Kybernetické bezpečnostní události

Dle § 2 odst. 2 zákona se kybernetickou bezpečnostní událostí (KBU) rozumí „událost, která může vyústit v kybernetický bezpečnostní incident“. Událost může být detekována bezpečnostními opatřeními a její potenciální negativní dopady eliminovány. Je to např. neúspěšný pokus o nelegitimní přístup do systému, kdy uživatel stáhne škodlivou přílohu e-mailu, ale ta je rozpoznána a zachycena antivirovým systémem.

Kybernetické bezpečnostní incidenty

Dle § 2 odst. 2 zákona se kybernetickým bezpečnostním incidentem (KBI) rozumí „narušení bezpečnosti informací v kybernetickém prostoru“. KBI nastává ve chvíli, kdy selžou bezpečnostní opatření a potenciální hrozba se projeví jako skutečné narušení, s reálnými dopady na bezpečnost informací. Příkladem je úspěšný průnik do systému, aktivace škodlivého kódu nebo únik dat

Kdy se z KBU stává KBI

• Zaměstnanec opouští své pracoviště a neuzamkne si počítač (KBU). Dojde ke zneužití počítače (KBI).
• Selže Firewall na perimetru (KBU). Kvůli tomu nebude mít organizace přístup na internet (KBI).
• Dojde k pokusu o neoprávněný přístup do sítě (KBU). Přístup se útočníkovi podaří a dojde k nasazení malwaru v síti (KBI).
• Vznikne podezření na možné odcizení přihlašovacích údajů (KBU). Následuje přístup do sítě pomocí těchto údajů (KBI).
• Uživatel stáhne přílohu ze zavirované stránky (KBU). Jeho koncovou stanici napadne vir nebo malware (KBI).

Požadavky ustanovení

Základním požadavkem v rámci tohoto ustanovení je zavedení procesů, pravidel a postupů pro detekci, zaznamenávání a vyhodnocování KBU v souladu s § 21 až § 23 vyhlášky. 

Je nutné:

• přidělit odpovědnosti za detekci, zaznamenávání a vyhodnocování KBU a odpovědnosti za koordinaci a zvládání KBI,
• zavést procesy, pravidla a postupy pro koordinaci a zvládání KBI,
• zajistit posouzení, zda se jedná o KBU nebo KBI,
• přidělit odpovědnosti a stanovit postupy pro koordinaci a zvládání KBI, např. manažer kybernetické bezpečnosti vytvoří RACI matici s povinnostmi všech zainteresovaných stran, které se budou podílet na zvládnutí KBI. RACI matice je součástí bezpečnostních politik,
• definovat a dodržovat pravidla a postupy pro identifikaci, sběr, získání a uchování věrohodných podkladů potřebných pro analýzu KBI.

Dále sem také patří následující:

• zajistit, že uživatelé, administrátoři, osoby zastávající bezpečnostní role, další zaměstnanci a dodavatelé budou oznamovat neobvyklé chování informačního systému a podezření na jakékoliv zranitelnosti,
• doporučuje se, aby požadavek na oznamování neobvyklého chování a podezření na zranitelnosti byl zanesen do smluvních ujednání s dodavateli, přičemž o tom, komu a jakým způsobem neobvyklé chování hlásit, se doporučuje zaměstnance školit (o postupech oznamování lze na pracovištích informovat též pomocí aktualit),
• přijmout opatření pro odvrácení a zmírnění dopadu KBI,
• bezodkladně hlásit Úřadu KBI, podle § 15 zákona,
• vést záznamy o KBI a jejich zvládání,
• prošetřit a určit příčiny KBI,
• vyhodnotit účinnost řešení KBI,
• na základě vyhodnocení stanovit nutná bezpečnostní opatření, popřípadě aktualizovat stávající bezpečnostní opatření k zamezení opakování řešeného KBI.

Zvládání KBU a KBI.
Zdroj: vlastní tvorba.

Co by věrohodné podklady měly obsahovat?

• Identifikaci osob a údaje o čase (včetně časového pásma),
• provedení každé činnosti vztahující se ke sběru věrohodných podkladů o KBI,
• jak byly jednotlivé činnosti provedeny včetně nástrojů a dalších podstatných informací,
• jaké jsou výsledky provedených činností a jak jsou tyto výsledky chráněny,
• kdo je svědkem prováděných činností včetně prohlášení, že všechny informace o provedených činnostech
  a jejich výsledcích jsou pravdivé, úplné a bezchybné – je doporučeno využít alespoň dvou svědků a jakékoli další podstatné informace.