Küberturvalisuse intsidendile reageerimine

shape
shape
shape
shape
shape
shape
shape
shape

Küberturvalisuse intsidendile reageerimine on protsess, mille käigus organisatsioon tegeleb turvarikkumise või küberrünnaku (mida nimetatakse ka turvaintsidendiks) tagajärgedega.
Juhtumitele reageerimise eesmärk on olukorra käsitlemine viisil, mis piirab kahjusid, vähendab taastumisaega ja -kulusid ning leevendab negatiivset mõju organisatsiooni tegevusele või
mainele.

Küberturvalisuse intsidendile reageerimine


Intsidentidele reageeritakse tavaliselt mitmes etapis

  1. Ettevalmistus: see hõlmab intsidentidele reageerimise meeskonna koostamist, samuti
    intsidentidele reageerimise plaanide ja eeskirjade loomist. See etapp hõlmab ka
    turvaintsidentide ennetamise meetmete rakendamist ning intsidentide uurimiseks
    vajalike vahendite ja ressursside ettevalmistamist.
  2. Tuvastamine ja analüüs: see etapp hõlmab võimalike turvaintsidentide tuvastamist ja
    uurimist. Näiteks võidakse jälgida süsteemi logisid, tuvastada ebatavalisi tegevusi ning
    analüüsida süsteemide ja võrkude käitumist, et teha kindlaks, kas on toimunud
    turvaintsident.
  3. Ohjeldamine, likvideerimine ja taastamine: selles etapis tegutseb intsidendile
    reageerimise meeskond selle nimel, et minimeerida intsidendi mõju, isoleerides
    mõjutatud süsteemid ja takistades intsidendi levikut. Seejärel eemaldab meeskond ohu
    süsteemidest ja viib need tagasi turvalisse olekusse.
  4. Intsidendijärgsed tegevused: pärast intsidendi lahendamist analüüsib meeskond
    põhjalikult intsidenti, reageerimise tõhusust ja organisatsiooni valmisolekut. Sellest
    ülevaatest saadud õppetunde kasutatakse seejärel tulevaste intsidentidele reageerimise parandamiseks ja sarnaste juhtumite ennetamiseks. Intsidentidele reageerimine on oluline osa tõhusast küberturvalisuse programmist. Kiire ja tõhus reageerimine turvaintsidentidele võib oluliselt vähendada turvaintsidentide mõju ja kulusid. Intsidendile reageerimise protsess järgib sageli tsüklit, mis on jagatud kuueks põhietapiks või faasiks:

  1. Ettevalmistus: see on intsidentidele reageerimisel esimene ja vaieldamatult kõige
    olulisem samm. Selles etapis töötavad organisatsioonid välja intsidentidele reageerimise
    plaani, tuvastavad ja koolitavad oma intsidentidele reageerimise meeskonda ning
    rakendavad ennetavaid meetmeid oma süsteemide ja andmete kaitsmiseks.
  2. Tuvastamine: selles etapis tegeleb organisatsioon intsidendi tuvastamise ja endale
    tunnistamisega. Tuvastamine toimub turvasündmuste analüüsimise teel, et eristada
    tõelist turvaintsidenti valepositiivsest. Süsteemid võisid olla rikutud juba mõnda aega
    enne rikkumise tuvastamist, mistõttu on see keeruline ja kriitiline samm.
  3. Ohjeldamine: kui juhtum on tuvastatud, tuleb see kahju piiramiseks ja edasiste kahjude
    vältimiseks ohjeldada. Tõkestamisstrateegia sõltub rünnaku olemusest, süsteemi tüübist
    ja võimalikust kahjust. Olenevalt intsidendi tõsidusest tuleb kasutada lühi- või pikaajalisi
    ohjeldamisstrateegiaid.
  4. Likvideerimine: selles faasis eemaldab organisatsioon ohu süsteemist. See võib
    hõlmata pahavara kustutamist, rikutud kasutajakontode keelamist või turvaaukude parandamist. Likvideerimisfaasi käigus tuleb ka mõista intsidendi põhjust, et vältida tulevasi juhtumeid.
  5. Taastamine: see etapp hõlmab süsteemide ja protsesside taastamist normaalsesse tööseisundisse, süsteemide normaalse toimimise kinnitamist ja tulevikus ära kasutada võidava haavatavuse kõrvaldamist. See võib hõlmata süsteemide parandamist, uut riistvara kasutusele võtmist või protsesside muutmist.
  6. Saadud õppetunnid: pärast intsidendi lahendamist tuleks läbi viia järelkontroll. See hõlmab intsidendi, reageerimise tõhususe ja selle, kuidas tulevasi intsidente ära hoida, analüüsimist. See protsess aitab organisatsioonidel parandada oma turvalisust ja reageerimisvõimet, olles tulevasteks intsidentideks paremini valmis. Intsidendile reageerimise protsessi tulemused võivad erineda olenevalt konkreetsetest asjaoludest ja intsidendi tõsidusest, samuti organisatsiooni kehtestatud reeglitest ja protokollidest.

