Najpopularniejszy w Polsce portal o finansach i biznesie
Incydenty bezpieczeństwa, RODO i informatyka śledcza. Co zrobić, by wyciek danych nie sparaliżował firmy?

Incydenty bezpieczeństwa, RODO i informatyka śledcza. Co zrobić, by wyciek danych nie sparaliżował firmy?

RODO wprowadza przed wszystkim obowiązki związane z szybką identyfikacją i przeciwdziałaniem  wszelkich naruszeń bezpieczeństwa danych osobowych Fot. Unsplash, Pixabay (CC0)
RODO wprowadza przed wszystkim obowiązki związane z szybką identyfikacją i przeciwdziałaniem wszelkich naruszeń bezpieczeństwa danych osobowych


Na pytania odpowiada Krzysztof Bińkowski, ekspert informatyki śledczej i dyrektor w IMMUSEC – firmie zajmującej się bezpieczeństwem informacji.

Co to jest incydent bezpieczeństwa?

Incydent bezpieczeństwa to zdarzenie lub seria zdarzeń, które bezpośrednio zagraża bezpieczeństwu informacji - przede wszystkim takim aspektom jak zachowanie poufności, integralności i dostępności. Incydent bezpieczeństwa dotyczy większości zasobów firmy – takich jak osoby, sprzęt, oprogramowanie, czy elementy infrastruktury IT lub innych, które mają wpływ na całość infrastruktury przedsiębiorstwa. Incydentem bezpieczeństwa może być nie tylko przełamanie zabezpieczeń systemów IT przez atakującego, ale jest to również kradzież, zgubienie firmowego laptopa bądź telefonu komórkowego lub dowolnego nośnika danych. Dane, jeśli nie są zabezpieczone w odpowiedni sposób (np. poprzez funkcję szyfrowania) mogą w łatwy sposób zostać ujawnione i opublikowane bądź wręcz wykorzystane do próby szantażu lun innych celów nie zawsze zgodnych z celem dla którego zostały zebrane. Biznesowi powinno zależeć na jak najszybszym i sprawnym rozwiązywaniu incydentów ze względu na koszty związane z obsługą tego incydentu, naprawy systemów IT czy kosztami przywrócenia pełnej ciągłości działania firmy.

Bezpieczeństwo informacji staje się coraz większym wyzwaniem również ze względu na RODO nową regulację w obszarze danych osobowych, która zacznie obowiązywać już za kilka tygodni. Co RODO zmienia w obszarze bezpieczeństwa informacji i postępowania w przypadku incydentu?

RODO wprowadza przed wszystkim obowiązki związane z szybką identyfikacją i przeciwdziałaniem wszelkich naruszeń bezpieczeństwa danych osobowych (zdefiniowanych w art. 33 i 34 rozporządzenia). W przypadku naruszenia bezpieczeństwa danych, czyli wystąpieniu incydentu bezpieczeństwa informacji, należy powiadomić organ nadzorczy o takim fakcie, a w szczególnych przypadkach powiadomić należy również osoby, których te dane bezpośrednio dotyczą. Należy przy tym pamiętać, że osoby, których naruszenie dotyczy, będą powiadamiane w przypadku wysokiego naruszenia praw i wolności tej osoby. Rozporządzenie to wskazuje zgłaszanie incydentu przez administratora danych osobowych bez zbędnej zwłoki i nie później niż w przypadku 72 godzin po stwierdzeniu naruszenia bezpieczeństwa danych. Naruszenia należy zgłaszać organowi nadzorczemu przede wszystkim w sytuacji, gdy wcześniej nie dochowano należytej staranności i nie zastosowano odpowiednich środków ochrony danych poprzez mechanizmy szyfrowania lub pseudonimizacji.

Zakładamy, że mleko się wylało – nastąpił wyciek danych. Jak w tej sytuacji firma powinna się zachować?

Podstawą jest szybka reakcja i przede wszystkim wcześniejsze przygotowanie się działania w przypadku wystąpienia incydentu. To tak, jak w życiu prywatnym kierowcy przygotowują się do możliwości wystąpienia na drodze kolizji dwóch pojazdów – wiemy, że może się zdarzyć i wykupujemy polisę (działanie po oszacowaniu ryzyka), a w samochodzie wozimy wzór oświadczenia sprawcy szkody komunikacyjnej (procedura). Jeśli w firmie nie posiadamy odpowiedniego zespołu, warto zwrócić się do zewnętrznego podmiotu, który świadczy takie usługi i mieć gotową procedurę obsługi incydentu „na żądanie”. Incydenty zdarzają się w firmach każdej wielkości, ale w małych firmach często przechodzą one niezauważone przez dłuższy czas. Czasem zostają dostrzeżone dopiero w momencie ujawnienia danych, które zostały już opublikowane i dowiadujemy się o tym fakcie np. z mediów czy serwisów społecznościowych. Każda mała lub średnia firma powinna mieć wdrożoną obsługę incydentów chociażby w postaci krótkiej procedury, która zawiera niezbędne informacje, takie jak: w jaki sposób i kogo powiadomić w przypadku wystąpienia incydentu, oraz wskazuje, kto odpowiada za obsługę incydentu, żeby uniknąć paniki i chaosu informacyjnego, które zabierają cenny czas.

