Bezpečnostní incident: Co přichází poté

Informační bezpečnost nikdy nebude stoprocentní. Kdo něco takového slibuje, neví, o čem mluví, nebo dokonce lže. ...


Informační bezpečnost nikdy nebude stoprocentní. Kdo něco takového slibuje,
neví, o čem mluví, nebo dokonce lže.

Proto je potřeba věnovat pozornost nejen preventivním a ochranným opatřením,
ale zároveň se připravit na možnost, že se "něco" stane.
Statistiky totiž prokazují, že například v případě virových epidemií vzniká
přes 95 % škod neodbornými pokusy o jejich řešení. Při dalších typech incidentů
je to obdobné. Takovéto škody jsou přitom samozřejmě zbytečné, protože se jim
rozhodně dalo jednoduše předejít. Kde se tedy děje chyba?
Chyba je nejčastěji v podcenění možnosti vzniku incidentu nebo v podcenění
přípravy na něj. Se vznikem mimořádné situace je zkrátka nutné počítat a
následně postupovat podle předem připraveného scénáře. Není horší situace než
když se postupuje chaoticky nebo když útočník (byť je to neosobní virus)
převezme iniciativu a diktuje podmínky.
Na krizovou situaci je nutné se odpovídajícím způsobem připravit. Prvním krokem
v této přípravě je definování rolí a odpovědnosti. Aby vypracovaný krizový plán
měl nějaký smysl, měl by fungovat vždy a za všech mimořádných okolností. Musí
tedy nejen počítat se všemi možnými situacemi (selhání hardwaru, poškození
databází, DoS útok, povodeň aj.), ale zároveň být postavený tak, aby jej bylo
možné aktivovat opravdu kdykoliv. Kromě rolí a odpovědnosti je tak potřeba
přesně stanovit i zastupitelnost často se lze setkat se situací "to řeší
technický ředitel, ale on je na dovolené". Krize nepočká, krizi je potřeba
řešit.

Rozličná příprava
Dalším parametrem, který je v tomto okamžiku nutné stanovit, je připravenost na
různé druhy krizí. Ne vždy je totiž možné použít jednu šablonu a mít v každém
případě jednotné role i odpovědnost. Je zřejmé, že s jiným rozdělením
zodpovědností a s jinými lidmi se bude problém řešit, pokud půjde o selhání
kritické softwarové aplikace, a s jinými, když půjde o požár v lokalitě. Různé
krize tedy vyžadují rozdílný přístup a v definování rolí je nezbytné to
zohlednit.
V průběhu krize je nutné učinit mnoho závažných, rychlých a zodpovědných
rozhodnutí. A ztrácet drahocenný čas nebo energii řešením otázek, na které bylo
možné zodpovědět předem, je velkorysost, kterou si lze dovolit jen málokdy. Je
nutné předem stanovit, kdo a na základě čeho má právo, respektive povinnosti
vyhlásit krizovou situaci. Ve druhém kroku lze identifikovat hrozby a potřeby.
Základem je přitom přesná kvantifikace všech možných hrozeb, protože jen tak se
lze vyhnout situaci, kterou není možné řešit. Příkladem může být teroristický
útok, který ještě před pěti lety mnozí pokládali v našich zeměpisných šířkách
za něco absolutně nereálného. Události nejen v New Yorku v roce 2001, ale i v
dalších, geograficky výrazně bližších lokalitách (Madrid, Turecko, Egypt,
Londýn aj.) ukazují, že tento pocit nedotknutelnosti byl falešný a že nežijeme
ve světě, kdy bychom byli mimo hru a podobné události se nás netýkaly. Nicméně
na druhé straně je pravdou, že s výrazně větší pravděpodobností než atentátu
budou vaše informační systémy čelit hardwarovému problému, útoku viru nebo
selhání lidského faktoru.
Dalším krokem je stanovení priorit obnovy, což je de facto přiřazení správného
stupně důležitosti jednotlivým procesům. Obecně platí, že činnosti podpůrné
(tedy činnosti vedoucí k vlastnímu zajištění chodu firmy, jako je účetnictví,
administrativa, personalistika apod.) mají nižší prioritu než činnosti vedoucí
k zajištění kontinuity poskytování produktů a služeb zákazníkům.
Je nutné si uvědomit, že v okamžiku krize se zpravidla nedostává času a že
stanovení priorit nemusí být v takovém okamžiku provedeno z hlediska organizace
úplně nejšťastněji (nebo je otázkou náhody, přičemž tento prvek se z krizové
situace snažit co nejvíce vytěsnit). Člověk v době krize se totiž může
rozhodovat spíše pod vlivem emocí než skutečných potřeb. A kromě toho jsou
priority obnovy něčím, co lze bez potíží stanovit předem.
Pokud je navíc v dotyčné organizaci již provedena analýza rizik, stačí ji jen
převzít nebo jen mírně upravit pro potřeby krizového plánu. V analýze rizik je
totiž už hodnota jednotlivých procesů a aktiv organizace stanovena.
Následujícím krokem je stanovení strategie a postupu obnovy. Tedy určení
jednotlivých fází postupu obnovy pro jednotlivé typy krizových situací.

