Cyberatak – przygotowania przed nieuniknionym

Według przeprowadzonego przez firmę KPMG badania „Barometr cyberbezpieczeństwa”, skala cyberprzestępczości rośnie bardzo szybko – w 2017 roku aż 82% polskich firm odnotowało próby ataku.

Jako najczęstsze źródło cyberataku przedsiębiorstwa w Polsce wskazały zorganizowane grupy przestępcze (62% respondentów badania) oraz pojedynczych hakerów (61%). Niezadowolony lub podkupiony pracownik, uważany niegdyś za największe zagrożenie, zszedł na dalszy plan. Firmy najbardziej obawiają się trudnych do zidentyfikowania i odparcia ataków ukierunkowanych (APT – Advanced Persistent Threat), cyberprzestępstw realizowanych za pośrednictwem złośliwego oprogramowania oraz wspieranych przez socjotechnikę, jak również ataków przeprowadzanych za pośrednictwem podatności w aplikacjach.

Biorąc pod uwagę skalę i złożoność dzisiejszych cyberzagrożeń, właściwe pytanie nie brzmi: „czy nastąpi cyberatak?”, ale: „kiedy to się stanie?”. Firmy w Polsce zaczynają dostrzegać, że nie jest możliwa ochrona przed cyberatakiem i należy się przygotować do jego wczesnej identyfikacji oraz odpowiedniej reakcji w przypadku jego wystąpienia. Jak wynika z badania KPMG, powyższe zagadnienia zostały wskazane jako obecnie najbardziej priorytetowe obszary inwestycji. To optymistyczny sygnał, bowiem średni czas pomiędzy wykryciem obecności hakera a momentem, w którym przejął kontrolę nad infrastrukturą firmy, wciąż przekracza aż pół roku.

Zobacz również:

Wyzwanie organizacyjne

Można zaryzykować twierdzenie, że w wielu organizacjach proces reakcji na incydenty ma charakter nieformalny, wynikający m.in. z przypisania odpowiedzialności za bezpieczeństwo informacji oraz ciągłość działania procesów biznesowych. Niestety, praktyka pokazuje, że w przypadku rzeczywistego cyberataku brak opracowanego wcześniej, udokumentowanego i przetestowanego procesu reakcji na incydenty prowadzi do wielu nieefektywnych decyzji, które mogą firmę drogo kosztować, a nawet stanowić o jej przyszłości. Co więcej, każdy atak jest inny, więc nie ma czegoś takiego jak idealna recepta na jego odparcie. Niezwykle istotne jest natomiast odpowiednie przypisanie odpowiedzialności oraz zapewnienie niezbędnych autoryzacji dla zespołu obsługującego incydent, by był on w stanie szybko podejmować decyzje bez konieczności oczekiwania na konsultacje z kierownictwem.

Michał Kurek, partner w Dziale Usług Doradczych, szef Zespołu ds. Cyberbezpieczeństwa w KPMG w Polsce.

Michał Kurek, partner w Dziale Usług Doradczych, szef Zespołu ds. Cyberbezpieczeństwa w KPMG w Polsce.

Wdrożenie procedury reagowania na incydenty bezpieczeństwa nie jest proste. Największym wyzwaniem dla dużych organizacji jest konieczność zorganizowania współpracy między wieloma departamentami, m.in.: IT, bezpieczeństwa, komunikacji, prawnego, zasobów ludzkich. Dlatego wdrożenie sprawnego procesu może trwać miesiącami i w praktyce nie jest możliwe bez zaangażowania oraz aktywnego wsparcia kierownictwa najwyższego szczebla.

W wielu obszarach procesu wskazane jest również nawiązanie współpracy z wyspecjalizowanymi firmami zewnętrznymi. Według badania KPMG, polskie firmy w zdecydowanej większości (71% respondentów) korzystają z outsourcingu funkcji bezpieczeństwa. Najczęściej zlecane na zewnątrz (49% firm) jest właśnie wsparcie w reakcji na cyberataki. Z uwagi na fakt, że poważne naruszenia bezpieczeństwa realizowane są często w okresach o utrudnionej dostępności pracowników (weekendy, święta), warto zawczasu zapewnić sobie wsparcie, podpisując umowę z zewnętrznym partnerem.

Prosty cel, wiele dylematów

Choć cel reakcji na incydent bezpieczeństwa wydaje się prosty, warto wcześniej zastanowić się, czy chcemy namierzyć i spróbować ująć hakera, czy też interesuje nas wyłącznie jak najszybsze i skuteczne pozbycie się go z sieci. W zależności od sposobu zdefiniowania celu różne mogą być nasze procedury choćby w zakresie gromadzenia materiału dowodowego.

Proces reakcji na cyberatak można podzielić na dwa zasadnicze etapy: analizę ataku, mającą na celu zrozumienie tego, co się wydarzyło, czyli kto, gdzie, kiedy, dlaczego i w jaki sposób zaatakował, oraz właściwej reakcji, czyli zatrzymania ataku, ograniczenia jego skutków oraz naprawy szkód.

