Informačná bezpečnosť

Čo je to bezpečnostný počítačový incident?

Jed­na z kľú­čo­vých zod­po­ved­nos­tí ve­de­nia pod­ni­ku pri pod­po­re sys­té­mu ria­de­nia in­for­mač­nej bez­peč­nos­ti je za­ve­de­nie pro­ce­su rie­še­nia bez­peč­nos­tných in­ci­den­tov. Schop­nosť or­ga­ni­zá­cie efek­tív­ne rea­go­vať na iden­ti­fi­ko­va­ný in­ci­dent je zá­vis­lá od kva­lit­nej príp­ra­vy na všet­ky po­ten­ciál­ne uda­los­ti, kto­ré by moh­li ne­priaz­ni­vo pô­so­biť na in­for­mač­né ak­tí­va pod­ni­ku.

Ak sa in­ci­dent tý­ka kri­tic­kých in­for­mač­ných ak­tív, je­ho zvlád­nu­tie si vy­ža­du­je kom­plexné pod­chy­te­nie, pres­nú ana­lý­zu a uváž­li­vú reak­ciu. Príp­ra­va rie­še­nia in­ci­den­tov pre­to mu­sí byť ne­vyh­nut­ne za­lo­že­ná na dôk­lad­nom plá­no­va­ní zdro­jov, ale naj­mä na včas­nom vy­bu­do­va­ní a otes­to­va­ní reak­čných pro­ce­dúr. Im­ple­men­tá­cia pro­ce­sov reak­cie na bez­peč­nos­tné in­ci­den­ty je pod­mie­ne­ná správ­nym po­cho­pe­ním ce­lé­ho ži­vot­né­ho cyk­lu in­ci­den­tu - od je­ho vzni­ku až po uzat­vo­re­nie a po­nau­če­nie.

Poz­ri­me sa na ži­vot­ný cyk­lus in­ci­den­tu a aj na ak­ti­vi­ty, z kto­rých sa skla­dá pro­ces rie­še­nia bez­peč­nos­tné­ho in­ci­den­tu.

Uda­losť vs. in­ci­dent

Bez vet­ra sa ani lís­tok ne­poh­ne, ako ho­vo­rí zná­me slo­ven­ské prís­lo­vie. Pla­tí to aj pre bez­peč­nos­tné po­čí­ta­čo­vé in­ci­den­ty. Pod­ľa lexikál­ne­ho slov­ní­ka je in­ci­dent nep­rí­jem­ná prí­ho­da, ne­mi­lá uda­losť a po­dob­ne tre­ba na­hlia­dať aj na ce­lý pro­ces vzni­ku bez­peč­nos­tné­ho in­ci­den­tu. Bez pred­chá­dza­jú­cej UDA­LOS­TI ne­mô­že jes­tvo­vať IN­CI­DENT.

V in­for­mač­ných tech­no­ló­giách sa ako uda­losť (angl. event) ozna­ču­je aký­koľ­vek po­zo­ro­va­teľ­ný jav v sys­té­moch a v sie­ťach. Uda­los­ťou je prih­lá­se­nie pou­ží­va­te­ľa, spus­te­nie ap­li­ká­cie, ak­ti­vi­ta sie­ťo­vej vrstvy a aký­koľ­vek iný pro­ces, kto­rý mô­že byť po­ten­ciál­ne ne­ga­tív­ny, nech­ce­ný a nep­rí­jem­ný, nap­rík­lad aj pre­to, že je zlo­my­seľ­ný. Uda­losť ne­mu­sí ne­vyh­nut­ne zna­me­nať in­ci­dent, mô­že však pos­kyt­núť in­dí­cie, kto­ré po vy­hod­no­te­ní mô­žu od­ha­liť nez­vy­čaj­nú ale­bo neo­ča­ká­va­nú škod­li­vú ak­ti­vi­tu.

Uda­losť pod­ľa ITIL je ta­ká zme­na sta­vu, kto­rá má vý­znam pre ma­naž­ment kon­fi­gu­rač­ných po­lo­žiek ale­bo pre IT služ­bu. Ter­mín uda­losť sa pou­ží­va aj v zmys­le vý­stra­hy ale­bo upo­zor­ne­nia vy­tvo­re­né­ho IT služ­bou či mo­ni­to­ro­va­cím nás­tro­jom. Uda­losť si spra­vid­la vy­ža­du­je zá­sah pre­vádz­ko­vé­ho per­so­ná­lu a čas­to má za nás­le­dok vy­tvo­re­nie zá­zna­mu o in­ci­den­te.

