W cyklu artykułów dotyczących szeroko pojętych wymagań i obowiązków, jakie nakłada na organizacje dyrektywa NIS 2, przyszedł czas na niezwykle istotne zagadnienie związane z zarządzaniem incydentami. Już w pierwszym wydaniu dyrektywy NIS oraz jej implementacji do prawa krajowego w 2018 roku poprzez Ustawę o Krajowym Systemie Cyberbezpieczeństwa (KSC) zarządzanie incydentami wysunęło się na pierwszy plan. Ustawa zobowiązała organizacje podlegające jej przepisom do identyfikacji, kategoryzacji, zgłaszania oraz obsługi zdarzeń będących incydentami.
W dzisiejszym artykule chcę szczegółowo przyjrzeć się temu obszarowi oraz – jak zwykle praktycznie – uporządkować wiedzę, stosowane pojęcia oraz w prosty sposób wytłumaczyć, jak poradzić sobie z procesem zarządzania incydentami cyberbezpieczeństwa w Waszych organizacjach.
Podstawowe pojęcia
Zacznę od podstaw – jak rozumieć pojęcie incydentu? Zgodnie z definicją zastosowaną w dyrektywie NIS2 „incydent oznacza zdarzenie naruszające dostępność, autentyczność, integralność lub poufność przechowywanych, przekazywanych lub przetwarzanych danych lub usług oferowanych przez sieci i systemy informatyczne lub dostępnych za ich pośrednictwem”. Mowa zatem o zdarzeniu, które ma wpływ na dane, usługi bądź sieci i systemy teleinformatyczne, który skutkuje zaburzeniem lub utratą jednego lub wielu atrybutów bezpieczeństwa: poufności, dostępności, integralności lub autentyczności.
Aby radzić sobie z incydentami, organizacja musi być w stanie sprawnie obsłużyć incydenty. Zgodnie z definicją z dyrektywy NIS2 „obsługa incydentu oznacza działania i procedury mające na celu zapobieżenie incydentowi, wykrywanie i analizowanie go, ograniczanie jego zasięgu lub reagowanie na niego i przywrócenie normalnego działania;” Głównym celem obsługi incydentu przedstawionym już na początku definicji jest niedopuszczenie do jego wystąpienia, a dopiero w przypadku jego zaistnienia – posiadanie siły i zdolności na odpowiednią reakcję. Zdolności organizacji do obsługi incydentów muszą obejmować:
- określone procedury, opisujące sposób postępowania oraz strategię reagowania na incydenty;
- narzędzia pozwalające na identyfikację zagrożeń oraz ich szybką i powtarzalną obsługę.
Zarządzanie incydentami krok po kroku
Wspomniane procedury oraz narzędzia, które mają za zadanie umożliwić skuteczne zarządzanie cyberbezpieczeństwem , powinny zostać wytworzone w pierwszej kolejności w celu zapobiegania wystąpienia incydentów, a w przypadku ich zaistnienia – zabezpieczenia przed rozprzestrzenianiem i ograniczenia skutków wystąpienia niepożądanego zdarzenia.
Pierwszym obszarem pozwalającym na pozyskanie wiedzy o wystąpieniu incydentu jest jego detekcja. Konfiguracja systemów teleinformatycznych w organizacji musi zapewniać co najmniej kolekcję zdarzeń bezpieczeństwa, a w szczególności możliwość ich przechowywania we wspólnym narzędziu, tzw. centralnym serwerze logów. Dzięki tego typu rozwiązaniu logi są chronione przed nieuprawnionym dostępem i modyfikacją. Przy złożonych systemach teleinformatycznych samo pozyskiwanie zdarzeń z systemów nie wystarczy. Często pojedyncze zdarzenia z kilku systemów analizowane odrębnie dają analitykom błędny ogląd sytuacji i na ich podstawie nie są w stanie zidentyfikować ataku, jaki właśnie jest wymierzony w organizację. W celu wykrycia incydentu, który realizowany jest z wykorzystaniem wielu systemów IT, wymaga się stosowania narzędzi klasy SIEM, które nie tylko kolekcjonują logi z innych systemów, ale również korelują je, tworząc bardziej czytelny obraz tego, co faktycznie dzieje się w cyberprzestrzeni. Końcowym produktem wykrycia zdarzenia powinna być jego prawidłowa rejestracja.
