Zacznijmy od zasadniczego pytania: co to jest incydent bezpieczeństwa?
Tak naprawdę nie ma jednobrzmiącej formułki, którą mógłbyś wykuć na pamięć. Incydent bezpieczeństwa zachodzi wtedy, gdy sprawca, czyli człowiek, powoduje szkody z wykorzystaniem zasobów komputerowych. Zwróć uwagę na to, że w informatyce, niektóre czynności, które są wstępem do ataku np. skanowanie portów w celu wykrycia tych otwartych; nie wypełniają definicji incydentu bezpieczeństwa. Potrzebny jest czynnik ludzki oraz zasób komputerowy.
Jeżeli następuje wykrycie podejrzanego zachowania, to zawsze powinieneś rozpocząć czynności wyjaśniające, czy wykryte czynnością sprowadzają się do incydentu bezpieczeństwa, czy nie. Twoja reakcja powinna być szybka i zdecydowana, abyś mógł wykryć, które systemy zostały zainfekowane, jakie programy wykorzystano do ataku, czas trwania oraz to czy incydent trwa nadal, oszacować szkody a przede wszystkim to czy atak zakończył się powodzeniem, sposób zainfekowania zasobów oraz metodykę przeprowadzonego ataku. Na koniec oczywiście nie zapomnij przygotować planu naprawczego oraz zaleceń bezpieczeństwa, aby uaktualnić swoją politykę bezpieczeństwa. Jeżeli doszło do incydentu bezpieczeństwa to w twoich systemach, jest luka. Zidentyfikuj ją i wprowadź plan naprawczy.
Zespół śledczy
Możesz się zdziwić, ale w skład zespołu śledczego, którego celem jest wykrycie, analiza i naprawienie skutków incydentu są osoby z kilku działów twojej firmy. Wiele osób myśli, że taki zespół skalda się jedynie z informatyków. Jest to błędne założenie bowiem informatyk/audytor/pen-tester ma przedstawić odpowiedzi tylko na sprawy techniczne incydentu. Do podejścia kompleksowego należy włączyć do dochodzenia prawników, ludzi z PR, kierownictwo (nadzór), pomoc techniczną, pracowników technicznych czy choćby ochroniarzy. Ci ludzie nie są rdzeniem zespołu reagowania na incydenty IT, ale dzięki ich wiedzy możemy ograniczyć szkody i nie wyrządzić nowych. Jako przykład mogę podać proces wyszukiwania informacji i artefaktów. Unia Europejska ma dość rygorystyczne podejście do bezpieczeństwa informacji a w procesie przeszukiwania danych, możemy niechcący uzyskać dostęp do informacji o szczególnym znaczeniu. Jeżeli nie będziemy mieli stosownych uprawnień, popełnimy przestępstwo.
Osoba zarządzająca całym procesem incydentu musi być na tyle doświadczona i biegła w sprawach technicznych IT, aby mogła pokierować poszczególnymi komórkami zespołu. Nie zawsze jest to dyrektor techniczny. W mniejszych firma, gdzie struktura zasobów ludzkich nie jest aż tak bardzo rozbudowana, kierownikiem może być informatyk (o ile ma odpowiednią wiedzę). Zespół naprawczy również musi dysponować doświadczeniem i wiedzą, która pozwoli na zlikwidowanie problemu, wyjaśnienie metodologii zaistniałego incydentu oraz naprawę i wdrożenie zaleceń, aby uniemożliwić kolejne incydenty.
Przed rozpoczęciem pracy zespołu śledczego zbierz kluczowe informacje i przeprowadź naradę z prawnikiem, aby ten mógł odpowiedzieć na kwestie prawne w stosunku do twoich planowanych czynności. Ustal wymogi składania raportów a przede wszystkim kwestie prawne odnośnie dostępu do zasobów systemowych i infrastruktury sprzętowej. Pamiętaj o RODO i o innych aktach prawnych, które nakładają przeróżne wymogi. Jako praktyk mogę podpowiedzieć, że najbardziej wymagające są organizacje związane z obrotem pieniędzmi. Największą zaś bolączką firm jest ignorancja i przeświadczenie, że o incydencie nikt się nie dowie. Na takie postępowanie mają wpływ jedynie osoby decyzyjne i – co gorsza – nieznające się na kwestiach technicznych. Nie widzą, że ślady włamania mogą samoistnie się zacierać (np. poprzez nadpisywanie danych) dlatego rozpoczęcie czynności, odwlekają, jak tylko się da.
Jeżeli chcesz zatrudnić zespół śledczy z zewnątrz, to musisz zapewnić bezpieczeństwo prawne firmie. Konieczne będzie podpisanie z wynajmowaną firmą umowy o zachowaniu klauzuli poufności. Dane twojej firmy muszą być chronione jako największy, najważniejszy zasób. Dzisiaj dane są cenniejsze od pieniędzy.
Skompletuj swój zespół do reagowania na incydenty
Nie jest to proste zadanie i zależy od bardzo wielu czynników. Jak zawsze należy ustalić odpowiedni balans i dostosować składowe do swojej organizacji.
Powinieneś szukać ludzi posiadających wiedzę o analizie szkodliwego kodu, przetwarzania danych w firmowych programach, które mogą być pisane na zamówienie (dedykowane dla jednej organizacji) lub zakupione z innej firmy. Równie ważna jest umiejętność analizowania ruchu sieciowego, jakiekolwiek doświadczenie przy prowadzeniu działań w zakresie informatyki śledczej z użyciem dedykowanego oprogramowanie. Osoba taka musi nie tylko umieć posługiwać się narzędziami, ale również logicznie myśleć, przewidywać, dostrzegać szczegóły, działać metodycznie i analitycznie.
Wszelkie certyfikaty i inne dokumenty poświadczające umiejętności są ważne, ale nie najważniejsze. Specjaliści od bezpieczeństwa to dziwny typ człowieka. Oczywiście najlepszymi administratorami i specjalistami od bezpieczeństwa są hackerzy i osoby ściśle związane z tą tematyką. Dlaczego? Bo oni cały czas wyszukują błędów. Nie mogą tego powstrzymać a co najważniejsze, nie chcą.