Kybernetické bezpečnostní události

---

Dle § 2 odst. 2 zákona se KBU rozumí „událost, která může vyústit v kybernetický bezpečnostní incident“. Událost může být detekována bezpečnostními opatřeními a její potenciální negativní dopady eliminovány. Je to např. neúspěšný pokus o nelegitimní přístup do systému, kdy uživatel stáhne škodlivou přílohu e-mailu, ale ta je rozpoznána a zachycena antivirovým systémem.

Kybernetické bezpečnostní incidenty

Dle § 2 odst. 2 zákona se KBI rozumí „narušení bezpečnosti informací v kybernetickém prostoru“. KBI nastává ve chvíli, kdy selžou bezpečnostní opatření a potenciální hrozba se projeví jako skutečné narušení, s reálnými dopady na bezpečnost informací. Příkladem je úspěšný průnik do systému, aktivace škodlivého kódu nebo únik dat

Kdy se z KBU stává KBI

• Zaměstnanec opustí pracoviště a neuzamkne počítač (KBU), čehož je následně zneužito k neoprávněné manipulaci se systémem nebo daty (KBI).
• Dojde k přetížení serveru v důsledku neobvyklého síťového provozu (KBU), což vede k omezení nebo výpadku poskytovaných služeb (KBI).
• Je zaznamenán pokus o neoprávněný přístup do sítě (KBU), který je úspěšný a vede k nasazení malwaru v interním prostředí (KBI).
• Je zaznamenáno podezření na kompromitaci přihlašovacích údajů (KBU), které je následně potvrzeno detekcí neoprávněného přihlášení uživatele do systému (KBI).
• Uživatel stáhne přílohu ze škodlivé stránky (KBU), což vede k infikování koncové stanice virem nebo malwarem (KBI).

Požadavky ustanovení

Základním požadavkem v rámci tohoto ustanovení je zavedení procesů, pravidel a postupů pro detekci, zaznamenávání a vyhodnocování KBU v souladu s § 21 až § 23 vyhlášky. 

Je nutné:

• přidělit odpovědnosti za detekci, zaznamenávání a vyhodnocování KBU a odpovědnosti za koordinaci a zvládání KBI,
• zavést procesy, pravidla a postupy pro koordinaci a zvládání KBI,
• zajistit posouzení, zda se jedná o KBU nebo KBI,
• přidělit odpovědnosti a stanovit postupy pro koordinaci a zvládání KBI, např. manažer kybernetické bezpečnosti vytvoří RACI matici s povinnostmi všech zainteresovaných stran, které se budou podílet na zvládnutí KBI. RACI matice je součástí bezpečnostních politik,
• definovat a dodržovat pravidla a postupy pro identifikaci, sběr, získání a uchování věrohodných podkladů potřebných pro analýzu KBI.

Dále sem také patří následující:

• zajistit, že uživatelé, administrátoři, osoby zastávající bezpečnostní role, další zaměstnanci a dodavatelé budou oznamovat neobvyklé chování informačního systému a podezření na jakékoliv zranitelnosti,
• doporučuje se, aby požadavek na oznamování neobvyklého chování a podezření na zranitelnosti byl zanesen do smluvních ujednání s dodavateli, přičemž o tom, komu a jakým způsobem neobvyklé chování hlásit, se doporučuje zaměstnance školit (o postupech oznamování lze na pracovištích informovat též pomocí aktualit),
• přijmout opatření pro odvrácení a zmírnění dopadu KBI,
• bezodkladně hlásit úřadu KBI, podle § 15 zákona,
• vést záznamy o KBI a jejich zvládání,
• prošetřit a určit příčiny KBI,
• vyhodnotit účinnost řešení KBI,
• na základě vyhodnocení stanovit nutná bezpečnostní opatření, popřípadě aktualizovat stávající bezpečnostní opatření k zamezení opakování řešeného KBI.

Proces zvládání KBU a KBI. Zdroj: vlastní tvorba.

Co by věrohodné podklady měly obsahovat?

• Identifikaci osob a údaje o čase (včetně časového pásma),
• provedení každé činnosti vztahující se ke sběru věrohodných podkladů o KBI,
• jak byly jednotlivé činnosti provedeny včetně nástrojů a dalších podstatných informací,
• jaké jsou výsledky provedených činností a jak jsou tyto výsledky chráněny,
• kdo je svědkem prováděných činností včetně prohlášení, že všechny informace o provedených činnostech a jejich výsledcích jsou pravdivé, úplné a bezchybné – je doporučeno využít alespoň dvou svědků a jakékoli další podstatné informace.