Bezpečnostní incidenty IS/ICT a jejich řešení

Transkript

1 Abstrakt: Petr Doucek Fakulta informatiky a statistiky, Vysoká škola ekonomická v Praze doucek@vse.cz, Problematika bezpečnosti informačních systémů a informačních a komunikačních technologií (IS/ICT) se vzhledem k neustále probíhající integraci do všech procesů běžného života stává velmi aktuální. Zcela jistě každý z nás cítí neustále rostoucí závislost naší společnosti na IS/ICT a již sami si jen těžko dokážeme představit, že by informační technologie byly dlouhodobě mimo provoz. To by znamenalo výrazný zásah do chodu celé lidské společnosti. Podobně, jak IS/ICT prostupují současným světem, tak se množí možnost ohrožení jejich bezpečnosti. Bezpečnostní incidenty ohrožení bezpečnostni IS/ICT se stávají nebo se v blízké době stanou každodenní součástí našeho života.proto se musíme smířit s tím, že manažeři IS/ICT ve společnostech a ve veřejné a státní správě budou muset řešit stale vice a vice narušení bezpečnosti bezpečnostních incidentů. K jejich řešení nebude možné přistupovat jako k nějaké nestandardní situaci, ale odpovědní pracovníci za řízení informatiky si budou muset připravit formalizovné procesy pro jejich zvládnutí. Návrh na takový formalizovaný postup řešení je uveden v následujícím článku. Vychází z nejlepších zkušeností, které jsou obsahem mezinárodní normy ISO/IEC TR [ISO_1]. I štěstí přeje jen připraveným. Klíčová slova: Bezpečnost IS/ICT, mezinárodní normy, bezpečnostní incidenty IS/ICT Abstract: A boom of contemporary society was started a lot of years ago in the dark period of human s history. The same character has also a globalization process of the whole society that accelerated in the period of last sixty years. Growing complexity of information systems and their permanently increasing role in support of decisionmaking process also started the new informatics boom - especially in network connection - several years ago. Information Systems and Information and Communication Technologies (IS/ICT) security is nowadays often-discussed topic, because IS/ICT became leading heralds of globalization in all activities in contemporary society where computer networks connect all network participants without borders. Security and security assurance related problems became one of the most important parts of informatics in the past ten years and its significance is permanently increasing thanks to the eternally accelerating European and world integration process, too. One of the most important components of IS/ICT security assurance is security incident management. Results and regularly evaluation of IS/ICT security incidents are significant sources for time to time changing the face of security policies and other strategic security documents of many organizations and firms in the business environment. Answers to questions why and how to evaluate IS/ICT security incidents are topic of this contribution. Several aspects of the theoretical concept formulated in [ISO_1] SYSTÉMOVÁ INTEGRACE 3/

2 Petr Doucek and potential difficulties of its improvement into the business practice are secondary topics presented in this article. Key words: Security IS/ICT, international standards, IS/ICT security incidents Úvod Jedním z významných zdrojů údajů a informací, sloužících jako zpětná vazba k vybudovanému systému řízení bezpečnosti IS/ICT v organizaci, je zpracovávání podnětů, které s sebou přinášejí bezpečnostní incidenty a zkušenosti získané jejich řešením. Pro bezpečnostní incidenty a jejich řešení platí všechny obecné managerské zásady stejně jako pro každé jiné neočekávané situace, pouze s tím rozdílem, že s jejich řešením nemají manageři všech hierarchických úrovní a odborné kvalifikace velké zkušenosti. Vplížily se do běžné praxe manažerů jaksi pokoutně a zadními vrátky. Přinesly je s sebou informační technologie a boom nasazování informačních systémů do celé společnosti. Spolu s tím, jak roste naše závislost na informačních technologiích, roste i význam bezpečnosti informačních systémů a důležitost efektivního řešení všech bezpečnostních incidentů v organizacích. První manažerskou zásadou pro řešení incidentů je nebrat bezpečnostní incidenty jako něco exotického, ale již při nasazování informačních systémů se systematicky připravovat na rutinní provoz. Jeho součástí je i vznik různých nestandardních situací, mezi něž bezpečnostní incidenty nesporně patří. Tedy nebát se incidentů, ale být na ně připraven, vědět a znát, jak je řešit. K základnímu vybavení manažerů a to nejen managerů z oblasti informačních technologií - by měly patřit základní informace o tom, jak bezpečnostní incidenty řešit tedy procesní stránka jejich řešení, a základní informace o klasifikaci bezpečnostních incidentů, o jejich závažnosti pro managerem řízenou organizační jednotku a o jejich významu pro organizaci celou. Od těchto znalostí manažerů se odvíjí rychlá identifikace bezpečnostního incidentu, jeho správná klasifikace a tím i možnost přijmout efektivní rozhodnutí pro jeho řešení při minimalizaci dopadů na chod organizace a její investice do IS/ICT. Významným základem pro řešení incidentů je široké bezpečnostní povědomí všech pracovníků organizace. V různých organizacích je obvykle velmi různé bezpečnostní povědomí. V zásadě se můžeme setkat se třemi úrovněmi. Vysoká úroveň je obvykle representována velmi dobrými informacemi pracovníků organizací o základních aspektech bezpečnosti informačního systému. Bývají to organizace typu nadnárodních společností, bankovních a finančních institucí a speciálních státních úřadů, jako je například Ministerstvo obrany, Ministerstvo vnitra, Národní bezpečnostní úřad apod. Střední úroveň je representována převážně privátními firmami některé z nich se zahraniční účastí. V nich jsou znalosti některých pracovníků o bezpečnosti informačních technologií velmi dobré, znalosti jiných jsou naopak menší a někteří z nich nejsou tímto problémem poznamenáni vůbec. Nejnižší úroveň představují malé a střední firmy a některé organizace centrální a regionální státní a veřejné správy. Celkové bezpečnostní povědomí u většiny pracovníků je nízké. Bezpečnostní povědomí je nutné budovat postupně a nejlepší formou jsou preventivní školení a informovanost pracovníků o bezpečnosti informačních 78 SYSTÉMOVÁ INTEGRACE 3/2005

