V dnešnej digitálnej dobe je kybernetická bezpečnosť kľúčovým prvkom pre ochranu citlivých informácií a zabezpečenie kontinuity činností organizácie. Riešenie kybernetických bezpečnostných incidentov je nevyhnutné pre minimalizáciu škôd a rýchle obnovenie normálnej prevádzky. V tomto článku sa pozrieme na základné kroky a postupy, ktoré by mala každá organizácia dodržiavať pri riešení kybernetických bezpečnostných incidentov.

• Identifikácia incidentu: Prvý krok k ochrane

Prvým krokom pri riešení prebiehajúceho kybernetického bezpečnostného incidentu je jeho identifikácia. Organizácie by mali mať zavedené monitorovacie systémy, ktoré dokážu detegovať neobvyklé aktivity a potenciálne hrozby. Pre kyberbezpečnosť platí, že najlepšou obranou je prevencia, teda neustále vzdelávanie zamestnancov organizácie. Tak ako pri požiari, alebo inej výnimočnej udalosti, mali by všetci zamestnanci vedieť, ako sa správať v prípade kybernetických bezpečnostných incidentov.

Príklad: Zamestnanec si všimne, že jeho počítač sa správa neobvykle – aplikácie sa samovoľne zatvárajú a otvárajú, a systém je výrazne pomalší. Po nahlásení tejto aktivity IT oddeleniu sa zistí, že ide o malware útok.

• Hlásenie incidentu: Rýchla reakcia je kľúčová

Po identifikácii incidentu je potrebné ho okamžite nahlásiť príslušným osobám alebo tímom v rámci organizácie[RK1] . Každá organizácia by mala mať jasne definované postupy a kontaktné miesta pre hlásenie kybernetických bezpečnostných incidentov. Rýchle a presné hlásenie je kľúčové pre efektívne riešenie incidentu. Potom, čo bola vykonaná prvotná interná „incident response“ procedúra, je dôležité, aby zodpovedné osoby za kybernetickú bezpečnosť v postihnutej organizácií vedeli, ako správne incident hlásiť, komu a kedy. Do pozornosti dávame metodiku vypracovanú a uverejnenú na webe CSIRT SK. Prepojiť sa môžete TU

Orgány verejnej moci (OVM) majú zákonnú povinnosť nahlásiť kybernetický bezpečnostný incident Národnému bezpečnostnému úradu (NBÚ) prostredníctvom SK-CERT. Zároveň sú povinné oznámiť tento incident aj CSIRT.SK, ktorý koordinuje riešenie kybernetických bezpečnostných incidentov v rámci verejnej správy Slovenskej republiky.

📌 Adresa na nahlasovanie incidentov: incident@csirt.sk. (Incidenty nahlasujú MKIB, špecialisti kybernetickej bezpečnosti alebo IT špecialisti v rámci OVM. Adresa nie je určená pre širokú verejnosť)

Táto povinnosť sa nevzťahuje na bežných občanov ani súkromné subjekty, ktoré nie sú určenými povinnými osobami podľa zákona o kybernetickej bezpečnosti.

Príklad: Akonáhle inštitúcia zistí, že došlo k úniku citlivých údajov, okamžite koná. IT oddelenie informuje vedenie aj bezpečnostný tím, aby sa situácia mohla čo najrýchlejšie vyriešiť. Zároveň je povinnosťou bezodkladne informovať príslušné úrady, ako je Úrad na ochranu osobných údajov. V závislosti od závažnosti prípadu sa incident hlási aj Národnému bezpečnostnému úradu a tímu CSIRT.SK

• Analýza a hodnotenie: Získanie jasného obrazu

Po nahlásení incidentu nasleduje jeho podrobná analýza a hodnotenie. Tím pre riešenie bezpečnostných incidentov (CSIRT/CERT) by mal zhromaždiť všetky relevantné informácie a určiť rozsah a závažnosť incidentu. Tento krok zahŕňa identifikáciu zraniteľností, ktoré boli zneužité, a posúdenie potenciálnych dopadov na organizáciu.

Organizácie by mali počítať s tým, že v prípade závažnejšieho kybernetického bezpečnostného incidentu môže byť zo strany odborníkov vykonaná podrobná forenzná analýza. Táto analýza škodlivého kódu slúži ako základ pre vypracovanie taktického plánu postupu (TPP), ktorý pomáha pri riešení a odstránení vzniknutého problému.

Virtuálne jadro CSIRT poskytuje verejnej správe široké portfólio služieb – od preventívneho vzdelávania a školení, cez riešenie kybernetických incidentov, až po odbornú analýzu zraniteľností. Naším cieľom je zvyšovať úroveň kybernetickej odolnosti a podpory v prostredí verejných inštitúcií.

Príklad: Po analýze sa zistí, že útočníci využili zraniteľnosť v staršej verzii softvéru, ktorá nebola aktualizovaná. Tím identifikuje, ktoré systémy boli kompromitované a aké údaje boli ohrozené.

• Nápravné opatrenia: Rýchle a efektívne riešenie

Na základe analýzy incidentu je potrebné prijať nápravné opatrenia na jeho zmiernenie a odstránenie. To môže zahŕňať izoláciu postihnutých systémov, odstránenie škodlivého softvéru, obnovenie dát zo záloh a implementáciu bezpečnostných záplat. Dôležité je, aby tieto opatrenia boli vykonané rýchlo a efektívne, aby sa minimalizovali škody.

Príklad: IT tím izoluje postihnuté systémy od siete, odstráni malware a obnoví dáta zo záloh. Zároveň implementuje najnovšie bezpečnostné záplaty, aby zabránil opakovaniu útoku.

• Dokumentácia a hlásenie: Učenie sa z minulosti

Každý krok riešenia incidentu by mal byť dôkladne zdokumentovaný. Táto dokumentácia slúži nielen na interné účely, ale aj na splnenie zákonných povinností a na zlepšenie budúcich reakcií na incidenty. Organizácie by mali pravidelne prehodnocovať a aktualizovať svoje postupy na základe získaných poznatkov.

Príklad: Po vyriešení incidentu IT tím vytvorí podrobnú správu, ktorá obsahuje všetky kroky, ktoré boli vykonané, a odporúčania pre zlepšenie bezpečnostných opatrení. Táto správa je následne prehodnotená vedením spoločnosti.

• Prevencia budúcich incidentov: Posilnenie obrany

Po vyriešení incidentu je dôležité zamerať sa na prevenciu budúcich incidentov. To zahŕňa zlepšenie bezpečnostných opatrení, školenie zamestnancov a pravidelné testovanie a aktualizáciu bezpečnostných systémov. Cieľom je znížiť pravdepodobnosť opakovania podobných incidentov a zvýšiť celkovú odolnosť organizácie voči kybernetickým hrozbám.

Príklad: Spoločnosť zavádza pravidelné školenia pre zamestnancov o kybernetickej bezpečnosti, aktualizuje svoje bezpečnostné systémy a vykonáva pravidelné testy zraniteľností, aby bola pripravená na potenciálne hrozby.