bezpieczeństwa. Może, ale nie musi być zagrożeniem.

Incydent – zdarzenie mające negatywny wpływ na działalność biznesową firmy. Zakłóca normalne funkcjonowanie lub działanie usługi i wymaga interwencji. Przykładami incydentu mogą być:

• Wyłudzenia informacji
• Złośliwe oprogramowanie (malware)
• Oprogramowanie wymuszające okup (ransomware)
• Odmowa usługi (DoS)
• Ataki typu man in the middle
• Zagrożenia wewnętrzne
• Nieautoryzowany dostęp

Czym jest plan reagowania na incydenty?

Według Cybersecurity & Infrastructure Agency (CISA) plan reagowania na incydenty to pisemny dokument formalnie zatwierdzony przez zespół kierowniczy wyższego szczebla. Pomaga organizacji przed, w trakcie i po potwierdzonym lub podejrzewanym incydencie cybernetycznym. Plan reagowania na incydenty powinien też określać role i obowiązki oraz zawierać wytyczne dotyczące kluczowych działań. Trzeba w nim też uwzględnić konkretną listę osób, których wkład będzie konieczny podczas kryzysu.

Plan reagowania na incydenty to zatem zestaw procedur postępowania i wytycznych organizacji wobec zagrożenia bezpieczeństwa informatycznego. Stosowane są na wypadek, m.in. obecności nieautoryzowanego użytkownika, cyberataku, awarii zabezpieczeń czy naruszenia bezpieczeństwa.

Jak działa plan reagowania na incydenty

Plan reagowania na incydenty powinien być kluczowym elementem strategii bezpieczeństwa każdej organizacji. Jakie kroki zazwyczaj obejmuje taki plan?

1. Przygotowanie – na tym etapie istotne jest przygotowanie planu, opracowanie procedur na okoliczność wystąpienia incydentu. Warto dokonać przeglądu procesów, używanych technologii. Generalnie trzeba dokładnie zapoznać się z tym, jak funkcjonuje nasza organizacja. Warto także uwzględnić zewnętrznych dostawców. Taka szeroka wiedza pomoże w namierzeniu i ograniczeniu potencjalnych luk w zabezpieczeniach oraz przeprowadzeniu oceny ryzyka
2. Identyfikacja zagrożeń – organizacja wykrywa podejrzaną aktywność. Zespół bada naturę naruszenia zabezpieczeń oraz dokonuje ustalenia jego źródła, określa rodzaj ataku i motywacje atakującego. Zespół komunikuje także interesariuszom wyższego szczebla o wystąpieniu incydentu
3. Powstrzymanie zagrożenia – zespół przystępuje do zatrzymania incydentu. Musi jak najszybciej uniemożliwić osobom działającym w złej wierze wyrządzenie szkód. Należy szybko odizolować atakujących od aplikacji, systemów oraz sieci
4. Wyeliminowanie zagrożenia – w tym etapie zespół zajmuje się usunięciem atakującego oraz złośliwego oprogramowania. Może też nastąpić wyłączenie systemów
5. Odzyskiwanie i przywracanie sprawności – po przejęciu kontroli w sytuacji krytycznej oraz upewnieniu się, że incydent nie powoduje szkód, przychodzi moment przywrócenia systemów, kopii zapasowych, itp.
6. Informacje zwrotne i udoskonalenia – jest to etap wyciągania wniosków, analizy tego, co zawiodło i zidentyfikowania usprawnień, które można następnie wprowadzić do procesu

Dlaczego Warto posiadać plan reagowania na incydenty

Przedstawimy kilka argumentów za wprowadzeniem planu reagowania na incydenty.

Minimalizacja szkód

Szybka i skuteczna reakcja na incydenty bezpieczeństwa cybernetycznego umożliwia ograniczenie ich wpływu na operacje biznesowe, ochronę zasobów firmy i zminimalizowanie strat finansowych. Brak dobrze przygotowanego planu może doprowadzić do chaosu, poważnych przerw w działaniu systemów, utraty poufnych danych oraz kosztownych przestojów.

Poprawa efektywności

Regularne aktualizowanie planu reagowania na incydenty sprawi, że zespół będzie dobrze przygotowany na wystąpienie sytuacji zagrożenia cybernetycznego. Posiadanie jasno określonych procedur sprawia, że zasoby ludzkie i technologiczne są efektywnie wykorzystywane podczas incydentu. Umożliwia szybkie podjęcie odpowiednich działań.

Ochrona reputacji

Nie od dzisiaj wiadomo, że świat cyfrowy wpływa na rzeczywisty. Incydent cybernetyczny może zatem znacząco zaszkodzić reputacji organizacji. Natychmiastowa reakcja i skuteczna komunikacja z interesariuszami pomaga ochronić wiarygodność i zaufanie do firmy.

Zarządzanie ryzykiem

Plan reagowania na incydenty to narzędzie do zarządzania ryzykiem. Pozwala organizacji lepiej przewidywać i przygotować się na potencjalne zagrożenia. Plan wspiera proaktywne zarządzanie ryzykiem i minimalizowanie jego wpływu na działalność biznesową.

Jak zapewne zauważyłeś, od posiadania planu reagowania na incydenty wiele zależy. Zadbaj o to, aby jak najszybciej pojawił się w Twojej firmie.