Ne morete imeti preventive, če ne veste dobro niti, kaj imate, je na konferenci Privacy Days povedal Miklavž Šef, strokovnjak za varnost v odzivnem centru za incidente v informacijskih sistemih organov državne uprave SIGOV-CERT. Kot je dejal, naj bosta programska in strojna oprema sveži, brez odlašanja ob obnavljanju, ko veljavnost poteče.
Kako ravnati ob kibernetskih incidentih?
Šef je postopek razložil v šestih korakih.
1. Priprava: v tem koraku morate pripraviti seznam oseb za stike, pripraviti morate postopkovnike (kaj je treba komu povedati), shemo omrežij (popis vašega informacijskega omrežja, aplikacij, protokolov) …
2. Zaznavanje: zaznali ste kibernetski incident. Pomembno je pravočasno odkrivanje škodljivih kibernetskih incidentov. Zato morate paziti na znanilce (znamenja, ki nakazujejo na možnost incidenta v prihodnosti).
3. Zamejitev oziroma zajezitev napada: napad oziroma kibernetski incident se je zgodil. Zdaj je treba oceniti, za kakšen dogodek gre, za kakšno stopnjo incidenta gre ter kako bo ta incident vplival na naše poslovanje. To je tudi korak, ko je priporočljivo obvestiti pristojne organe (seveda to velja za tiste, za katere prijava ni že tako in tako obvezna).
Prvo poročilo ob incidentu – držite se pravila minimalnih informacij, svetuje Šef. Torej, kontaktni podatki za tehnična vprašanja, začetek incidenta, čas zaznave incidenta, opis incidenta, ocena stopnje nevarnosti in ocena možnega vpliva.
4. Ublažitev: ukrepi so odvisni od dogodka. V tem koraku pa je treba med drugim določiti vzroke incidenta, prepoznati ter omejiti ali odstraniti škodljivo programsko opremo.
5. Obnovitev: to je faza vračanja v položaj pred dogodkom. Lotite se tega sistematično in sporočite nadrejenim, da s prehitevanjem dogodkov ne gre.
6. Konec: v tem koraku ne pozabite na izobraževanje in ozaveščanje zaposlenih.
Po zadnjem koraku vrnemo znova na začetek, je še dejal Šef. Gre za krog korakov, ki se nenehno ponavlja.
Kdaj je treba incident prijaviti uradu informacijske pooblaščenke?
Prijava informacijski pooblaščenki je obvezna za vse upravljavce osebnih podatkov ob kršitvi varnosti podatkov, če je (vsaj) verjetno, da bi bile s kršitvijo ogrožene pravice in svoboščine posameznikov. Če s pomočjo SI-CERT to razlago poenostavimo, to pomeni: če doživite kibernetski napad z izsiljevalskim virusom, ki zašifrira osebne podatke uporabnikov in zahteva odkupnino, morate tako kršitev sporočiti informacijskemu pooblaščencu, na SI-CERT pa lahko oddate prostovoljno prijavo (seveda, če ne gre za zavezanca, če ste zavezanec, je prijava nujna).
Če napad ne poseže v varnost osebnih podatkov, lahko seveda daste samo prijavo na SI-CERT.
Avtorica članka: Špela Mikuš, Časnik Finance