Zarządzanie incydentami bezpieczeństwa – jak wygląda procedura zgłaszania i obsługi incydentów?

Każde nieoczekiwane zdarzenie może mieć wpływ na dane osobowe, urządzenia, infrastrukturę, a co więcej – prowadzić do negatywnych skutków jak utrata ciągłości działania i poważne straty finansowe. Zabezpieczenie organizacyjne i techniczne przed incydentami to nie tylko skuteczna obsługa niepożądanych zdarzeń, ale też plan przywracania ciągłości po katastrofie. Procedura zarządzania incydentami powinna uwzględniać sposób wykrywania i reagowania na incydenty, a także ich analizę, aby wyciągnięte wnioski pozwoliły uchronić się przed podobnymi zdarzeniami w przyszłości.

Sporo się mówi o incydentach w odniesieniu do bezpieczeństwa komputerowego. Łatwiej tutaj zobrazować sobie rozmaite zagrożenia jak awarie techniczne, włamania grup przestępczych czy inne niespodziewane zdarzenia jak klęska żywiołowa. Prawdą jednak jest, że incydenty mogą dotyczyć każdej dziedziny i każdego obszaru organizacji. W tym artykule skupimy się na systemie zarządzania bezpieczeństwem informacji (SZBI). Jest to ważny obszar, ponieważ zapewnienie prawidłowej reakcji na incydenty wymaga wprowadzenia odpowiednich procedur, a także zaangażowania i przeszkolenia pracowników.

Incydent bezpieczeństwa – definicja

Zacznijmy od podstaw, a mianowicie, co to jest incydent.

Słowo incydent pochodzi z języka łacińskiego od słów incidens i incidentis, które oznaczają „zdarzający się”. Słownik języka polskiego PWN pod tym terminem podaje znaczenie, że jest to „nieprzyjemne wydarzenie”. Niektóre encyklopedie uzupełniają tę definicję o takie stwierdzenia, że jest to nagłe, krótkotrwałe wydarzenie, zwykle nieprzyjemne w skutkach, a co więcej – nieoczekiwane. Zderzając to wszystko ze sobą, możemy napisać, że incydent to nieprzyjemne bądź niespodziewane wydarzenie, które zakłóca przebieg innych wydarzeń i prowadzi do dezorganizacji.

Czym zatem jest incydent bezpieczeństwa? Tutaj jego charakter będzie podobny, tj. będzie to nadal wydarzenie nieprzyjemne w skutkach, ale odnoszące się bezpośrednio do bezpieczeństwa. Wydarzenie to może zagrażać zachowaniu poufności, integralności i dostępności informacji. Co ważne, taki incydent może dotyczyć wszystkich zasobów organizacji: osób, sprzętu, oprogramowania, infrastruktury itd.

O incydentach bezpieczeństwa informacji mówi się zwłaszcza w kontekście RODO, czyli ogólnego rozporządzenia o ochronie danych osobowych. Zgodnie z nim każdy podmiot, który przetwarza dane osobowe, musi wdrożyć odpowiednie rozwiązania, aby zminimalizować lub wykluczyć występowanie zagrożeń dla bezpieczeństwa tych danych. Każde zdarzenie, które zagraża bezpieczeństwu tych informacji, jest incydentem bezpieczeństwa. Jeśli na dodatek powoduje on negatywne konsekwencje dla osób, których dane są przetwarzane, wówczas mamy do czynienia z naruszeniem ochrony danych osobowych.

Ale nie tylko w przypadku RODO zderzamy się z definicją incydentu. Inna ustawa, a mianowicie KSC, czyli ustawa o krajowym systemie cyberbezpieczeństwa, nie tylko definiuje incydent, ale też kategoryzują go ze względu na okoliczności występowania. Według ustawy „incydent to zdarzenie, które ma lub może mieć niekorzystny wpływ na cyberbezpieczeństwo” (art. 2 ust. 5).