Na in­ci­dent mož­no na­ze­rať nap­rík­lad aj pros­tred­níc­tvom kva­li­ty pre­vádz­ky IT služ­by. Je pri­ro­dze­né, že za žia­du­cu sa po­va­žu­je len ta­ká pre­vádz­ka služ­by, kto­rá ne­ja­ví žiad­nu kva­li­ta­tív­nu od­chýl­ku od pô­vod­nej špe­ci­fi­ká­cie. Op­ro­ti to­mu pre­vádz­ka IT služ­by, kto­rá má znám­ky nek­va­li­ty, už mô­že byť po­va­žo­va­ná za ne­žia­du­cu. Sa­ma chy­ba však eš­te nie je bez­peč­nost­ný in­ci­dent.

Incident_handling_service.jpg

De­fi­ní­cia in­ci­den­tu

Bez­peč­nost­ný po­čí­ta­čo­vý in­ci­dent je ta­ká škod­li­vá uda­losť, v rám­ci kto­rej doš­lo k stra­te dô­ver­nos­ti dát, zni­če­niu dát, pre­lo­me­niu in­teg­ri­ty sys­té­mu ale­bo ob­me­dzeniu či od­miet­nu­tiu dos­tup­nos­ti služ­by. Mô­že to byť aká­koľ­vek nez­vy­čaj­ná ale­bo neo­ča­ká­va­ná ak­ti­vi­ta, pries­tu­pok ale­bo ri­zi­ko pries­tup­ku pro­ti bez­peč­nos­tnej po­li­ti­ke, prí­pad­ne pro­ti ak­cep­to­va­teľ­né­mu pou­ži­tiu bez­peč­nos­tných po­li­tík, nespl­ne­nie štan­dar­dných pos­tu­pov, kto­ré vie­dlo k ta­kej zme­ne kva­li­ty služ­by, kto­rá je pre or­ga­ni­zá­ciu zá­sad­ne nep­ri­ja­teľ­ná.

Pod­ľa ISO 27001 je bez­peč­nost­ný in­ci­dent jed­na ale­bo viac ne­žia­du­cich ale­bo neo­ča­ká­va­ných bez­peč­nos­tných uda­los­tí, pri kto­rých exis­tu­je vy­so­ká prav­de­po­dob­nosť kom­pro­mi­tá­cie čin­nos­tí or­ga­ni­zá­cie a oh­ro­ze­nie bez­peč­nos­ti in­for­má­cií.

Me­dzi­ná­rod­ná nor­ma ISO/IEC 27013, kto­rá po­jed­ná­va o zjed­no­te­nej im­ple­men­tá­cii sys­té­mu ria­de­nia in­for­mač­nej bez­peč­nos­ti (ISO/IEC 27001) a ma­naž­men­tu slu­žieb IT (ISO/IEC 20000-1), od­po­rú­ča ošet­ro­vať in­ci­den­ty v in­for­mač­nej bez­peč­nos­ti ako špe­ci­fic­ký typ zá­važ­né­ho in­ci­den­tu (angl. ma­jor in­ci­dent). Ta­ký pos­tup za­bez­pe­čí, že:

  • ve­de­nie or­ga­ni­zá­cie bu­de o in­ci­den­te in­for­mo­va­né,
  • pro­ce­sy ošet­ro­va­nia bez­peč­nos­tných in­ci­den­tov bu­dú vop­red sta­no­ve­né,
  • pre tie­to pro­ce­sy bu­de vop­red ur­če­ný a vy­ško­le­ný ok­ruh zod­po­ved­ných za­mes­tnan­cov.

Ži­vot­ný cyk­lus in­ci­den­tu

Na po­cho­pe­nie jed­not­li­vých fáz bez­peč­nos­tné­ho po­čí­ta­čo­vé­ho in­ci­den­tu sa tre­ba po­zrieť naj­skôr na in­ci­dent z poh­ľa­du ča­so­vé­ho roz­lí­še­nia. In­ci­dent po­čas svo­jej ži­vot­nos­ti (angl. ti­me to li­ve) pre­chá­dza nie­koľ­ký­mi fá­za­mi, kto­ré sa vzá­jom­ne pre­lí­na­jú a kto­ré ma­jú rôz­nu, v ča­se sa me­nia­cu prác­nosť i zlo­ži­tosť.

Od chví­le, keď sa vy­skyt­ne škod­li­vá uda­losť, vždy up­ly­nie is­tý čas, kým tú­to uda­losť zod­po­ved­né oso­by de­te­gu­jú. Prav­da je ta­ká, že nie­ke­dy ju ne­do­ká­žu de­te­go­vať vô­bec. Ale tá­to té­ma by bo­la na sa­mos­tat­nú úva­hu.

