Trwa ładowanie...
23-09-2024

Incydent bezpieczeństwa może zdarzyć się zarówno w małej rodzinnej firmie, jak i w gigantycznym przedsiębiorstwie. Tylko odpowiednie procedury i szybki czas reakcji są w stanie przeciwdziałać nieprzyjemnym oraz kosztownym dla firmy skutkom. Jasna instrukcja postępowania może pomóc biznesom niezależnie od ich wielkości czy branży.

Co to jest incydent bezpieczeństwa informacji?

 

Incydent bezpieczeństwa informacji to nic innego jak nagłe zdarzenie, które w bezpośredni sposób zagraża poufności i integralności danych. Pod pojęciem informacji kryją się zarówno dane osobowe, jak i dokumenty związane z działalnością firmy. W konsekwencji ważne usługi realizowane przez przedsiębiorstwo mogą zostać przerwane, a sama firma narażona na szkody finansowe lub utratę dobrej reputacji.

Przykłady incydentu bezpieczeństwa informacji

 

Bezpieczeństwu informacji zagrażają różnorodne czynniki, wśród których znajdują się na przykład:

  • kradzież lub zniszczenie nośników danych, m.in. dysków zewnętrznych, pendrive'ów, a nawet teczek z ważnymi pismami;
  • ataki DDoS (ang. Distributed Denial of Service) – przeprowadzony z wielu zainfekowanych komputerów w jednakowym czasie (tzw. komputery zombie) cyberatak, który prowadzi do przeciążenia (a w konsekwencji do paraliżu) sieci i serwerów firmowych;
  • działanie szkodliwego oprogramowania typu malware, np. keyloggerów czy koni trojańskich;
  • ataki phishingowe, czyli wysyłanie wiadomości z fałszywymi załącznikami lub linkami, zwykle prowadzące do wyłudzenia informacji;
  • wyciek kluczowych dla działania biznesu informacji do publicznej wiadomości;
  • ujawnienie danych z powodu zaniedbania czy nieuważności pracownika firmy;
  • nieautoryzowany dostęp do całej sieci bądź pojedynczego komputera.

 

Przeczytaj artykuł: Jak zabezpieczyć firmową sieć przed cyberzagrożeniami?

Klasyfikacja incydentów bezpieczeństwa – jakie są ich rodzaje?

 

Incydent bezpieczeństwa jest na tyle pojemną kategorią, że można wprowadzić w jego przypadku szczegółową klasyfikację. Podziału dokonano według tego, jak poważne konsekwencje niesie ze sobą nagłe zdarzenie. Zaczynamy od najbardziej inwazyjnych, a kończymy na najmniej szkodliwych w skutkach – oto klasyfikacja:

  1. Incydent bezpieczeństwa krytyczny (poziom trzeci) – powoduje poważną szkodę, jeśli chodzi o porządek publiczny. Zagrożone mogą być także interesy gospodarcze bądź międzynarodowe.
  2. Incydent bezpieczeństwa w podmiocie publicznym (poziom drugi) – w tym przypadku na celowniku znajdują się usługi realizowane przez podmioty publiczne.
  3. Incydent bezpieczeństwa istotny (poziom drugi) – ma ważny wpływ na działanie konkretnej usługi.
  4. Incydent bezpieczeństwa poważny (poziom drugi) – dotyczy przypadków, gdy atak przerywa ciągłość działania kluczowej usługi bądź obniża jej jakość.
  5. Incydent zwykły (poziom pierwszy) – może negatywnie wpłynąć na bezpieczeństwo danego podmiotu, ale nie jest poważnym zdarzeniem. Tego incydentu nie trzeba zgłaszać.

 

Istnieje też inna klasyfikacja incydentów bezpieczeństwa, która opiera się na wysokości poziomu zagrożenia:

  1. Jeśli firma padnie ofiarą ataków hakerskich lub wycieku poufnych danych, konsekwencją będą szkody prawne, reputacyjne bądź finansowe – mówimy wtedy o incydentach wysokiego ryzyka.
  2. Z kolei incydenty średniego ryzyka mogą być poważne, ale dość łatwo ograniczyć straty wynikające z ataku (wirusy komputerowe, phishingi czy wycieki danych).
  3. Incydenty niskiego ryzyka nie wymagają podjęcia natychmiastowych działań i nie mają poważnych konsekwencji (niepoprawne rozdzielenie uprawnień czy utrata hasła do firmowego konta).

 

Co zrobić, gdy wystąpi incydent bezpieczeństwa?

 

Postępowanie na wypadek incydentu bezpieczeństwa powinno mieć jasną strukturę. Warto prześledzić poszczególne kroki tej procedury.

