INCIDENT RESPONSE, CZYLI PROCEDURA REAGOWANIA NA INCYDENTY
INCIDENT RESPONSE
CZYLI PROCEDURA REAGOWANIA NA INCYDENTY ZWIAZANE Z UTRATĄ DANYCH OBOWIĄZKOWYM PUNKTEM W POLITYCE BEZPIECZEŃSTWA FIRM
Współczesne firmy i organizacje w znacznie większym stopniu przywiązują wagę do kwestii bezpieczeństwa, niż miało to miejsce jeszcze kilka lat temu. W związku z tym każde świadome przedsiębiorstwo wdraża i przestrzega polityk bezpieczeństwa, obejmujących wszystkie obszary dotyczące bezpieczeństwa w firmie, w tym bezpieczeństwa fizycznego na terenie obiektu, a także bezpieczeństwa systemów informatycznych oraz przetwarzanych danych.
Zazwyczaj polityka taka ma postać dokumentu, zawierającego procedury, których przestrzeganie daje gwarancję stabilnej pracy organizacji, a także szybkiego reagowania na incydenty i usuwania wszelkich naruszeń bezpieczeństwa.
Co zawiera polityka bezpieczeństwa systemów informatycznych
Przede wszystkim wdrożenie polityki powinno być poprzedzone przeprowadzeniem audytu, mającego na celu zdefiniowanie wykorzystywanej w organizacji infrastruktury, użytkowanego sprzętu, stosowanych zabezpieczeń oraz poziomów uprawnień nadawanych poszczególnym grupom użytkowników. W następnym kroku należy poznać potrzeby instytucji oraz opracować strukturę wewnętrznej sieci informatycznej, obejmującej różne grupy sprzętów oraz użytkowników końcowych.
Aby zapewnić najwyższy poziom bezpieczeństwa danych zarówno przed wyciekiem, jak również ich utratą, dobrze jest zautomatyzować różne procesy, tak by użytkownicy nie musieli wkładać dodatkowej pracy z zapewnienie bezpieczeństwa informacjom. W dalszej kolejności należy przeszkolić personel i zapoznać go z wdrażanymi zasadami. Zwykle to człowiek stanowi bowiem najsłabsze ogniwo w zakresie cyberbezpieczeństwa, trudno jednak wymagać przestrzegania zasad, których zespół nie zna.
Polityka bezpieczeństwa powinna przewidywać także potencjalne zagrożenia dla systemu informatycznego oraz wskazywać narzędzia pozwalające na szybkie reagowanie na wszelkiego rodzaju incydenty.
Szacowanie ryzyka naruszenia integralności danych
Bez wątpienia, jednym z podstawowych zagrożeń do zdefiniowania w polityce bezpieczeństwa, czyhającym na dane przetwarzane przez przedsiębiorstwo, powinna być awaria nośników, bądź błędy popełniane przez użytkowników skutkujące utratą dostępu do danych. Co może doprowadzić zatem do utraty danych:
- Awaria serwera
- Uszkodzenie pojedynczych stacji roboczych wykorzystywanych przez użytkowników sieci
- Przypadkowe wykasowanie danych przez użytkownika
- Celowe i złośliwe usunięcie danych przez pracownika organizacji (np. osoby działającej w ramach szpiegostwa przemysłowego)
- Usunięcie, zniszczenie, bądź zaszyfrowanie danych przez złośliwe oprogramowanie
- Atak hakerski na infrastrukturę informatyczną
Jak widać istnieje wiele wariantów usterek samoistnych, jak również aktywności ludzkiej, które mogą skutkować pozbawieniem organizacji dostępu do danych. Oszacowanie prawdopodobieństwa wystąpienia któregokolwiek z nich oraz wskazanie możliwych scenariuszy postępowania w sytuacji kryzysowej może uchronić organizację od przykrych konsekwencji.
Skutki utraty danych przez organizację
Dokonując oceny i szacowania ryzyka związanego z utratą dostępu do danych należy wziąć pod uwagę przede wszystkim częstotliwość występowania incydentów, potencjalne zagrożenia oraz ich skutki. Jakie mogą być konsekwencje utraty danych przez instytucję?
- Przestój w pracy organizacji
- Brak dostępu do newralgicznych informacji, pozwalających na podejmowanie decyzji związanych z funkcjonowaniem i rozwojem firmy
- Brak możliwości świadczenia usług, bądź realizacji sprzedaży na rzecz klientów
- Utrata wizerunku
- Utrata przychodów
- Konieczność likwidacji firmy
- Odpowiedzialność prawna. m.in. wysokie kary finansowe za naruszenie RODO
Ocena ryzyka w kontekście RODO
Temat ochrony danych, a w szczególności danych osobowych zawartych w systemach informatycznych stał się w ostatnim czasie szczególnie aktualny w związku z wejściem w życie RODO. Nowe prawo nałożyło na administratorów danych szereg obowiązków mających na celu podniesienie poziomu bezpieczeństwa danych osobowych przetwarzanych w organizacjach, z drugiej zaś strony przyznało nowe uprawnienia osobom, których dane dotyczą.