3 technologií. Součástí bezpečnostního povědomí musí být i schopnost identifikovat bezpečnostní incident. 1. Bezpečnostní incident Prvním pojmem, s nímž se musíme seznámit, je bezpečnostní událost kterou lze označit za identifikovaný stav informačního systému, služby nebo počítačové sítě, jež může narušit pravidla bezpečnostní politiky nebo selhání některého protiopatření nebo dříve neznámá nebo nepředpokládaná situace, jež může ovlivnit bezpečnost. Samotný vznik bezpečnostní události není ještě incidentem. Teprve vyhodnocená bezpečnostní událost může být kvalifikována jako bezpečnostní incident. Bezpečnostní incident je jedna nebo více nechtěných nebo neočekávaných indikovaných bezpečnostních událostí, jimiž může být s vysokou pravděpodobností narušena podpora hlavních nebo podpůrných procesů organizace nebo díky nimž může dojít k narušení bezpečnosti informačního systému. S bezpečnostní událostí přichází obvykle do prvního kontaktu běžný uživatel. Do jaké míry právě on rozpozná, jedná-li se o skutečný bezpečnostní incident, na tom závisí rychlost reakce řešení zjištěné události. 1.1 Organizační struktury a odpovědnosti spojené s řešením bezpečnostních incidentů Pro řešení bezpečnostních incidentů se sestavuje z pracovníků organizace specializovaný tým řešení bezpečnostních incidentů tzv. ISIRT - Information Security Incidents Response Team dále Tým řešení bezpečnostních incidentů. Jedná se o organizační strukturu, která se používá výhradně pro potřeby řešení incidentů. Jeho členy se stávají zkušení a důvěryhodní pracovníci organizace, kteří mají zkušenosti s řešením takových situací. Ti se věnují řešení incidnetů po celý jejich životní cyklus až do závěrečné etapy vyhodnocení a zobecnění jeho závěrů a výsledků do celkové koncepce bezpečnosti informačního systému organizace. V některých případech je tento tým posilován o externí specialisty. Pokud dojde v organizaci vinou bezpečnostnímu incidentu ke krizové situaci, bývá Tým řešení bezpečnostních incidentů posílen experty podle povahy zjištěného incidentu. Pro praktické řešení je možné doporučit za vedoucího týmu osobu z vrcholového managementu organizace. Kromě něj by se měl na práci týmu podílet bezpečnostní manager IS/ICT, bezpečnostní manager IS/ICT příslušné organizační jednotky a podle charakteru incidentu odborníci na problém a případně i liniový manager pracoviště, kde incident vznikl. Tedy Tým řešení bezpečnostních incidentů má svoje trvalé členy a členy, kteří jsou do něj jmenováni pro řešení určitých konkrétních incidentů. 1.2 Životní cyklus řešení incidentů Pro řešení bezpečnostních incidentů se využívá aplikace modifikovaného Demmingova procesního modelu PDCA [DOU_04], které je uvedeno na obrázku 1. Celý životní cyklus řešení bezpečnostních incidentů se skládá ze čtyř etap: formulace a plánování systému řízení bezpečnostních incidentů, nasazení a provoz systému řízení bezpečnostních incidentů, vyhodnocování incidentu, rozvoj systému řízení bezpečnosti a jeho zlepšování. SYSTÉMOVÁ INTEGRACE 3/

