De facto jen dle kvality nastavení systému, naší ochoty či disponibilních zdrojů budeme rozhodovat o tom, jak často nás bezpečnostní průšvihy budou potkávat. Jinými slovy: musíme počítat s tím, že se dříve nebo později „něco“ stane.
Častým (zlo)zvykem při řešení bezpečnostních incidentů je neohlížet se zpět, co nejrychleji vyřešit a zapomenout - a vydat se vstříc „světlým zítřkům“. Čistě teoreticky je podobné „neohlížení se zpět“ jednou z možných variant.
Jenže pokud neuděláme nic, není vyloučeno, ba dokonce je to velmi pravděpodobné, že za nějaký čas si budeme opět moci říci „raději zapomeňme podruhé a jedeme dál“. A že zapomínat a popojíždět budeme pravidelně. Aneb pokud neucpeme díru, do lodi bude stále vznikat voda.
Pozitivní přístup
Jiným přístupem k problému je postavit se k incidentu čelem a hledat na něm to pozitivní. Prostě se stalo, budiž, ale co udělat aby se situace neopakovala? Protože každý incident je velkou zátěží – odčerpává lidské i materiální zdroje, snižuje důvěru, zvýhodňuje konkurenci…
Základní pravidlo je: bezpečnostní incidenty bez viníka neexistují. (Jsou jen takové, kdy se ho vypátrat nepodaří.)
Ovšem cílem šetření není někoho popravit či veřejně hanobit, ale prostě nastavit mechanismy tak, aby se problém (týkající se v konečném důsledku všech) neopakoval.
Přenesme se nyní do okamžiku, kdy je incident za námi. Bez emocí tak můžeme provést jeho analýzu na základě faktů. S rozborem bezpečnostního incidentu je každopádně zapotřebí začít co nejdříve. Tedy v okamžiku, kdy je to možné a vhodné. Samozřejmě, že nemá smysl se incidentem zaobírat ve chvíli, kdy je v plném proudu nebo kdy probíhá likvidace následků.
Ostatně, v tomto okamžiku by ani rozbor neměl smysl, protože ještě nejsou k dispozici veškeré potřebné informace. Na druhé straně nemá smysl odkládat začátek rozboru, protože „zítra“ v podobných případech také často znamená „nikdy“.
Opakujeme: hledáme příčinu, nikoliv obětního beránka. Pokud byl na vině lidský faktor (což je velmi časté), snažme se vytvořit podmínky, abychom ho pro příště vyšachovali ze hry - omezením práv, školením, přidáním kontrolního mechanismu… Ne odstranit konkrétního člověka, ale situaci.
Jistě, není to příjemná práce – ale nutná je. Nemůže stejnou chybu udělat někdo jiný třeba tím, že je systém špatně nastavený?
Rozvážná analýza skutku
Rozbor incidentu je především o komunikaci, kterou je zapotřebí ustanovit mezi všemi povolanými. Je třeba shromáždit všechny podklady, logy, výpisy… Pokud něco podstatného chybí, máme první důvod k zamyšlení. Proč tyto podklady nevznikly? Proč tyto parametry nebyla sledované? A především: jak to napravit?
Jednou z nejlepších a nejjednodušších metod, jak rozpitvat bezpečnostní incident, je poskládat si časovou osu událostí. S pomocí časové osy zjistíme „kdy to začalo“ a mohou se postupně doplňovat chybějící body.
Důležité jsou přitom dva okamžiky: nejen vznik incidentu, ale také to, kdy byl odhalen. Zjistit, co se dělo mezi nimi, je velmi podstatné.
Stejně tak se můžeme zaměřit na to, jak byl odhalený. Došlo k tomu na základě nějakého systematického opatření nebo v podstatě náhodně? Nešlo to dřív a jinak?
Stejně tak je vhodné provést rozbor nejen akcí, ale i reakcí. Byly všechny správné? A proč? Byly všechny včasné? A proč? Byla realizace protiopatření systematická nebo chaotická? Vedla ke kýženému výsledku? Nechyběly nějaké zdroje (software, lidé, vypracované postupy)?
Každý incident má totiž svoji ideální „kritickou cestu“. Těžko ji sice dokážete po časové ose reakcí vždy sledovat, ale cílem je co nejvíce se k ní přiblížit.
A konečně: nezapomeňte se vší odpovědností určit, jaký byl skutečný cíl útoku. Šlo o náhodný výběr, kdy jste měli prostě smůlu, že se agresor zaměřil na vás, nebo šlo o akci s hlubším úmyslem? Dosáhl svého cíle? Nepřehlédli jsme něco? Nehrozí zopakování útoku? Třeba i v jiné podobě…
Možná najdete další překvapivé vazby nebo skutečnosti, které jste dříve přehlédli nebo přehlíželi. Tyto nové skutečnosti pak umožní cíl útoku chránit lépe nebo jinak.
Rozbor umožní kromě jiného stanovit, zda je skutečně po útoku. Fakt, že odezněly všechny viditelné nebo přímé projevy, neznamená, že skutečný cíl útoku nebyl jiný, než se zdálo. Některé útoky jsou totiž prováděné s tím, že mají zakrýt skutečný cíl zájmu nebo jej usnadnit.
Hackeři tak různými způsoby nutí restartovat systémy (což je viditelný projev) třeba z toho důvodu, aby mohli být aktivováni trojští koně dříve do systému umístění (na první pohled to nemusí být projev patrný).
Závěrečné vyhodnocení
Vypracujte zprávu z bezpečnostního incidentu, a to pro management i pro zainteresované pracovníky. Zpráva by měla obsahovat doporučení vyplývající z rozboru.
Následně tato doporučení nezapomeňte nasadit v praxi, zkontrolovat jejich implementaci a prověřit účinnost – aby se nestalo, že jsme jeden problém vyřešili, ale další dva vytvořili…
Zkrátka a dobře: bezpečnostní incident se pokuste proměnit ve veskrze pozitivní událost, která nám umožní poznat své slabiny a lépe je chránit.
Příště by jinak mohlo být ještě hůře. Příprava na bezpečnostní incident a jeho zvládnutí je jako celá informační bezpečnost – je totiž přípravou na nepřipravitelné...