Sean Mason ze společnosti Cisco představuje problémy reakcí na kyberincidenty

Kybernetický „incident response“ (IR), do češtiny někdy překládaný jako reakce na incidenty, se stal téměř nepostradatelnou součástí každého podniku nehledě na jeho velikost. Jelikož je však každá firma jiná, liší se i jednotlivé bezpečnostní plány. Ředitel oddělení pro reakci na incidenty společnosti Cisco Systems, Sean Mason, však na konferenci „Talos Threat Research Summit“ v San Diegu pohovořil o obecných problémech, se kterými se při své práci pro společnosti setkává.

Incident response je organizovaný a předem naplánovaný postup, jak se vypořádávat s následky kyberútoků a bezpečnostních narušení. V ideálním případě jej připravuje a vykonává tým složený z IT techniků a vrcholných manažerů, především u velkých společností pak i z vybraných zástupců právního oddělení, oddělení lidských zdrojů a oddělení pro styk s veřejností. Ti všichni mají za úkol pravidelně kontrolovat a testovat bezpečnostní systém a zároveň analyzovat hlášení o problémech a kybernetických narušeních. V případě úspěšného kyberútoku pak řešit následky a minimalizovat škody.

Sean Mason v rozhovoru pro Tech Target představil některé nejzásadnější chyby, kterých se podniky a krizové skupiny řešící IR dopouští:

Prvním a nejhorším problémem IR je podle Masona podfinancování.

Rychlost reakce je v případech IR nejpodstatnější, mnoho podniků však nechce nebo si nemůže plnohodnotnou bezpečnostní strategii (a s ní související koupi a údržbu potřebných nástrojů a softwaru) dovolit. Nemají dostatek vhodných prostředků pro řešení kyberincidentů, mají neaktualizovanou nebo špatně nakonfigurovanou bezpečnostní infrastrukturu a neuchovávají dostatečně dlouho „logy“ (záznam informací o činnosti programů, který slouží k zjištění, kde došlo k chybě či jak program reagoval). V takovém případě je i pro externí firmu, která se na IR soustředí, skutečně složité rychle reagovat.

Sean Mason se domnívá, že nedostatečné uchovávání logů si zaslouží zvlášť velkou pozornost.

„V tom nejhorším případě jsou logy uchovávány pouze tři dny,“ sdělil Mason v rozhovoru. „Není neobvyklé, že se setkáváme s třídenní, sedmidenní nebo třicetidenní [dobou úschovy]. Jen výjimečně se najde organizace, která je tak vyspělá a schopná, že dokáže uchovávat logy delší dobu. A má na to peníze, jelikož něco takového není levné.“

Mezi momentem, kdy dojde k průniku do podnikové IT infrastruktury, a tím, kdy je útok rozpoznán, obvykle uběhne dlouhá doba. Ta se pohybuje až v řádu stovek dní. Proto nepomůže ani měsíční uchovávací období. Sean Mason vidí řešení v cloud computing (sdílení hardwaru a softwaru pomocí internetu), které zásadně zlevňuje správu IT infrastruktury. Věří, že snižující se cena umožní, aby se úschova logů prodloužila.

V dnešní době, kdy jsou kyberbezpečnostní incidenty považovány za jedno z nejvážnějších celosvětových nebezpečí, je skoro s podivem, že společnosti stále zapomínají na pojištění. V některých případech ho podniky ani nezakoupí, častěji jej však mají, ale firemní vedení je naprosto neinformované.

„Jedna z otázek, na kterou se [klientů] vždy ptáme, zní: ‚Kdo je váš poskytovatel kybernetického pojištění a jaká je vaše pojistka?‘ A v mnoha případech nám odpoví, že neví,“ sdělil Mason.

Kyberpojištění ve většině případů zařizuje a spravuje šéf týmu zodpovědného za IR, pokud ho společnost má, mnozí podnikoví manažeři však neví ani to, kdo takovou funkci zastává.

V neposlední řadě je nutné k problematice přistupovat proaktivně. To znamená skutečně přemýšlet o tom, jak IR realizovat, a neustále provádět posudky o připravenosti. Mason zmínil otázky, které si bezpečnostní expert musí neustále klást:

„Kdyby na nás zaútočili zítra, jak bychom byli schopni odpovědět? V čem jsme dobří a v čem zaostáváme? Co bychom měli zlepšit?“

Zároveň dodává, že „je užitečné pozvat si externí firmu, která [společnost] zhodnotí. Nechte experty, aby objektivně posoudili váš podnik a poskytli doporučení.“

Autor: Nela Jungmannová

Kategorie: Aktuality
07/2019

Zanechat komentářIT-bezpecnost-logo-white

Login

2017 DCD Publishing s.r.o. ©  Všechna práva vyhrazena

Web by Marián Rehák.