Aktualności

cyber_incydent

Postępowania w zakresie poważnego incydentu cyberbezpieczeństwa

Kroki postępowania w zakresie poważnego incydentu cyberbezpieczeństwa.

Jest to lista głównych kroków, które należy wykonać, gdy specjalista techniczny uzna, że doszło do poważnego incydentu, a organizacja nie ma możliwości reagowania na incydenty. Jest to podstawowe źródło informacji o tym, co należy zrobić dla osoby, która stoi w obliczu kryzysu i nie ma czasu na przeczytanie całego dokumentu.

  1. Dokumentuj wszystko. Dokumentuj każdą wykonaną czynność, każdy dowód i każdą rozmowę z użytkownikami, właścicielami systemów i innymi osobami na temat incydentu.
  2. Znajdź współpracownika, który może udzielić pomocy. Obsługa incydentu będzie znacznie łatwiejsza, jeśli dwie lub więcej osób będzie ze sobą współpracować. Na przykład jedna osoba może wykonywać działania, a druga je dokumentować.
  3. Przeanalizuj dowody, aby potwierdzić, że doszło do zdarzenia. W razie potrzeby przeprowadź dodatkowe badania (np. wyszukiwarki internetowe, dokumentacja oprogramowania), aby lepiej zrozumieć dowody. Skontaktuj się z innymi specjalistami technicznymi w organizacji, aby uzyskać dodatkową pomoc.
  4. Zawiadomienie odpowiednich osób w organizacji. Powinny to być: dyrektor ds. informacji (CIO), szef bezpieczeństwa informacji oraz lokalny kierownik ds. bezpieczeństwa. Zachowaj dyskrecję, omawiając szczegóły incydentu z innymi osobami; powiedz tylko tym, którzy muszą wiedzieć i użyj mechanizmów komunikacji, które są w miarę bezpieczne. (Jeśli atakujący naruszył usługi poczty elektronicznej, nie wysyłaj e-maili na temat incydentu).
  5. Powiadom US-CERT i/lub inne organizacje zewnętrzne o pomocy w rozwiązaniu problemu.
  6. Zatrzymanie incydentu, jeśli jest on nadal w toku. Najczęstszym sposobem jest odłączenie od sieci systemów, których dotyczy incydent. W niektórych przypadkach konieczna może być modyfikacja konfiguracji zapory sieciowej i routera, aby zatrzymać ruch sieciowy będący częścią incydentu, np. atak typu DoS (Denial of Service).
  7. Zachowaj dowody związane z incydentem. Wykonaj kopie zapasowe (najlepiej kopie obrazów dysków, a nie kopie systemu plików) systemów dotkniętych incydentem. Wykonaj kopie plików dziennika, które zawierają dowody związane z incydentem.
  8. Usuńcie wszystkie skutki incydentu. Działania te obejmują infekcje złośliwym oprogramowaniem, nieodpowiednie materiały (np. pirackie oprogramowanie), pliki koni trojańskich i wszelkie inne zmiany wprowadzone do systemów w wyniku incydentu. Jeśli system został całkowicie skompromitowany, odbuduj go od podstaw lub przywróć go z dobrej kopii zapasowej.
  9. Zidentyfikuj i zniweluj wszystkie luki, które zostały wykorzystane. Do incydentu mogło dojść poprzez wykorzystanie luk w systemach operacyjnych lub aplikacjach. Bardzo ważne jest zidentyfikowanie takich podatności i wyeliminowanie ich lub zniwelowanie w inny sposób, aby incydent nie powtórzył się.
  10. Potwierdź, że operacje zostały przywrócone do normy. Upewnij się, że dane, aplikacje i inne usługi dotknięte incydentem zostały przywrócone do normalnego działania.
  11. Sporządzenie raportu końcowego. Raport ten powinien zawierać szczegóły procesu obsługi incydentu. Powinien również zawierać streszczenie tego, co się wydarzyło i w jaki sposób formalna zdolność reagowania na incydenty pomogłaby w szybszym opanowaniu sytuacji, zmniejszeniu ryzyka i ograniczeniu szkód.

CYBER HELP

Jeżeli chcesz wprowadzić odpowiedni poziom bezpieczeństwa informacji, cyberbezpieczeństwa, ochrony danych osobowych lub podejrzewasz, że wystąpił w Twojej organizacji incydent, możesz się z nami skontaktować za pomocą niniejszego formularza kontaktowego lub telefonicznie.

Wszelkie informacje uzyskane mają charakter poufny.

ZGŁOŚ PROBLEM Z CYBERBEZPIECZEŃSTWEM