4 Petr Doucek Formulace a plánování systému řízení bezpečnostních incidentů Nasazení a provoz systému řízení bezpečnostních incidentů Rozvoj systému řízení bezpečnostních incidentů a jeho zlepšování Vyhodnocování incidentu Obrázek 1: Schéma PDCA pro řešení bezpečnostního incidentu Formulace a plánování systému řízení bezpečnostních incidentů vede k návrhu systému řízení incidentů. Vychází z bezpečnostní politiky IS/ICT (informačního systému a informačních a komunikačních technologií) organizace, respektuje i ostatní dokumenty, tak jak jsou uvedeny v [DOU_05b], [DOU_05c]. Hlavními činnostmi jsou v této etapě životního cyklu zejména: sestavení a vyhlášení politiky řízení bezpečnostních incidentů, včetně přidělení příslušných pravomocí a odpovědností, sestavení, formalizace a popis procesu řešení bezpečnostních incidentů jedno z možných je uvedeno na obrázku 2, definice dokumentů a dokumentačních povinností pro pracovníky, kteří se podílejí na řešení bezpečnostního incidentu, ověření platnosti aktuálních bezpečnostních dokumentů a dokumentace vzhledem k procesu řízení bezpečnostních incidentů, sestavení týmu pro řešení bezpečnostních incidentů ISIRT (Information Security Incident Response Team) včetně určení práv a povinností v rámci týmu, určení kontaktních spojení, postupy pro sestavování krizových scénářů a procesů v případě krizového stavu organizace vinou bezpečnostního incidentu, plán proškolování pracovníků organizace v problematice bezpečnostních incidentů a jejich řešení, plány, postupy a způsoby testování procesu řešení bezpečnostních incidentů. 80 SYSTÉMOVÁ INTEGRACE 3/2005

5 Nasazení a provoz systému řízení bezpečnostních incidentů. Představuje vlastní nasazení celého procesu do praktického používání v organizaci. V této etapě životního cyklu se provádějí zejména následující skupiny činností fáze etapy životního cyklu: detekce události, identifikace, rozhodnutí, příprava řešení, řešení bezpečnostního incidentu. Jejich návaznosti a rámcový obsah jsou uvedeny na obrázku 2. Událost Uživatel Detekce incidentu Podpora provozu, Help Desk Nasazení interního Týmu řešení bezpečnostních incidentů organizace Řízení krizového stavu v organizaci, nasazení externích expertů Detekce události Zpráva o incidentu Sběr informací První identifikace Identifikace, rozhodnutí, příprava řešení NE Správně? ANO Druhá identifikace NE Správně? ANO Čas Podrobná analýza Komunikace Okamžité řešení Je incident pod ANO kontrolou? Řešení NE Vyhlásit krizi? NE Krizové scénáře a procesy ANO Řešení bezpečnostního incidentu Vyhodnocení incidentu Rozvoj systému řízení bezpečnosti a jeho zlepšování Obrázek 2 Provoz - schéma průběh řešení bezpečnostního incidentu [ISO_1] Detekce události Jedná se o klíčový okamžik pro úspěšné vyřešení bezpečnostního incidentu. Zde se totiž uživatel setkává poprvé s bezpečnostní událostí, kterou musí umět rozpoznat a musí zvládnout její prvotní zařazení. Je událost bezpečnostním incidentem nebo není? To je základní otázka, kterou musí umět velice často zodpovědět neodborník - uživatel. Proto je nezbytné, aby pracovníci organizace, uživatelé informačního systému měli dobré bezpečnostní povědomí. Jenom tak bude systém řízení bezpečnosti efektivní. Pokud pracovníci nebudou schopni detekovat incident a budou opomíjet významná narušení bezpečnosti nebo pokud budou naopak hlásit jakoukoli situaci jako bezpečnostní incident, nebude nasazení Týmu řešení bezpečnostních incidentů smysluplné a efektivní. Buď tým nebude mít vůbec žádnou práci a aktiva organizace budou ohrožena, nebo bude řešit každou maličkost jako bezpečnostní incident a následně bude zahlcen prací. To může mít SYSTÉMOVÁ INTEGRACE 3/