Sageli sisaldavad need aga järgmist

  1. Intsidentidele reageerimise plaan: selleks on ametlik kirjalik dokument, mis kirjeldab
    turvaintsidentide tuvastamise, neile reageerimise ja nendest taastumise protsessi.
  2. Intsidentide tuvastamine: tõendid selle kohta, et võimalik turvaintsident on tuvastatud ja sellest teatatud. Siia võivad kuuluda logifailid, e-kirjaga saadetud teated või muud andmed, mis näitavad ebatavalist või kahtlast tegevust.
  3. Intsidentide raportid: intsidendi üksikasjalik ülevaade, mis võib loetleda, mis juhtus, millal see juhtus, kuidas see avastati, võimalikku mõju ja probleemi lahendamiseks kasutatud meetmeid. Need raportid koostatakse ja neid värskendatakse tavaliselt vastavalt juhtumile.
  4. Intsidentide üle vaatamine ja analüüs: intsidendijärgne analüüs ja analüüsidokumendid on olulised väljundid. Need peaksid üksikasjalikult kirjeldama intsidendi põhjust, reageerimise tõhusust, millised meetmed toimisid, mis ei toiminud ja mida saaks järgmisel korral paremini teha.
  5. Taastus- ja parandusplaanid: dokumentatsioon selle kohta, kuidas mõjutatud süsteemid taastatakse ja turvaliselt uuesti võrku liidetakse, sealhulgas kõik vajalikud toimingud intsidendi kordumise vältimiseks.
  6. Kommunikatsioon: info edastamine sidusrühmadele, kelleks võivad olla ettevõttesisesed töötajad, juhatuse liikmed, kliendid, reguleerivad asutused või avalikkus, olenevalt juhtumi iseloomust. Mõnel juhul võib teavitamine olla nõutud ka seadusest lähtuvalt.
  7. Saadud õppetunnid ning reeglite ja käitumistavade uuendamine: soovitused intsidendile reageerimise protsessi parandamiseks, mis põhinevad juhtumist saadud õppetundidel. See võib hõlmata reeglite või protseduuride muutmist, intsidentidele reageerimise plaani uuendamist, täiendavat koolitust või muid turvalisuse parandamise meetmeid
  8. Kohtuekspertiisi tõendid ja juriidiline dokumentatsioon: kui intsident tähendab kohtulikku uurimist või võimalikke õiguslikke tagajärgi (nt klientide andmete lekkega seotud rikkumine), on hoolikas dokumenteerimine ja tõendite säilitamine üliolulised. See hõlmab andmete omandiahela kirjeldamist, kohtuekspertiisi kujutiste jäädvustamist ja muid materjale, mida saaks kohtus kasutada.

Tuleb meeles pidada, et intsidendile reageerimise eesmärk ei ole mitte ainult vahetu intsidendi käsitlemine, vaid ka organisatsiooni üldise turvahoiaku ja intsidentidele reageerimise suutlikkuse parandamine tulevikus. Intsidendile reageerimise protsessi tulemused annavad olulise ülevaate sellest, mis juhtus ja kuidas seda käsitleti, ning on aluseks organisatsiooni turvameetmete jätkuvale täiustamisele.


Intsidendile reageerimise projekti kestus on väga erinev ja sõltub mitmest tegurist

  1. Intsidendi tõsidusest: mõned juhtumid on suhteliselt väikesed ja neid saab lahendada
    mõne tunni või päevaga. Teiste, eriti keerukate või keerulisi süsteeme hõlmavate
    rünnakute täielikuks lahendamiseks võib kuluda nädalaid või isegi kuid.
  2. Intsidendi ulatusest: intsident, mis mõjutab ühte süsteemi või väikest arvu kirjeid,
    võidakse lahendada suhteliselt kiiresti, samas kui intsident, mis mõjutab mitut süsteemi
    või puudutab suuri andmehulki, võib võtta palju kauem aega.
  3. Tuvastamise ajast: mida varem juhtum avastatakse, seda kiiremini saab
    reageerimisprotsess alata. Kui intsident jääb aga pikka aega avastamata, võib see
    taastumisaega oluliselt pikendada, kuna rikkumine võis levida või tekitada rohkem kahju.
  4. Ressurssidest ja oskusteabest: intsidendile reageerimise meeskonna oskused,
    kogemused ja ressursid võivad reageerimise kiirust oluliselt mõjutada. Hästi varustatud
    ja kogenud meeskond suudab üldjuhul intsidente lahendada kiiremini kui meeskond,
    kellel puuduvad kogemused või vahendid.
  5. Koostööst: intsidendile reageerimine hõlmab sageli mitut sidusrühma, sealhulgas IT-
    töötajaid, juhtkonda, juriidilisi nõustajaid ja võib-olla ka väliseid üksusi, nagu
    õiguskaitseorganid või kolmandatest osapooltest müüjad. Nende koostöö kiirus ja
    tõhusus võivad oluliselt mõjutada intsidendile reageerimise projekti kestust.

Üldiselt võib kindlalt väita, et intsidentidele reageerimine on sageli aeganõudev protsess.
Näiteks Ponemoni Instituudi 2021. aastal ilmunud andmete rikkumise maksumuse raporti
kohaselt kulus ülemaailmselt rikkumise tuvastamiseks ja ohjeldamiseks keskmiselt 287 päeva. See on siiski vaid keskmine näitaja ja üksikjuhtumid võivad olla väga erinevad.