§ 14

Zvládání kyber­netických bezpečnostních událostí a incidentů. Co je to událost, co je to incident, jak je detekovat a zvládat?

Kybernetické bezpečnostní události

Dle § 7 odst. 1 ZKB se kybernetickou bezpečnostní událostí (KBU) rozumí „událost, která může způsobit narušení bezpečnosti informací v infor­mačních systémech nebo narušení bezpečnosti služeb anebo bezpečnosti a integrity sítí elektronických komunikací“. Událost může být zachycena bezpečnostními opatřeními a její potenciální negativní dopady eliminovány. Je to například neúspěšný pokus o nelegitimní přístup do systému, kdy uživatel stáhne škodlivou přílohu e-mailu, ale ta je rozpoznána a zachycena antivirovým systémem. V případě selhání bezpečnostních opatření však může přerůst v kybernetický bezpečnostní incident (KBI)tzn. z potenciál­ního narušení bezpečnosti se stane narušení skutečné.

Kybernetické bezpečnostní incidenty

Dle § 7 odst. 1 ZKB se kybernetickým bezpečnostním incidentem rozumí „narušení bezpečnosti informací v informačních systémech nebo narušení bezpečnosti služeb anebo bezpečnosti a integrity sítí elektronických komunikací v důsledku kybernetické bezpečnostní události“.

Jak vypadá KBU, která přeroste v KBI?
  • Zaměstnanec opouští své pracoviště a neuzamkne si počítač (KBU). Dojde ke zneužití počítače (KBI).
  • Selže Firewall na perimetru (KBU). Kvůli tomu nebude mít organizace přístup na internet (KBI).
  • Dojde k vniknutí do sítě (KBU). Je nasazen malware v rámci sítě (KBI).
  • Dojde k odcizení přihlašovacích údajů (KBU). Následuje přístup do sítě pomocí těchto údajů (KBI).
  • Uživatel stáhne přílohu ze zavirované stránky (KBU). Jeho koncovou stanici napadne vir nebo malware (KBI).

Požadavky ustanovení

Základním požadavkem v rámci tohoto ustanovení je zavedení procesu zajišťujícího detekci a vyhodnocování kybernetických bezpečnostních událostí a zvládání kybernetických bezpečnostních incidentů. Je nutné:

  • Přidělit odpovědnosti a stanovit postupy pro průběžnou detekci a průběžné vyhodnocování kybernetických bezpečnostních událostí a kybernetických bezpečnostních incidentů,
  • zajistit posouzení, zda se jedná o kybernetickou bezpečnostní událost nebo kybernetický bezpečnostní incident,
  • přidělit odpovědnosti a stanovit postupy pro koordinaci a zvládání kybernetických bezpečnostních incidentů, například manažer kybernetické bezpečnosti vytvoří RACI matici s povinnostmi všech zainteresovaných stran, které se budou podílet na zvládnutí kybernetického bezpečnostního incidentu. RACI matice je součástí bezpečnostních politik,
  • definovat a aplikovat postupy pro identifikaci, sběr, získání a uchování věrohodných podkladů potřebných pro analýzu kybernetického bezpečnostního incidentu.
Co by věrohodné podklady měly obsahovat?
  • Identifikaci osob a údaje o čase (včetně časového pásma),
  • provedení každé činnosti vztahující ke sběru věrohodných podkladů o kybernetickém bezpečnostním incidentu,
  • jak byly jednotlivé činnosti provedeny včetně nástrojů a dalších podstatných informací,
  • jaké jsou výsledky provedených činností a jak jsou tyto výsledky chráněny,
  • kdo je svědkem prováděných činností včetně prohlášení, že všechny informace o provedených činnostech a jejich výsledcích jsou pravdivé, úplné a bezchybné – je doporučeno využít alespoň dvou svědků a jakékoli další podstatné informace.

Požadavky ustanovení: pokračování

Dále sem také patří následující:

  • Zajistit, že uživatelé, administrátoři, osoby zastávající bezpečnostní role, další zaměstnanci a dodavatelé budou oznamovat neobvyklé chování informačního systému a podezření na jakékoliv zranitelnosti,
  • je doporučeno, aby zanesení požadavku o oznamování neobvyklého chování a podezření na zranitelnosti do smluvních ujednání s dodavateli. Dále je doporučeno školit zaměstnance komu a jakým způsobem hlásit neobvyklé chování. O postupech oznamování lze na pracovištích informovat pomocí aktualit,
  • přijmout opatření pro odvrácení a zmírnění dopadu kybernetického bezpečnostního incidentu,
  • bezodkladně hlásit NÚKIB kybernetické bezpečnostní incidenty, podle § 32 VKB,
  • vést záznamy o kybernetických bezpečnostních incidentech a jejich zvládání,
  • prošetřit a určit příčiny kybernetického bezpečnostního incidentu,
  • vyhodnotit účinnost řešení kybernetického bezpečnostního incidentu,
  • na základě vyhodnocení stanovit nutná bezpečnostní opatření, popřípadě aktualizovat stávající bezpečnostní opatření k zamezení opakování řešeného kybernetického bezpečnostního incidentu.
Zvládání kybernetické bezpečnostní události a kybernetického bezpečnostního incidentu.

Zvládání kybernetické bezpečnostní události a kybernetického bezpečnostního incidentu. Zdroj: Vlastní tvorba.