  1. Przygotowanie do wystąpienia zdarzenia

Aby zapobiec występowaniu incydentu bezpieczeństwa, warto powołać i przeszkolić zespół, który będzie odpowiedzialny za późniejszą identyfikację i zgłoszenie zdarzenia. Inwestowanie w ich kompetencje, a także wyposażenie pracowników w odpowiednie narzędzia pomogą zarządzać ryzykiem.

  1. Identyfikacja zdarzenia

Właściwe procedury związane z cyberbezpieczeństwem w naturalny sposób zaczynają się od identyfikacji zdarzenia. Kluczowa jest tutaj szybkość działania – jeśli incydent zostanie zidentyfikowany od razu po wystąpieniu, może to ograniczyć potencjalne szkody wyrządzone przez atak.

  1. Zgłoszenie zdarzenia

Zgłoszenie incydentu do osób odpowiadających za cyberbezpieczeństwo w firmie oraz do zarządu. Duże znaczenie ma dokładne i wyczerpujące opisanie incydentu, używając podanej już klasyfikacji. Istotne jest także niezwłoczne zaraportowanie incydentu do odpowiedniego podmiotu CSIRT (GOV, MON albo NASK). Nie warto czekać ze zgłoszeniem – nawet jeden dzień zwłoki może skutkować karami finansowymi.

Zgłoszenie do zewnętrznych organów nie dotyczy zwykłego incydentu bezpieczeństwa (ale nadal trzeba zgłosić to odpowiednim osobom w firmie).

  1. Zebranie informacji i analiza

Zbierając informacje dotyczące incydentu, pracownicy odpowiedzialni za cyberbezpieczeństwo powinni skupić się na trzech aspektach problemu – określić, czy doszło do kradzieży informacji, zniszczenia danych bądź jedynie do próby włamania do systemu. Istotne jest zrozumienie, jak doszło do ataku oraz jakie konsekwencje ze sobą niesie (ocena poziomu ważności). Pomocne na tym etapie są wszelkie systemy monitorujące, bazy wiedzy czy repozytoria logów.

  1. Przywrócenie systemów do prawidłowego funkcjonowania i odzyskanie danych

To zadanie dla działu IT firmy, który ma skupić się na naprawie uszkodzonych danych (wykorzystując kopie zapasowe), zabezpieczeniu sieci, usunięciu szkodliwego oprogramowania oraz na przywróceniu pracownikom dostępu do potrzebnych systemów. Podobnie jak na poprzednich etapach procesu najistotniejsza będzie szybka reakcja, by zminimalizować straty. Dodatkowo konieczna będzie zmiana haseł czy włączenie zabezpieczeń firewall.

  1. Raportowanie i dokumentacja

Raport podsumowujący wystąpienie incydentu powinien zostać przedstawiony zarządowi firmy oraz akcjonariuszom. Ma służyć wyciągnięciu wniosków na przyszłość i udoskonaleniu przyszłych procedur bezpieczeństwa.

Raport może zawierać takie części jak:

  • opis incydentu wraz z poniesionymi przez przedsiębiorstwo stratami;
  • działania podjęte w celu rozwiązania problemu;
  • rekomendacje na wypadek pojawienia się ataków w najbliższym czasie.

Dokumentacja musi zostać sporządzona w zgodzie z kryteriami rzetelności i z dbałością o ochronę danych osobowych.

Sieć firmowa – jaka technologia sprawdzi się w biznesie? Zyskaj ekspercką wiedzę!

Zadbaj o swoją firmę z Plusem!

 

Zadbaj o cyberbezpieczeństwo firmy razem z Plusem! Zacznij chronić swoje dane tam, gdzie są najbardziej narażone na atak – czyli na urządzeniach mobilnych. Pomoże ci w tym usługa Plus EMM (Enterprise Mobility Management), która pozwala na integrację urządzeń firmowych w jeden system, zapewniający ochronę danych. W taki sposób ryzyko incydentu bezpieczeństwa informacji staje się znikome. A co więcej, wskazany system można zintegrować z pozostałymi systemami informatycznymi firmy!

Polecane
21-02-2024

Jak zabezpieczyć firmową sieć przed cyberzagrożeniami?

Obecnie standardem jest, że cała wiedza o firmie jest przetwarzana i przechowywana w formie cyfrowej. Są to dane klientów, detale dotyczące strategicznych projektów, szczegóły wewnętrznej komunikacji służbowej czy inne unikatowe treści. Taka sytuacja wymaga określonego sposobu postępowania i poziomu wiedzy. Warto mieć świadomość, jak unikatową rzeczą dla firmy stała się informacja i jak ważne jest jej właściwe przechowywanie i zabezpieczenie. Sprawdź zatem, jak skutecznie zabezpieczyć firmową sieć i poznaj rozwiązania oferowane przez Plus.
Czytaj dalej
#bezpieczeństwo