Po zidentyfikowaniu i zarejestrowaniu incydentu cyberbezpieczeństwa następuje jego analiza. Ten etap jest na tyle istotny, że w przypadku przeprowadzenia jedynie powierzchownej analizy, można źle sklasyfikować dane zdarzenie oraz nie podjąć ważnych – czasem wymaganych prawem działań. Jednym z obowiązków organizacji sklasyfikowanych na podstawie Ustawy o Krajowym Systemie Cyberbezpieczeństwa (UKSC) jako operatorzy usług kluczowych jest zgłoszenie incydentów w ciągu 24 godzin od ich identyfikacji.
Zarówno pod kątem UKSC, jak i zachowania ciągłości działania, kluczowym jest nadanie odpowiedniej kategorii oraz priorytetu. Dzięki temu po pierwsze będzie łatwiej znaleźć informacje o sposobie postępowania i neutralizacji incydentu, a po drugie poprawnie obsłużyć ścieżkę wymaganej komunikacji. Przytoczę tu kolejną definicję związaną z obsługą incydentów – taksonomia to ustalony sposób klasyfikacji incydentów.
Posiadając zarejestrowany i poprawnie sklasyfikowany incydent bezpieczeństwa, można przystąpić do jego rozwiązania. W pierwszej kolejności trzeba zweryfikować, czy dany typ incydentu nie wystąpił w przeszłości i organizacja nie ma na niego opracowanej instrukcji obsługi – zwanej playbook-iem. Jeżeli ma – należy postąpić zgodnie z zapisanymi w niej krokami, a jeżeli playbook nie został jeszcze opracowany – Zespół dedykowany do obsługi incydentów opracowuje i wdraża jego rozwiązanie. Zarządzanie incydentami cyberbezpieczeństwa wymaga zasady „wszystkie ręce na pokład”. Angażuje się zatem administratorów systemów, których dotknął bądź potencjalnie mógł dotknąć dany incydent. O wsparcie proszony jest również dział prawny, żeby pomógł w przygotowaniu zgłoszeń do odpowiednich instytucji – CERT, Policji czy prokuratury. W działania mogą być również zaangażowane służby HR oraz PR – w celu zapewnienia komunikacji do Pracowników oraz partnerów zewnętrznych. Celem jest ograniczenie negatywnych skutków incydentu oraz wyeliminowanie źródła problemu, a działania w rezultacie mają spowodować powrót do prawidłowego funkcjonowania usług.
W przypadku wystąpienia kilku incydentów równocześnie należy określić priorytety. W tym celu przypisano kategorie i priorytety incydentów w poprzednim kroku, żeby nie zajmować się zdarzeniem mniej istotnym przed obsługą innego, równoczesnego o większej wadze i potencjalnie powodującego większe straty dla organizacji.
Niezwykle ważnym jest zabezpieczanie materiałów dowodowych podczas pracy nad rozwiązaniem incydentu.Mogą one później posłużyć do egzekwowania przed sądem zadośćuczynienia za straty poniesione przez organizację w wyniku ataku cybernetycznego. Dodatkowo rejestrowanie przebiegu obsługi incydentu pozwala nam na opracowanie playbooka, który w przyszłości pomoże nam szybciej uporać się z niepożądanymi zdarzeniami.