Kluczowym dylematem jest, jak szybko należy przejść od fazy analizy do aktywnego działania. Doświadczenia uczą, że zbyt szybkie przejście do usuwania hakera z sieci bez uprzedniego dogłębnego zrozumienia skali i złożoności ataku może spowodować, że atakujący zmieni taktykę – ukryje się w infrastrukturze, a po pewnym czasie wznowi nieautoryzowane działania. Z kolei zbyt długie zwlekanie i przeciąganie etapu analizy może prowadzić do kosztownych skutków przedłużającego się cyberataku.

Cyberatak może przynieść także pozytywne skutki. Przywracając działanie firmy po cyberataku, nie wolno zapomnieć o wyciągnięciu wniosków dotyczących tego, co zawiodło oraz co należy zrobić, aby uniknąć podobnych incydentów w przyszłości.

Kolejnym zagadnieniem, które należy dogłębnie przeanalizować, jest obowiązek notyfikacji regulatora. Konieczne jest także stałe śledzenie zmian prawa regulującego ten obszar. W związku z wejściem w życie przepisów RODO, od 25 maja 2018 r., w przypadku wycieku danych osobowych stosowna notyfikacja będzie musiała zostać złożona w ciągu 72 godzin od momentu wykrycia ataku. W tym zakresie mogą występować również dodatkowe, specyficzne wymogi branżowe.

Dużym dylematem jest też informowanie organów ścigania, czy i kiedy to zrobić. Nie wszystkie incydenty trzeba zgłaszać, a wiele organizacji skarży się, że po włączeniu policji w proces obsługi zdarzenia tracą nad nim kontrolę. Skutkiem może być w takim przypadku wydłużenie czasu trwania całej procedury.

Skuteczny cyberatak wiąże się nie tylko ze stratami finansowymi po stronie firmy, ale i trudnymi do oszacowania szkodami związanymi z naruszeniem dobrego wizerunku. Kwestia komunikacji zewnętrznej nabiera więc w przypadku incydentów bezpieczeństwa szczególnego znaczenia. Włączenie specjalistów ds. PR do zespołu obsługującego cyberatak to dziś konieczność. Praktyka pokazuje, że najlepszą strategią w przypadku cyberataków wiążących się z naruszeniem poufności danych klientów jest pełna transparentność i jak najszybsza rzetelna komunikacja. Dziś cyberatak może dotknąć każdą,nawet najbardziej zaawansowaną technologicznie firmę, dlatego profesjonalna komunikacja związana z incydentem może pomóc odbudować naruszone zaufanie klientów.

Na koniec warto pamiętać, że cyberatak może przynieść także pozytywne skutki. Podobnie jak w każdej innej strefie życia upadki niosą ze sobą ogromną naukę. Przywracając działanie firmy po cyberataku, nie wolno zapomnieć o wyciągnięciu wniosków dotyczących tego, co zawiodło oraz co należy zrobić, aby uniknąć podobnych incydentów w przyszłości. Jednocześnie szukanie winnego i wyciąganie względem niego konsekwencji kadrowych to nie najlepsza strategia. Ktoś, kto miał do czynienia z incydentem bezpieczeństwa IT, zdobył niezwykle cenne doświadczenie, którego nie zastąpi nawet najlepsze szkolenie z zakresu cyberbezpieczeństwa.

Mam procedurę, czy jestem przygotowany?

Bezpieczeństwo to proces. Procedury w zakresie reakcji na incydenty powinny być stale aktualizowane. Przeprowadzanie okresowych testów penetracyjnych jest najlepszym sposobem na przekucie teoretycznych zapisów w rzeczywistą gotowość organizacji na stawienie czoła cyberprzestępcom. Najczęściej stosowane są symulacje scenariuszowe, w których firma poddawana jest fikcyjnemu cyberatakowi. Inną często spotykaną formą testów jest tzw. Red Teaming, czyli rzeczywiste próby naruszenia bezpieczeństwa firmy przez zespół pentesterów, sprawdzający zdolność organizacji zarówno do ich wykrycia, jak i odpowiedniego odparcia.

SEMAFOR – XI Forum Bezpieczeństwa i Audytu IT

Konferencja SEMAFOR to jedno z największych wydarzeń poświęconych zagadnieniom bezpieczeństwa informacji i audytu IT w Polsce. To okazja do wzięcia udziału w kilkudziesięciu punktach programu poświęconych bieżącym zagrożeniom oraz najciekawszym studiom przypadku.

Konferencja odbędzie się w dniach 15–16 marca 2018 na stadionie PGE Narodowy w Warszawie.

Gościem specjalnym konferencji będzie Matt Loeb, CEO ISACA.

W programie m.in. także:

 Analiza przypadków dezinformacji i manipulacji w dobie internetu – Adam Haertle, trener, wykładowca, red. naczelny serwisu Zaufana Trzecia Strona

 Wpadki i potknięcia polskich banków – Piotr Konieczny, założyciel Niebezpiecznik.pl

 Bezpieczeństwo API REST – 20 przykładów z życia wziętych – Michał Sajdak, redaktor serwisu Sekurak, konsultant ds. bezpieczeństwa IT, Securitum

 What does Brexit mean for cybersecurity professionals – Dalim Basu, Events Director, ISACA London Chapter

Szczegółowe informacje dostępne na stronie: computerworld.pl/konferencja/semafor.