Pójdźmy dalej – norma ISO 27001, która standaryzuje systemy zarządzania bezpieczeństwem informacji, rozróżnia, co jest zdarzeniem, naruszeniem, a co incydentem. I tutaj jako incydent rozumie się pojedyncze zdarzenie lub serię niepożądanych/niespodziewanych zdarzeń, które stwarzają znaczne prawdopodobieństwo zakłócenia działań biznesowych i zagrażają bezpieczeństwu informacji.

Jak widać, nieważne, po które źródło i definicję sięgniemy, wspólny mianownik jest taki, że incydent to każde zdarzenie, które przynosi lub może przynieść negatywny skutek (pośredni lub bezpośredni). Jaki to będzie skutek, zależy już od obszaru, w którym się poruszamy, oraz od rodzaju incydentu. Incydentem może być naruszenie bezpieczeństwa aktywów informacyjnych lub jakichkolwiek innych polityk bezpieczeństwa w organizacji. I tutaj wkracza procedura zarządzanie incydentami bezpieczeństwa informacji, która pomaga wykrywać takie zdarzenia.

Klasyfikacja incydentów bezpieczeństwa

Zanim przejdziemy do omówienia, jak powinna wyglądać procedura zarządzania i obsługa incydentów, kilka słów o samej klasyfikacji.To, jak dany incydent będzie klasyfikowany i czy w ogóle dane zdarzenie zostanie zarejestrowane jako incydent, zależy od stosowanej klasyfikacji i podejścia. Tak na przykład klasyfikacja incydentów może dotyczyć skutków ataków – bierzemy pod uwagę więc skutki, które mogą prowadzić do naruszenia tajemnicy informacji, integralności i naruszenia dostępności usługi. Możemy też dokonać tzw. klasyfikacji empirycznej na podstawie obserwacji i analiz zagrożeń dla przedsiębiorstwa, np. atak na system operacyjny, nielegalne oprogramowanie, spamming itd.Jak możemy klasyfikować incydenty bezpieczeństwa? Możemy sięgnąć do ustawy KSC, w której usługodawca wyróżnia incydenty:

    • krytyczny – skutkuje znaczną szkodą dla bezpieczeństwa lub porządku publicznego, interesów międzynarodowych, interesów gospodarczych itd.,
    • poważny – incydent, który powoduje lub może spowodować poważne obniżenie jakości lub przerwanie ciągłości świadczenia usługi kluczowej,
    • istotny – ma istotny wpływ na świadczenie usługi cyfrowej,
    • w podmiocie publicznym – incydent, który powoduje lub może spowodować obniżenie jakości lub przerwanie realizacji zadania publicznego realizowanego przez podmiot publiczny.

Jednak KSC dotyczy podmiotów włączonych do systemu o KSC i będących operatorem świadczącym usługi kluczowej, a przecież incydenty dotyczą też innych organizacji, bez względu na ich rozmiar czy branżę. Tutaj najlepiej dokonać klasyfikacji incydentów, biorąc pod uwagę specyfikę organizacji i możliwe zagrożenia. W PBSG dokonujemy szerokich analiz i pomagamy tworzyć listy ryzyk i klasyfikację incydentów. Dzięki oprogramowaniu erisk klienci otrzymują gotowe narzędzie do kompleksowego zarządzania incydentem: od rejestracji zgłoszenia przez aktualizację dokumentacji po raportowanie. Więcej poczytasz o tym tutaj: Jak obsłużyć incydent materializacji ryzyka?

