Technológie zlyhávajú, ľudia robia chyby a útočníci nespia. Tak sa pripravme.
Nastavujeme systém riešenia kybernetických incidentov. Nie preto, že by sme chceli niekoho strašiť, ale preto, že je to realita. Pamätajte, že incident nie je zlyhanie, je to test pripravenosti.
Urobme si v tom jasno
Na začiatku tímu vysvetľujem, že hlásenie incidentu nie je žalovanie ani chyba, ale súčasť ochrany. Potrebujeme sa o incidente dozvedieť čo najskôr, aby sme rýchlo reagovali.
Preto sme nastavili jednoduchý kanál na hlásenie incidentov. Súčasne sme zaviedli interné kategórie incidentov od podozrenia až po potvrdený útok. Postupy eskalácie v preklade znamenajú, kto má čo riešiť a kedy sa to dostáva do rúk krízového tímu.
Riešenie v štyroch krokoch
Ak už príde k najhoršiemu, incident sa rieši v krokoch.
Identifikácia znamená, že preverujeme, čo a kde sa stalo, kto a ako to zistil. Analýza popisuje rozsah, dopad a možné dôsledky incidentu. V tej chvíli je už pripravená reakcia, izolácia napadnutých systémov, náprava a odstránenie príčiny. Finálny krok je obnova a poučenie, čiže návrat do normálu, spätná analýza a úprava opatrení.
Dôležité je povedať, že každý krok má zodpovedného človeka, presný postup a zápis. Čo sa týka nás, profesionálov, učíme sa stále. Z vlastných incidentov, ale aj z cudzích a pravidelne sledujeme varovania NBÚ a zahraničné reporty.
Simulácie a cvičenia
Jedna vec je incident na papieri. Druhá vec je chaos, keď sa to naozaj deje. Preto sme si urobili simulované cvičenie, napríklad phishingový útok, výpadok systému a reakcia v reálnom čase.
Výsledok? Niektorí zistili, že vedia reagovať lepšie, ako čakali. Iní, že im chýbali informácie. Aj to je zmysel cvičenia. Pripravenosť znamená “chladnú hlavu” v kríze.
Zapájame všetko a všetkých
Dôležité je uviesť, že incidenty sledujeme aj cez náš monitoring. Čím skôr ich zachytíme, tým menej bolia. Z incidentov robíme výstupy pre vedenie, síce anonymizované, ale poučné. Chceme budovať kultúru otvorenosti, nie strachu.
Každý mesiac sa s vami delí o svoje praktické skúsenosti skúsený manažér kybernetickej bezpečnosti. Sme svedkami spoločnej cesty bezpečáka a firemného manažmentu vo fiktívnej potravinárskej firme, ktorá buduje svoju kyberbezpečnosť od základov
Andrej Mišura má dvadsať rokov skúsenosti v oblasti IT, bol vyhlásený za manažéra kybernetickej bezpečnosti roka 2024. V súčasnosti je riadiacim partnerom skupiny Cyllium