Po zgłoszeniu incydentu odpowiednie działy lub osoby powinny określić ryzyko naruszenia poufności, integralności i dostępności danych, których ten incydent dotyczy. Kolejny krok to identyfikacja, gdzie w systemie informatycznym wskazane dane się znajdują, jakiego systemu i jakich osób incydent dotyczy oraz co było jego źródłem. Już na tym etapie (jeśli incydent narusza prawa lub wolności osób fizycznych) powinniśmy mieć także gotowy wzór dokumentu zgłoszenia incydentu do organu kontrolnego oraz wzór powiadomienia osób. Należy także pamiętać aby w odpowiednim momencie przedsięwziąć odpowiednie środki, które odizolują źródło incydentu, czyli np. odłączyć od sieci konkretne systemy czy urządzenia, ale tutaj zawsze podejmuje decyzje osoba obsługująca incydent. Ostatnim krokiem jest weryfikacja mechanizmu incydentu, określenie wektorów ataku i zastosowanie analizy powłamaniowej, która powinna pomóc przygotować raport końcowy na temat zaistniałego naruszenia.

Co składa się na analizę powłamaniową?

To proces, który dzielimy na 4 etapy: pierwszy to zebranie zespołu, który zajmuje się obsługą incydentu – zarówno od strony prawnej jak i od strony technicznej. Kolejny etap to akwizycja danych, zarówno ulotnych, jak i nieulotnych. Dane nieulotne to dane, które są już zapisane na nośniku w postaci np. dysku twardego, który zabezpieczymy i możemy do tych danych wrócić. Jednakże teraz coraz częściej mamy do czynienia z danymi ulotnymi – które znajdują się w pracujących systemach, urządzeniach, są przesyłane do/z chmury i możemy je utracić po wyłączeniu zasilania czy niewłaściwym zabezpieczeniu. Są to np. dane zawierające ruch sieciowy, logi, zawartość pamięci RAM czy nawiązane połączenia sieciowe oraz inne. Trzeci etap to analiza. W analizie próbujemy odpowiedzieć na pytania, kto, kiedy, gdzie, w jaki sposób i za pomocą jakich mechanizmów dokonał tego naruszenia. Tu z pomocą przychodzą narzędzia informatyki śledczej, komercyjne i bezpłatne, które pomogą przeanalizować zebrane dane, logi z naszych systemów czy nawet wywiady z osobami, których zdarzenie dotyczyło. Ten proces jest najdłuższy. Ostatni etap to raport, który musi odpowiedzieć na te pytania, które zadaliśmy sobie podczas analizy – gdzie doszło do zdarzenia, jaką podatność czy lukę wykorzystał atakujący, bądź też – gdzie nastąpił błąd człowieka. Raport powinien też odpowiedzieć na pytanie, jak odpowiednio zabezpieczyć się w przyszłości i jaki wpływ zdarzenie miało na biznes. Warto dodać, że raport powinien być pisany językiem zrozumiałym dla osób nietechnicznych, który powinien być zrozumiały dla biznesu i kierownictwa.

Co to jest informatyka śledcza?

Informatyka śledcza to dziedzina wiedzy, która zajmuje się dostarczaniem elektronicznych dowodów przestępstw lub nadużyć i pozwala odtworzyć stan pierwotny w celu identyfikacji motywów działania ofiary lub sprawcy. Końcowym efektem pracy informatyków śledczych jest raport lub ekspertyza, może być to też materiał dowodowy w dochodzeniu wewnętrznym lub prowadzonym przez organ ścigania. Informatyka śledcza odpowiada na pytania i ujawnia fakty – co faktycznie się stało. Nie zawsze jednoznacznie wskazuje osobę czy sprawcę z imienia, ale wskazuje na działania użytkowników bądź systemów. Bardzo często za skradzioną tożsamością użytkownika może stać zupełnie inna osoba.

Informatyka śledcza skupia się także na przywróceniu danych utraconych, ukrytych, przypadkowo bądź celowo usuniętych przy okazji incydentu, aby zatrzeć jego ślady.

Gdzie szukać dowodów elektronicznych? I co w sytuacji, gdy dane te znajdują się w chmurze?

Dowody elektroniczne obejmują dowody fizyczne: urządzenia takie jak komputer, telefon, systemy, urządzenia sieciowe – czyli wszystkie elementy tworzące infrastrukturę IT, przez które przepływają dane. Drugim elementem są właśnie dane ulotne, o których wspominałem wcześniej, ale także dane które nie są przechowywane na fizycznych nośnikach, do których mamy dostęp i dzisiaj są najczęściej przechowywane w chmurze. Korzyścią jest z jednej strony dostępność i niezawodność tych usług, ale z drugiej strony również łatwość wyprowadzenia danych w dowolne miejsce na świecie. Bezpośrednio do danych zawartych w chmurze ciężko uzyskać dostęp bez uwierzytelnienia – oczywiście administratorzy lub organy ścigania mają prawo zwrócić się do dostawców tych usług w celu uzyskania dostępu do spornych danych. W przypadku przechowywania danych w chmurze rośnie znaczenie technik live forensics, czyli zabezpieczenie śladów ulotnych jak najszybciej, jeszcze w czasie trwania tego incydentu. Dane, które powinniśmy zabezpieczyć w tym procesie to połączenia do chmury, czy też mechanizmy uwierzytelnienia użytkownika, ale również dane widoczne w czasie sesji.

Więcej na ten temat będzie się można dowiedzieć podczas SecureTech Congress (18-19 kwietnia, Sheraton Warsaw Hotel): http://securetechcongress.pl/


rodo
Czytaj także
Polecane galerie