No dobrze, ale jakie mogą być typy incydentów bezpieczeństwa informacji? Najprościej przywołać tu takie rodzaje incydentów jak:

  • nieautoryzowany dostęp do sieci lub komputera
  • wyciek informacji
  • nadużycia na koncie na komputerze
  • ataki malware lub DDOS
  • kradzież lub zniszczenie urządzeń przetwarzających albo przechowujących informacje (w tym nośników danych)
  • ujawnienie poufnych informacji na skutek np. zaniedbania lub braku rozwagi pracownika
  • niedostępność lub niewłaściwe (błędne) działanie systemów informatycznych

Każdy incydent, niezależnie od jego klasyfikacji i typu, wymaga odpowiedniej obsługi. Mamy tu na myśli wszelkie czynności, które umożliwiają wykrywanie, rejestrowanie, analizowanie i klasyfikowanie zdarzeń jako incydentów. To z kolei jest niezbędne, aby podjąć działania naprawcze i ograniczyć skutki incydentu. W ramach tych czynności niezbędne jest opracowanie i wdrożenie odpowiednich procedur do zarządzania incydentami.

Procedura zarządzania incydentami bezpieczeństwa informacji

Postępowanie z incydentami bezpieczeństwa informacji jest bardzo ważnym elementem programu zarządzania bezpieczeństwem w każdym przedsiębiorstwie. Kluczowe jest tutaj zapewnienie prawidłowej reakcji, co osiąga się poprzez wdrożenie odpowiednich zasad i procedur. W systemie zarządzania bezpieczeństwem informacji niezwykle ważne jest, by reagować szybko i adekwatnie na różne niepokojące sygnały i zdarzenia.

W skrócie: procedura zarządzania incydentami bezpieczeństwa informacji ma na celu zapewnienie ciągłości działania i ograniczenie wpływu przypadków naruszeń bezpieczeństwa zasobów informacyjnych.

Proces zarządzania incydentami bezpieczeństwa dzieli się na etapy:

  1. Planowanie – przygotowanie na ewentualność wystąpienia incydentu, np. powołanie zespołu, przygotowanie planów postępowania z incydentami, szkolenia personelu.
  2. Wykrycie – zgłoszenie i identyfikacja incydentu; jest to ważny krok, ponieważ na tym etapie powinno odróżnić się zdarzenie od incydentu i dokładnie go opisać.
  3. Gromadzenie informacji o incydencie – wykorzystuje się tu dostępne środki jak np. systemy monitorujące, systemy zabezpieczeń urządzeń sieciowych itd.
  4. Ocena i selekcja informacji – incydent jest klasyfikowany pod kątem krytyczności i rozmiaru wpływu na organizację lub jej procesy biznesowe (ocena poziomu istotności).
  5. Analiza zgromadzonych informacji – ważne jest zabezpieczenie informacji oraz zadbanie o ich poprawność, jakość, kompletność i autentyczność; analiza ta wraz z oceną poziomu istotności decyduje o rodzaju podejmowanych działań naprawczych.
  6. Powstrzymanie skutków – ograniczenie zasięgu i szkodliwych skutków zaistniałego incydentu bezpieczeństwa oraz powstrzymywanie wpływu incydentu na działalność przedsiębiorstwa.
  7. Przywracanie – postępowanie naprawcze, którego celem jest przywrócenie procesów i systemów do normalnego stanu działania oraz odtworzenie danych.
  8. Zamknięcie i dokumentowanie – w tym przechowywanie dowodów.
  9. Raportowanie incydentu – w tym opracowanie i implementacja planów przeciwdziałania określonym incydentom w przyszłości.
  10. Przegląd po incydencie – upewnienie się, że wdrożone działania naprawcze odpowiednio zabezpieczyły luki i systemy.

W przypadku operatorów kluczowych liczy się czas zgłoszenia incydentu – zgłoszenie powinno trafić do właściwego CSIRT nie później niż 24 godziny wykrycia incydentu.

