Jeden przypadek naruszenia bezpieczeństwa informatycznego może kosztować przedsiębiorstwo nawet 3,92 mln dolarów[1]. Czynnikiem, który często decyduje o wymiarze strat, jest czas reakcji na zaistnienie incydentu. Dzięki odpowiedniemu przygotowaniu i opracowaniu procedur, można go jednak znacznie skrócić. Eksperci Fortinetu zwracają uwagę, o jakich kwestiach zespół odpowiedzialny za bezpieczeństwo IT powinien pamiętać.
Im dłuższy czas reakcji na cyberatak, tym wyższe koszty
Tegoroczny „Cost of a Data Breach Report” wydany przez Ponemon Institute wskazuje, że wynoszą one średnio nawet 3,92 mln dolarów[i]. Z kolei przeciętna liczba skradzionych lub upublicznionych rekordów w wyniku ataku szacowana jest na ponad 25 tys. Nie są to jednak jedyne straty, na które narażone są przedsiębiorstwa. Poważne skutki przynoszą również przestoje w prowadzeniu działalności. Ich efektem może być utrata reputacji czy zaufania klientów, a ten koszt jest znacznie trudniejszy do oszacowania niż wartość utraconych danych. Odbudowa wizerunku marki może potrwać miesiące lub lata.
Tymczasem obecnie cyberprzestępcy wykorzystują techniki, które coraz bardziej opóźniają moment wykrycia. Spędzają oni czasem nawet 209 dni na skanowaniu sieci i wykradaniu danych, zanim zostaną zauważeni. Z kolei proces odzyskiwania danych oraz przeprowadzenie dochodzenia zajmuje następne tygodnie i generuje dodatkowe koszty. Dlatego istotne jest odpowiednie przygotowanie, aby zminimalizować ten czas i wynikające z niego straty.
Jak skrócić czas reakcji na naruszenia danych i incydenty bezpieczeństwa?
Szybkie powrócenie do normalnego funkcjonowania po cyberataku ułatwia regularne tworzenie kopii zapasowych danych i obrazów systemów operacyjnych komputerów. Powinny być one dostępne i przechowywane poza wewnętrzną siecią. Dobrą praktyką jest również przeznaczenie do reagowania na incydenty i ich neutralizacji odłączonego od sieci sprzętu – w przypadku ataku ransomware, niezainfekowane urządzenia pozwolą na sprawną reakcję. Jednak kwestie techniczne to nie wszystko. Tempo pracy zespołu ds. cyberbezpieczeństwa można zwiększyć poprzez rutynowe ćwiczenia odzyskiwania systemu i danych. Dzięki temu, w przypadku ataku, proces ten będzie przebiegał w sposób płynny.
Kluczową rolę odgrywają w tym aspekcie odpowiednio wykwalifikowani pracownicy. Dlatego jednym z najważniejszych elementów przygotowania przedsiębiorstwa na cyberzagrożenia jest utworzenie zespołu reagowania na incydenty. Powinien on obejmować nie tylko członków zespołu technicznego i jego konsultantów, ale także kadrę kierowniczą, zespół ds. komunikacji czy osoby z działu prawnego. Każdy z tych specjalistów postrzega cyberprzestępczość z innej perspektywy. Połączenie ich umiejętności i punktów widzenia pozwoli uzyskać kompleksowe spojrzenie na problem. Niezbędne jest przy tym zapewnienie odpowiedniej koordynacji działania takiego zespołu. Każdy jego członek powinien znać swoje obowiązki i uprawnienia decyzyjne. To pozwala uniknąć chaosu i usprawni proces reagowania.
O czym powinien pamiętać zespół ds. bezpieczeństwa?
Na początku zespół powinien zadbać o opracowanie odpowiednich procedur, które usprawnią jego pracę i skrócą czas reakcji. Aby przygotować się na naruszenie danych i incydenty bezpieczeństwa, eksperci Fortinet radzą wziąć pod uwagę następujące kwestie:
- Dane – Należy określić, jakie dane i zasoby zostały naruszone lub skradzione, a także jakie procesy biznesowe zostały zakłócone. Konieczna jest również analiza wszystkich zaatakowanych systemów w celu pozyskania wskaźników włamania (IOC), logów i transakcji.
- Zgodność z przepisami – Ważne jest, aby sprawdzić obowiązujące przepisy prawne. Przedsiębiorstwa z niektórych branż mogą być objęte szczególnymi restrykcjami prawnymi, np. dotyczącymi konieczności przechowywania danych o krytycznym znaczeniu w trybie off-line przez co najmniej rok.
- Władze – Trzeba wcześniej ustalić, czy w przypadku powodzenia cyberataku konieczny jest kontakt z władzami, w tym z organami ścigania. W niektórych sytuacjach mogą grozić kary za niezgłoszenie incydentu w odpowiednim czasie. Takie obowiązki nakłada m.in. RODO.
- Dowody – Otoczenie, w którym doszło do przestępstwa, powinno zostać zachowane w takim stanie, w jakim włamanie zostało wykryte, aby zebrane dowody zostały dopuszczone w sądzie. Jest to kluczowe, gdy incydent stanie się przedmiotem sprawy sądowej.
- Kwarantanna i redundancja – Zaatakowane systemy należy natychmiast poddać kwarantannie, aby powstrzymać rozprzestrzenianie się wirusów. Muszą być wówczas jednak dostępne systemy redundantne, które mogą posłużyć do przeprowadzenia analizy kryminalistycznej.
- Śledzenie łańcucha ataku – Konieczne jest dysponowanie narzędziami umożliwiającymi prześledzenie ścieżki ataku, aż do jego początku i momentu wejścia przestępców do sieci. Umożliwi to zidentyfikowanie łańcucha ataku i rodzaju wykorzystanego złośliwego oprogramowania.
- Szkolenia – Pracownicy, nawet spoza działów IT, muszą znać podstawowe zasady cyberhigieny. Rzadko zdarza się, aby incydenty związane z bezpieczeństwem nie dotyczyły szerszej grupy pracowników. Szkolenia ułatwią właściwe reagowanie na próby cyberataków i mogą pomóc w zapobieganiu incydentom.