Nutná dokumentace
Dokumentace plánů a postupů představuje podrobné rozpracování a dokumentování
postupů obnovy. Tyto dvě fáze přitom bývají na provedení časově nejnáročnější a
zároveň jejich provedení rozhoduje o kvalitě celého krizového plánu.
Je zapotřebí mít na zřeteli dvě skutečnosti, které v této fázi nesmíte
opomenout. První z nich je fakt, že každá organizace má aktiva, jejichž činnost
nesmí být za žádnou cenu přerušena. Příkladem budiž třeba konektivita k
internetu v případě on-line herny nebo sázkové kanceláře či elektronická pošta
a další on-line služby v případě internetového obchodu. I velmi krátká odstávka
takových služeb může pro organizaci znamenat velmi výrazné potíže a zmařit
dlouhé předchozí úsilí. Takže pro tyto procesy je nezbytné mít vypracované
havarijní postupy za všech představitelných okolností. Potěšující zprávou ale
zůstává, že takových klíčových aktiv je v každé organizaci zpravidla jen
omezený počet.
Druhá skutečnost, na kterou se nesmí za žádných okolností zapomínat a kterou je
neradno podceňovat, jsou hrozby, při nichž je ohroženo lidské zdraví nebo
životy. Zpravidla se jedná o živelné či přírodní katastrofy. Ani tato situace
ale není příliš častá, avšak na druhé straně není ani nepravděpodobná, jak nám
ukázaly třeba ničivé povodně na Moravě v roce 1997 nebo v Praze o pět let
později.

Závěrem
Většinu aktiv ale lze ošetřit nějakými obecnějšími postupy. Nikdy přitom nebude
možné se plně připravit na úplně všechny možné situace (třeba na souběh dvou
krizových situací), neboť krize se zpravidla nechová tak, jak byla naplánována
a přichází tehdy, kdy se vám nejméně hodí nebo kdy ji nejméně čekáte. Praxe
nicméně jednoznačně dokládá, že ten, kdo je připravený, zaznamenává výrazně
nižší dopady mimořádných situací na normální chod organizace. Při troše
nadsázky bychom mohli říci, že při kvalitním plánování má krize mnohem menší
prostor k manévrování...


Proškolení je pro úspěch nezbytné
Kroky popsanými v hlavním článku proces přípravy na krizovou situaci zdaleka
nekončí. Zainteresované osoby je nutné proškolit a celý plán pravidelně
prověřovat. Ostatně, nad požárními cvičeními nebo školením řidičů se dnes nikdo
příliš nepozastavuje (maximálně je bere jako nutné zlo), tak proč by nácvik
alespoň základních krizových situací v IT měl být něčím exotickým? Například
převedení provozu z jednoho serveru na druhý nebo přesun činností organizace do
jiné lokality bez přerušení vypadá úplně jinak na papíře než v reálné situaci.
A v okamžiku propukající krize zjistit, že celý pečlivě připravený plán se nám
hroutí jako domeček z karet kvůli maličkostem, není právě příjemné.
Sáhodlouhé diskuse se také vedou o tom, jakou mají mít krizové plány podobu,
délku, a o s tím souvisejících podrobnostech. Tady žádný univerzální recept
neexistuje. Modely "stručný návod, velký prostor pro seberealizaci" versus
"podrobný návod, minimální prostor k manévrování" mají vždy své výhody i
nevýhody. Obecně se ale dá říci, že stručnější a jasnější dokumenty jsou
snadněji akceptovatelné než extrémně podrobné fascikly, kterými pak v čase
krize nemá nikdo čas listovat a které stejně ani při nejlepší vůli nemohou
obsahovat všechny možné faktory utvářející reálnou krizi.
Při přípravách na krizovou situaci a při jejím vlastním řešení proto mějte na
paměti: těžko na cvičišti, lehko na bojišti.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.