Incydent bezpieczeństwa może zdarzyć się zarówno w małej rodzinnej firmie, jak i w gigantycznym przedsiębiorstwie. Tylko odpowiednie procedury i szybki czas reakcji są w stanie przeciwdziałać nieprzyjemnym oraz kosztownym dla firmy skutkom. Jasna instrukcja postępowania może pomóc biznesom niezależnie od ich wielkości czy branży.

Z tego artykułu dowiesz się:

1. Co to jest incydent bezpieczeństwa i jak zagraża Twojej firmie?
2. Jakie są najczęstsze przykłady ataków?
3. Jak klasyfikuje się incydenty bezpieczeństwa i które z nich wymagają zgłoszenia do służb?
4. Jak krok po kroku reagować na incydent, aby zminimalizować straty finansowe?
5. Jakie regulacje nakładają na przedsiębiorców obowiązek zgłoszenia incydentu?

Co to jest incydent bezpieczeństwa informacji?

Incydent bezpieczeństwa informacji to nagłe zdarzenie, które w bezpośredni sposób zagraża poufności i integralności danych (tzw. triadzie CIA):

1. Poufność (Confidentiality) – ochrona przed nieuprawnionym dostępem.
2. Integralność (Integrity) – zapewnienie, że dane nie zostały zmodyfikowane w sposób nieautoryzowany.
3. Dostępność (Availability) – gwarancja, że systemy i informacje są osiągalne dla użytkowników wtedy, gdy są potrzebne.

Pod pojęciem informacji kryją się zarówno dane osobowe, jak i dokumenty związane z działalnością firmy. W konsekwencji incydentu bezpieczeństwa ważne usługi realizowane przez przedsiębiorstwo mogą zostać przerwane, a sama firma narażona na szkody finansowe lub utratę dobrej reputacji.

Rodzaje i przykłady incydentu bezpieczeństwa informacji

Bezpieczeństwu informacji zagrażają różnorodne czynniki, wśród których znajdują się na przykład:

• kradzież lub zniszczenie nośników danych, m.in. dysków zewnętrznych, pendrive’ów, a nawet teczek z ważnymi pismami;
• ataki DDoS (ang. Distributed Denial of Service) – przeprowadzony z wielu zainfekowanych komputerów w jednakowym czasie (tzw. komputery zombie) cyberatak, który prowadzi do przeciążenia (a w konsekwencji do paraliżu) sieci i serwerów firmowych;
• działanie szkodliwego oprogramowania typu malware, np. keyloggerów czy koni trojańskich;
• ataki phishingowe, czyli wysyłanie wiadomości z fałszywymi załącznikami lub linkami, zwykle prowadzące do wyłudzenia informacji;
• wyciek kluczowych dla działania biznesu informacji do publicznej wiadomości;
• ujawnienie danych z powodu zaniedbania czy nieuważności pracownika firmy;
• nieautoryzowany dostęp do całej sieci bądź pojedynczego komputera,
• ransomware, czyli ataki szyfrujące dane dla okupu,
• BEC (Business Email Compromise), czyli podszywanie się pod maile biznesowe w celu wyłudzeń,
• insider threat – ujawnienie danych z powodu zaniedbania, nieuważności lub celowego działania pracownika firmy,
• utrata nośnika danych, czyli zwykle kradzież lub zniszczenie dysków, pendrive'ów lub teczek z dokumentami.

Przeczytaj artykuł: Jak zabezpieczyć firmową sieć przed cyberzagrożeniami?

Klasyfikacja incydentów bezpieczeństwa – jakie są ich rodzaje?

Incydent bezpieczeństwa jest na tyle pojemną kategorią, że można wprowadzić w jego przypadku szczegółową klasyfikację. Podziału dokonano według tego, jak poważne konsekwencje niesie ze sobą nagłe zdarzenie. Zaczynamy od najbardziej inwazyjnych, a kończymy na najmniej szkodliwych w skutkach – oto klasyfikacja:

1. Incydent bezpieczeństwa krytyczny (poziom trzeci) – powoduje poważną szkodę, jeśli chodzi o porządek publiczny. Zagrożone mogą być także interesy gospodarcze bądź międzynarodowe.
2. Incydent bezpieczeństwa w podmiocie publicznym (poziom drugi) – w tym przypadku na celowniku znajdują się usługi realizowane przez podmioty publiczne.
3. Incydent bezpieczeństwa istotny (poziom drugi) – ma ważny wpływ na działanie konkretnej usługi.
4. Incydent bezpieczeństwa poważny (poziom drugi) – dotyczy przypadków, gdy atak przerywa ciągłość działania kluczowej usługi bądź obniża jej jakość.
5. Incydent zwykły (poziom pierwszy) – może negatywnie wpłynąć na bezpieczeństwo danego podmiotu, ale nie jest poważnym zdarzeniem. Tego incydentu nie trzeba zgłaszać.

Istnieje też inna klasyfikacja incydentów bezpieczeństwa, która opiera się na wysokości poziomu zagrożenia:

1. Jeśli firma padnie ofiarą ataków hakerskich lub wycieku poufnych danych, konsekwencją będą szkody prawne, reputacyjne bądź finansowe – mówimy wtedy o incydentach wysokiego ryzyka.
2. Z kolei incydenty średniego ryzyka mogą być poważne, ale dość łatwo ograniczyć straty wynikające z ataku (wirusy komputerowe, phishingi czy wycieki mniej istotnych danych).
3. Incydenty niskiego ryzyka nie wymagają podjęcia natychmiastowych działań i nie mają poważnych konsekwencji (niepoprawne rozdzielenie uprawnień czy utrata hasła do firmowego konta).