Po ús­peš­nom zis­te­ní in­ci­den­tu je pot­reb­ný ur­či­tý čas na to, aby zod­po­ved­né oso­by zís­ka­li vý­sled­ky hru­bej ana­lý­zy a aby na zá­kla­de zis­te­ných in­for­má­cií zhod­no­ti­li uda­losť, kto­rá de­ter­mi­nu­je in­ci­dent. Ten­to ča­so­vý inter­val sa na­zý­va de­tek­cia (angl. de­tec­tion ti­me). Keď­že naj­mä pri váž­nych in­ci­den­toch nie je v mož­nos­tiach jed­né­ho člo­ve­ka, aby rea­go­val na in­ci­dent, je bez­pros­tred­ne ne­vyh­nut­né za­bez­pe­čiť es­ka­lá­ciu iným út­va­rom a vy­hľa­da­nie kon­tak­tných osôb zú­čas­tne­ných na vop­red de­fi­no­va­ných pro­ce­soch reak­cie na in­ci­dent (angl. es­ca­la­tion ti­me).

Tr­va­nie reak­cie na in­ci­dent (angl. res­pon­se ti­me) je čas, kto­rý up­ly­nie od de­tek­cie až po náp­ra­vu dôs­led­kov in­ci­den­tu a ukon­če­nie vy­šet­ro­va­nia. Hlav­ným cie­ľom ak­ti­vít reak­cie na in­ci­dent by ma­lo byť ob­no­ve­nie fun­kčnos­ti poš­ko­de­ných in­for­mač­ných ak­tív, ich náv­rat do pô­vod­né­ho sta­vu, za­ru­če­nie kon­ti­nui­ty čin­nos­ti, zá­kon­ná náp­ra­va in­ci­den­tu a zhro­maž­de­nie dô­ka­zov na pod­po­ru pos­tu­pu pro­ti vin­ní­kom. Z to­ho dô­vo­du má reak­cia na in­ci­dent dve sa­mos­tat­né čas­ti, kto­rých cieľ by sa dal zjed­no­du­še­ne hes­lo­vi­te po­me­no­vať:

  1. Op­rav a pok­ra­čuj
  2. Vy­šet­ri a stí­haj

V or­ga­ni­zá­ciách, pre kto­ré sú ich in­for­mač­né ak­tí­va kri­tic­ky dô­le­ži­té na pok­ra­čo­va­nie čin­nos­ti, je lo­gic­ky pr­vou čas­ťou vy­me­dzenie a izo­lá­cia in­ci­den­tu a nás­led­ná koor­di­ná­cia sna­hy o ob­no­ve­nie fun­kčnos­ti poš­ko­de­ných in­for­má­cií a sys­té­mov, od­strá­ne­nie nás­led­kov in­ci­den­tu, náp­ra­va škôd a pok­ra­čo­va­nie v čin­nos­ti.

Pop­ri­tom sa mu­sí zá­ro­veň za­čať ra­cio­nál­ny a pre­mys­le­ný roz­bor in­ci­den­tu, roz­klad in­di­ká­cie od abstrak­tné­ho, všeo­bec­né­ho zis­te­nia ku kon­krét­ne­mu opi­su pod­sta­ty a pod­rob­nos­tí in­ci­den­tu, sta­no­ve­nie otá­zok na iden­ti­fi­ká­ciu ty­pu in­ci­den­tu, ove­re­nie nas­ta­ve­nia bez­peč­nos­tných po­li­tík, roz­poz­na­nie ty­pu bez­peč­nos­tné­ho in­ci­den­tu, sta­no­ve­nie pát­ra­cích pos­tu­pov pod­ľa prís­luš­nej ka­te­gó­rie in­ci­den­tu, kla­si­fi­ká­cia na­pad­nu­tých sys­té­mov a kom­pro­mi­to­va­ných in­for­má­cií, zhod­no­te­nie mož­ných vy­vo­la­ných vply­vov na spo­lup­ra­cu­jú­ce sys­té­my a fo­ren­zná ana­lý­za in­ci­den­tu.

Unáh­le­né reak­cie sú v pro­ce­se rie­še­nia in­ci­den­tov extrém­ne kon­trap­ro­duk­tív­ne. Bez­peč­nost­ný in­ci­dent je neš­tan­dar­dná uda­losť, kto­rá vy­vo­lá­va ten­den­ciu chaotic­ké­ho ko­na­nia, čo nás­led­ne zvy­šu­je ri­zi­ko strát. Je pre­to veľ­mi účel­né, ak or­ga­ni­zá­cia má vop­red prip­ra­ve­ný plán reak­cie a opis pro­ce­sov sú­vi­sia­cich so spô­so­bom rie­še­nia bez­peč­nos­tné­ho po­čí­ta­čo­vé­ho in­ci­den­tu, nap­rík­lad di­ag­nos­tic­kú ma­ti­cu na urý­chle­nie roz­ho­do­va­nia, a to naj­mä pre me­nej skú­se­ný per­so­nál.