Działania po incydencie
Gdy organizacja poradziła sobie z incydentem oraz jej usługi i systemy funkcjonują prawidłowo, przystępuje do działań doskonalących. Jeżeli w trakcie obsługi incydentu nie odnaleziono playbooka – trzeba opracować go na przyszłość; jeżeli cokolwiek zadziałało niewłaściwie – nastąpił brak komunikacji z współpracownikami lub kroki zapisane w istniejącym playbooku nie dały się wykonać bądź były nieefektywne – należy wyciągnąć z tego naukę i udoskonalić obszar zarządzania incydentami. Ponadto cyklicznie należy dokonywać przeglądu incydentów, gdyż na tej podstawie organizacja jest w stanie zidentyfikować luki w zabezpieczeniach, nieprawidłowości w infrastrukturze bądź procesach, które może łatwo wyeliminować i ograniczyć liczbę przyszłych zdarzeń mogących zakłócić ciągłość działania organizacji. Główne działania, jakie powinny zostać podjęte podczas cyklicznych przeglądów incydentów, sprowadzają się do kilku kroków:
- Porównanie liczby incydentów, jakie pojawiły się w badanym zakresie z poprzednim, w celu weryfikacji stanu reagowania na incydenty.
- Przegląd incydentów, których zespół obsługujący incydenty nie był w stanie przypisać do ustalonych w regulacjach wewnętrznych kategorii.
- Podsumowanie działań i wyciągnięcie wniosków z incydentów, jakie wydarzyły się w bieżącym okresie.
- Analiza incydentów powtarzalnych oraz podjęcie próby określenia ich przyczyn.
- Ustalenie planu naprawczego w tym propozycji wprowadzenia dodatkowych zabezpieczeń mających na celu zmniejszenie liczby incydentów w przyszłości.
- Weryfikacja incydentów pod kątem opracowania nowych lub modyfikacji opracowanych wcześniej playbooków.
W zależności od wyników przeglądu incydentów i wypracowanych rekomendacji organizacja może podjąć decyzje , które mogą przyczynić się do zwiększenia poziomu dostępności usług oraz ograniczyć liczbę występujących incydentów, a tym samym ochronić organizację przed stratami finansowymi lub wizerunkowymi.
Jak wdrożyć w organizacji proces zarządzania incydentami?
Powyżej nakreśliłem teoretyczny proces zarządzania incydentami. Mówi się, że od teorii do praktyki czasem bywa długa droga, ale czy na pewno? Uważam, że niekoniecznie. Często z naszymi Klientami prowadzimy analizy najbardziej optymalnego planu na zarządzanie incydentami. Niektórzy – przeważnie reprezentujący duże instytucje – decydują się na budowę własnego zespołu reagowania na incydenty. Przedstawiciele mniejszych podmiotów budują u siebie mały SOC /CERT i w modelu hybrydowym obsługują samodzielnie zdarzenia proste, a te bardziej złożone przekazują do obsługi naszym specjalistom z zespołu FortCyber. Inne – nie koniecznie małe organizacje – preferują model pełnego outsourcingu SOC i w ramach usługi abonamentowej korzystają z dedykowanej dla nich instancji naszego narzędzia klasy SIEM/SOAR, uzyskują zgodność w tym zakresie z najlepszymi praktykami oraz dostęp do ekspertów, których posiadanie we własnym zespole mogłoby okazać się nieuzasadnione ekonomicznie. Efekt skali daje się odczuć również w obszarze cyberbezpieczeństwa.
*
Żegnając się z Państwem na dziś, zapraszam na kolejny artykuł z cyklu NIS2 okiem praktyka, w którym postaram się przybliżyć dwa powiązane ze sobą obszary wynikające z dyrektywy: zapewnienie bezpieczeństwa środków teleinformatycznych służących do przetwarzania informacji oraz politykę kryptografii. Opowiem, na co zwrócić uwagę w kwestii bezpieczeństwa systemów oraz jakie elementy powinien obejmować dokument polityki kryptografii. Poprzednie artykuły z tego cyklu dostępne są na stronie: https://pti.org.pl/category/fortcyber/
Autor: Michał Pawlak, ekspert cyberbezpieczeństwa. Pracuje w zespole FortCyber – programie zainicjowanym przez Polskie Towarzystwo Informatyczne