Rola pracowników w procesie zgłaszania incydentów

Wykrywanie i rejestrowanie incydentów może odbywać się w sposób manualny bądź automatyczny przy pomocy systemów monitorujących. W przypadku analizy, klasyfikacji i priorytetyzacji incydentów ważne jest odpowiednie przeszkolenie pracowników związanych ze strukturami bezpieczeństwa. Działania, jakie muszą być podjęte, to nie tylko działania ograniczające skutki incydentów, ale też działania naprawcze i archiwizujące (tutaj należy zebrać i zabezpieczyć przyczyny incydentu oraz dokonać ich analizy, wraz z zachowaniem wszystkich dowodów).

Zobacz, jak to wygląda w praktyce: System zarządzania incydentami w firmach

To, co warto podkreślić na koniec, to rola człowieka w zarządzaniu incydentami. Nie tyle ważne są same procedury i trzymanie się ich, ile powołanie i przeszkolenie zespołu do spraw reagowania na incydenty. Zespół ten powinien mieć odpowiednie kompetencje i narzędzia, które pozwolą nie tylko na wykrycie incydentów, ale też ich klasyfikację, priorytetyzację i zgłaszanie. Dlatego bardzo ważne są szkolenia i inne regularne działania podnoszące świadomość z zagadnień bezpieczeństwa informacji.

W zarządzaniu incydentami kluczowa jest umiejętność identyfikacji incydentów bezpieczeństwa, a w szczególności odróżnienie ich od zdarzeń – wpływa to na szybkość reagowania. Nie pomaga tutaj to, że informacje o zdarzeniach mogą pochodzić z różnych źródeł, np. od klientów firmy, administratorstw systemów, użytkowników, z systemów zabezpieczeń i zarządzania zdarzeniami (alerty i monity), a nawet z analiz dokonywanych przez pracowników bezpieczeństwa informacji. Osoba zgłaszająca incydent powinna wyczerpująco opisać incydent pod kątem rozpoznania, kategoryzacji i poziomu istotności incydentu. Rolą koordynatora jest określenie, czy dane zgłoszenie klasyfikuje się jako incydent – jeśli tak, wówczas członkowie zespołu dokonują jego przeglądu i weryfikacji.

Wyznaczenie właściwej ścieżki zgłaszania incydentów i osób odpowiedzialnych powinno być uwzględnione w planie reakcji na incydenty. Najczęściej zajmuje się tym security manager, risk manager lub zewnętrzny konsultant jak firma PBSG. Niezależnie, z jakiej formy przedsiębiorstwo tu skorzysta, należy dobrze znać organizację i jej specyfikę wraz z procesami biznesowymi, technologicznymi, bo tylko wtedy plan będzie odpowiedni i efektywny.

O Autorze

Tomasz Borkowski
Dyrektor Sprzedaży, ukończył Uniwersytet Ekonomiczny w Poznaniu, z wykształcenia ekonomista ze specjalizacją w obszarze ekonomii menadżerskiej. Posiada certyfikat Risk Manager ISO 31000. Z branżą IT jest związany od ponad 8 lat. W swojej codziennej pracy pomaga klientom z różnych gałęzi w poprawie bezpieczeństwa IT, a także automatyzacji procesów zarządzania ryzykiem. Uczestnik wielu szkoleń i konferencji, w których brał również udział jako prelegent. Koordynuje projekty zarówno w organizacjach z branży biznesu jak i administracji publicznej. Często bierze udział w spotkaniach dla kadr kierowniczych w trakcie których prezentuje funkcjonalności systemów informatycznych oraz doradza w zakresie projektów konsultingowych. Od 2016 roku pracował w PBSG jako Key Account Manager rozwijając swoją wiedzę oraz stale wspierając swoich klientów. Od 2023 roku już jako Dyrektor Sprzedaży rozwija własny zespół. Prywatnie lubi spędzać czas grając w siatkówkę plażową oraz jeżdżąc rowerze, pasjonat historii z szczególnym uwzględnieniem XX wieku. Mieszka w Poznaniu, do którego przyjechał lata temu z wielkopolskich mazur słynących z pięknej przyrody – Zbąszynia.