Incident_handling_timeline.jpg

Niet nad skú­se­nos­ti...

Ke­dy­si dáv­no vy­hlá­sil ge­ne­rál A. V. Su­vo­rov zná­mu ve­tu: „Ťaž­ko na cvi­čis­ku, ľah­ko na bo­jis­ku." Ne­dá sa s tým­to tvr­de­ním ne­súh­la­siť. Pre­zie­ra­vé ve­de­nie pod­ni­ku v ideál­nom prí­pa­de za­bez­pe­čí, že plán reak­cie na in­ci­dent bu­de vop­red otes­to­va­ný v realis­tic­kých cvi­če­niach s mo­de­lo­vý­mi si­tuácia­mi.

Pou­če­nie z in­ci­den­tu (angl. in­ci­dent lear­ning ale­bo les­sons learnt) je sú­čas­ťou tzv. pos­tin­ci­den­tných ak­ti­vít. Tým sa vlas­tne za­bez­pe­čí pre­po­je­nosť na­do­bud­nu­tých skú­se­nos­tí s príp­ra­vou na bu­dú­ci po­dob­ný in­ci­dent.

Po­kiaľ má or­ga­ni­zá­cia úp­rim­ný zá­ujem vy­hnúť sa v bu­dúc­nos­ti in­ci­den­tu, kto­rý bol prá­ve pred­me­tom rie­še­nia, po­tom tre­ba všet­ky poz­nat­ky a skú­se­nos­ti v ča­se, keď sú eš­te čer­stvé, pre­dis­ku­to­vať so všet­ký­mi za­in­te­re­so­va­ný­mi stra­na­mi, kto­ré bo­li sú­čas­ťou pro­ce­su rie­še­nia in­ci­den­tu. Ako vý­stup z tej­to dis­ku­sie je vhod­né navr­hnúť ta­ké proti­opat­re­nia (ale­bo zme­nu exis­tu­jú­cich proti­opat­re­ní), kto­ré po­mô­žu or­ga­ni­zá­cii zlep­šiť:

  1. úro­veň tech­nic­ké­ho za­bez­pe­če­nia pro­ti zra­ni­teľ­nos­ti, kto­rá bo­la v in­ci­den­te zneu­ži­tá,
  2. schop­nosť rea­go­vať na po­dob­ný in­ci­dent v bu­dúc­nos­ti s krat­ší­mi čas­mi reak­cie.

Zá­ver

V or­ga­ni­zá­ciách s vy­ššou kom­plexnos­ťou in­for­mač­ných sys­té­mov je na­naj­výš vhod­né, aby bol vop­red us­ta­no­ve­ný a prie­bež­ne ško­le­ný špe­cia­li­zo­va­ný tím, kto­ré­ho úlo­hou bu­de správ­ne rea­go­vať na iden­ti­fi­ko­va­né in­ci­den­ty a kto­rý bu­de schop­ný včas pri­jať proti­opat­re­nia, za­bez­pe­čiť zber dô­ka­zov na ďal­šie vy­šet­ro­va­nie in­ci­den­tu a prí­pad­né vy­vo­de­nie pra­cov­nop­ráv­nych ale­bo tres­tnop­ráv­nych dôs­led­kov. For­mál­na de­fi­ní­cia ty­pov uda­los­tí, kto­ré pre or­ga­ni­zá­ciu zna­me­na­jú in­ci­dent, je dô­le­ži­tá vstup­ná pod­mien­ka na za­ve­de­nie pro­ce­sov rie­še­nia po­čí­ta­čo­vých in­ci­den­tov. No je to len pr­vý krok zo sé­rie nás­led­ných zmien pro­ce­sov, kto­ré by pod­ni­ku ma­li za­ru­čiť schop­nosť efek­tív­ne­ho vy­rov­na­nia sa s ri­zi­ka­mi, kto­ré sa sta­li bež­nou sú­čas­ťou mo­der­nej do­by.

Autor je súd­ny zna­lec v od­vet­ví bez­peč­nos­ti a ochra­ny in­for­mač­ných sys­té­mov, cer­ti­fi­ko­va­ný audí­tor ISO 20000 a ISO 27000

Autor: Ivan Ma­ka­tú­ra

Zdroj: IW 11/12-2014



Ohodnoťte článok:
   
 
 
  Zdieľaj cez Facebook Zdieľaj cez Google+ Zdieľaj cez Twitter Zdieľaj cez LinkedIn Správy z RSS Správy na smartfóne Správy cez newsletter