Przede wszystkim każda organizacja, która przetwarza dane osobowe powinna wdrożyć procedury związane z przetwarzaniem danych osobowych i zapoznać z nimi swój zespół. W odniesieniu do danych osobowych także warto zdefiniować obszary ryzyka, tak by minimalizować potencjalne zagrożenia, z drugiej zaś strony w przypadku wystąpienia incydentu, reagować w sposób adekwatny do zdarzenia.
Zgodnie z zasadami przetwarzania danych osobowych ujętymi w art. 5, w związku z art. 24 RODO przetwarzanie danych powinno odbywać się z uwzględnieniem charakteru, zakresu, kontekstu i celów przetwarzania oraz ryzyka naruszenia praw i wolności osób fizycznych, w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych.
Użyte w rozporządzeniu wyrażenie „sposób zapewniający odpowiednie bezpieczeństwo” ma tu kluczowe znaczenie, bowiem RODO nie wskazuje metod jakie mają stosować administratorzy danych osobowych, lecz przerzuca na nich odpowiedzialność za wdrożenie środków właściwych, adekwatnych oraz zapewniających należyte bezpieczeństwo przetwarzanym danym. Jednocześnie przyjęte przez administratora rozwiązania mają chronić dane przed ich utratą, zniszczeniem, bądź uszkodzeniem.
Z całą pewnością awaria nośników skutkująca brakiem dostępu do danych lub ich usunięcie przez pracowników organizacji, bądź osoby trzecie będzie stanowiło naruszenie przepisów RODO, pozbawi także administratora możliwości wywiązywania się z obowiązków ciążących na nim na mocy rozporządzenia wobec osób, których dane dotyczą, a więc informowania ich o sposobach i celach przetwarzania oraz realizacji uprawnień tych osób, w tym prawa dostępu do danych, sprostowania danych, usunięcia danych (prawo do bycia zapomnianym), ograniczenia przetwarzania danych, przenoszenia danych, sprzeciwu, czy prawa do kopii.
Co to oznacza dla firm i organizacji?
Nie mniej, nie więcej tylko tyle, że każda organizacja powinna zawrzeć w swych procedurach dotyczących zagrożenia integralności i ciągłości działania systemów informatycznych zapisy związane z reagowaniem na możliwe przypadki utraty danych. Zgodnie bowiem z art. 32 RODO wdrożone przez administratora odpowiednie środki techniczne i organizacyjne powinny zapewniać m.in. zdolność szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego.
Współpraca z firmą data recovery jak polisa ubezpieczeniowa
W związku z tym każda firma przetwarzająca dane, nie tylko dane osobowe, ale wszelkie informacje mające znaczenie dla funkcjonowania przedsiębiorstwa powinna, we własnym interesie, odpowiednio wcześniej nawiązać współpracę z firmą specjalizującą się w profesjonalnym odzyskiwaniu danych.
Wszelkie chaotyczne działania administratorów pod wpływem paniki związanej z utratą danych oraz presji czasu skutkują zwykle pogorszeniem sytuacji i pogłębieniem pierwotnej usterki, bądź wręcz całkowitym zniszczeniem danych. Ustalenie warunków współpracy z odpowiednim wyprzedzeniem pozwoli oszczędzić czas na poszukiwanie właściwego wykonawcy, a co za tym idzie zminimalizować straty spowodowane brakiem dostępu do danych.
Dla firm przetwarzających dane korzystnym rozwiązaniem może okazać się wykupienie swego rodzaju abonamentu w firmie świadczącej profesjonalne usługi odzyskiwania danych, która w ramach współpracy wskaże potencjalne zagrożenia, z drugiej zaś strony podejmie natychmiastowe działania w przypadku utraty dostępu do danych.
W sytuacjach awaryjnych rola administratora sprowadzi się do wymontowania nośnika i dostarczenia go do laboratorium data recovery, które zajmie się resztą. Święty spokój i bezpieczeństwo nie mają ceny, zwłaszcza, że w przypadku nawiązania długofalowej współpracy, warunki będą z pewnością korzystne dla obu stron kooperacji.
MiP Data & Forensic świadczy usługi audytorskie związane z szacowaniem ryzyka występowania zagrożeń w systemach informatycznych swoich partnerów, oferuje także szeroki wachlarz możliwości współpracy w zakresie reagowania na incydenty. Z naszych usług korzysta wiele firm i instytucji świadomych korzyści, jakie może przynieść taki suport, pozwalający na podejmowanie natychmiastowych działań w sytuacjach kryzysowych.