Zarządzanie incydentem bezpieczeństwa – etapy postępowania

Postępowanie na wypadek incydentu bezpieczeństwa powinno mieć jasną strukturę. Warto prześledzić poszczególne kroki tej procedury.

1. Przygotowanie do wystąpienia zdarzenia

Aby zapobiec występowaniu incydentu bezpieczeństwa, warto powołać i przeszkolić zespół, który będzie odpowiedzialny za późniejszą identyfikację i zgłoszenie zdarzenia. Inwestowanie w ich kompetencje, a także wyposażenie pracowników w odpowiednie narzędzia pomogą zarządzać ryzykiem.

2. Identyfikacja zdarzenia

Właściwe procedury związane z cyberbezpieczeństwem w naturalny sposób zaczynają się od identyfikacji zdarzenia. Kluczowa jest tutaj szybkość działania – jeśli incydent zostanie zidentyfikowany od razu po wystąpieniu, może to ograniczyć potencjalne szkody wyrządzone przez atak.

3. Zgłoszenie zdarzenia

Zgłoszenie incydentu do osób odpowiadających za cyberbezpieczeństwo w firmie oraz do zarządu. Duże znaczenie ma dokładne i wyczerpujące opisanie incydentu, przy użyciu podanej już klasyfikacji. Istotne jest także niezwłoczne zaraportowanie incydentu do odpowiedniego podmiotu CSIRT (GOV, MON albo NASK). Nie warto czekać ze zgłoszeniem – nawet jeden dzień zwłoki może skutkować karami finansowymi.

Zgłoszenie do zewnętrznych organów nie dotyczy zwykłego incydentu bezpieczeństwa (ale nadal trzeba zgłosić to odpowiednim osobom w firmie).

4. Zebranie informacji i analiza

Zbierając informacje dotyczące incydentu, pracownicy odpowiedzialni za cyberbezpieczeństwo powinni skupić się na trzech aspektach problemu – określić, czy doszło do kradzieży informacji, zniszczenia danych bądź jedynie do próby włamania do systemu. Istotne jest zrozumienie, jak doszło do ataku oraz jakie konsekwencje ze sobą niesie (ocena poziomu ważności). Pomocne na tym etapie są wszelkie systemy monitorujące, bazy wiedzy czy repozytoria logów.

5. Przywrócenie systemów do prawidłowego funkcjonowania i odzyskanie danych

To zadanie dla działu IT firmy, który ma skupić się na naprawie uszkodzonych danych (wykorzystując kopie zapasowe), zabezpieczeniu sieci, usunięciu szkodliwego oprogramowania oraz na przywróceniu pracownikom dostępu do potrzebnych systemów. Podobnie jak na poprzednich etapach procesu najistotniejsza będzie szybka reakcja, by zminimalizować straty. Dodatkowo konieczna będzie zmiana haseł czy włączenie zabezpieczeń firewall.

6. Raportowanie i dokumentacja

Raport podsumowujący wystąpienie incydentu powinien zostać przedstawiony zarządowi firmy oraz akcjonariuszom. Ma służyć wyciągnięciu wniosków na przyszłość i udoskonaleniu przyszłych procedur bezpieczeństwa.

Raport może zawierać takie części jak:

• opis incydentu wraz z poniesionymi przez przedsiębiorstwo stratami;
• działania podjęte w celu rozwiązania problemu;
• rekomendacje na wypadek pojawienia się ataków w najbliższym czasie.

Dokumentacja musi zostać sporządzona w zgodzie z kryteriami rzetelności i z dbałością o ochronę danych osobowych.

Sieć firmowa – jaka technologia sprawdzi się w biznesie? Zyskaj ekspercką wiedzę!

Obowiązek zgłoszenia incydentu bezpieczeństwa (RODO i KSC)

Wystąpienie incydentu bezpieczeństwa często nakłada na przedsiębiorcę konkretne obowiązki prawne, których niedopełnienie grozi wysokimi karami finansowymi. Do najważniejszych regulacji należą:

1. RODO (Ogólne Rozporządzenie o Ochronie Danych) – w przypadku naruszenia ochrony danych osobowych administrator ma obowiązek zgłosić incydent do Prezesa Urzędu Ochrony Danych Osobowych (UODO) w ciągu 72 godzin od jego stwierdzenia.
2. Krajowy System Cyberbezpieczeństwa (KSC) – podmioty publiczne oraz operatorzy usług kluczowych muszą niezwłocznie raportować incydenty do odpowiedniego zespołu CSIRT (NASK, GOV lub MON).
3. ISO/IEC 27001 – to międzynarodowa norma zarządzania bezpieczeństwem informacji, która wymaga od organizacji posiadania sformalizowanych procedur wykrywania, rejestrowania i zgłaszania incydentów w celu zachowania certyfikacji i ciągłości biznesowej.

Jak zapobiegać incydentom?

Zadbaj o cyberbezpieczeństwo firmy razem z Plusem dla Biznesu! Zacznij chronić swoje dane tam, gdzie są najbardziej narażone na atak – czyli na urządzeniach mobilnych. Pomoże ci w tym usługa Plus EMM (Enterprise Mobility Management), która pozwala na integrację urządzeń firmowych w jeden system, zapewniający ochronę danych. W taki sposób ryzyko incydentu bezpieczeństwa informacji staje się znikome. A co więcej, wskazany system można zintegrować z pozostałymi systemami informatycznymi firmy!