6 Petr Doucek za důsledek, že jim může významné narušení bezpečnosti informačního systému uniknout. Oba dva případy, jak přehlcení, tak neřešení, jsou pro organizaci velmi nebezpečné, neboť systém detekce bezpečnostních událostí neplní funkci, pro níž byl sestaven. Další významný bod pro budoucí úspěšné řešení bezpečnostní události resp. bezpečnostního incidentu je množství primárních informací, které se o incidentu podaří zjistit. Proto musí být uživatel takové informace schopen zjistit a zajistit zdokumentovat. Součástí procesu řešení bezpečnostních incidentů musí být i administrativa vyplňování formulářů, sestavování zpráv o postupu řešení apod. a hlavně se celý postup řešení bezpečnostního incidentu dokumentuje, aby bylo možné incident dostatečně kvalitně vyhodnotit. Základními dokumenty jsou formuláře pro hlášení bezpečnostní události a bezpečnostního incidentu. Oba musí splňovat nelehkou podmínku. Tou je fakt, žemusí shromáždit co nejvíce informací o události nebo incidentu a zároveň je musí být schopen správně vyplnit bežný uživatel informačního systému. Identifikace, rozhodnutí, příprava řešení Další navazující fází řešení bezpečnostní události je rozhodnutí, jedná-li se o bezpečnostní incident, který musí být řešen nasazením Týmu pro řešení bezpečnostních incidentů. Tuto část procesu obvykle zajišťují v prvním okamžiku pracovníci Help Desku, resp. služby pro podporu provozu informačního systému. Pracovníci služby přebírají od uživatelů hlášení o bezpečnostním incidentu a provádějí jeho první identifikaci. Hlavním úkolem pracovníků podpory provozu je: zjistit od uživatelů co nejvíce informací o incidentu, provést primární identifikaci incidentu, přesně zdokumentovat zjištěná data, uvědomit Tým řešení bezpečnostních incidentů, zjištěná data předat profesionálním pracovníkům z Týmu řešení bezpečnostních incidentů. Významná je především činnost primární identifikace incidentu. Během ní se zejména určuje a zjišťuje: příčina vzniku incidentu, místo jeho vzniku, případně způsob jakým vznikl, rozsah aktiv organizace, jež jsou incidentem ohrožena. Při primární identifikaci incidentu používají pracovníci Help Desku obvykle, na základě analýzy bezpečnostních rizik, speciálně připravený seznam potenciálních bezpečnostních incidentů spolu s pravděpodobnými důsledky jejich dopadu pro jednotlivé části organizace nebo pro organizaci jako celek. Řešení bezpečnostního incidentu Základní zjištěné informace o bezpečnostním incidentu spolu s jeho primární identifikací jsou předány Týmu řešení bezpečnostních incidentů tedy profesionálům, kteří jej mají za úkol dostat incident nejprve pod kontrolu a ve finále vyřešit. Oni provedou konečnou klasifikaci incidentu. De facto ověří platnost původní identifikace incidentu nebo jí překvalifikují. Další náplní práce Týmu řešení bezpečnostních incidentů je získat všechny informace potřebné k vyřešení vzniklého incidentu. To znamená zjistit další data od uživatelů, vyhodnotit data z počítačové sítě (auditní záznamy, kontrolní záznamy přístupů do sítí nebo k zařízením a další relevantní parametry a informace, které jsou v souladu 82 SYSTÉMOVÁ INTEGRACE 3/2005

7 s nastavením úrovně bezpečnosti IS/ICT v organizaci) a všechny zjištěné podklady důkladně, ale hlavně rychle, analyzovat. Při analýze je možné, že bude tým potřebovat pomoc externích expertů. Na základě zjištěných faktů navrhuje tým vlastní řešení bezpečnostního incidentu. Řešení potom zavádějí do života v organizaci. Jiná situace nastane v okamžiku, kdy Tým řešení bezpečnostních incidentů není schopen situaci vyřešit. Tehdy je nutné vyhlásit krizový stav v organizaci. To může znamenat např. omezení podpory některých činností organizace informačním systémem nebo přerušení dodávek všech služeb, které informační systém poskytuje. Pro takové případy je nutné mít v organizaci připravené nouzové scénáře v rámci tzv. řízení obnovy procesů organizace (Business Continuity Planning) a návazně i procesy zajištění obnovy zpracování dat (Disaster Recovery Planning). [DOU_05c] Významným úkolem této fáze životního cyklu řešení bezpečnostního incidentu je všechna zjištěná fakta spolehlivě a přesně zdokumentovat. Po vyřešení incidentu se k nim budou ještě pracovníci odpovědní za bezpečnost informaního systému organizace vracet a to jak v rámci předkládaných a projednávaných zpráv o bezpečnosti informačního systému, tak ve formě jeho konečného vyhodnocení v další etapě životního cyklu. Vyhodnocování incidentu Vyhodnocováním bezpečnostního incidentu přechází management bezpečnosti informačního systému od pasivní úlohy k úloze aktivní, resp. proaktivní. Vyřešením incidentu jsou zažehnány aktuální potíže organizace. Následná analýza a rozbor incidentu by měly přinést organizaci užitek z překonaných potíží. To znamená poučení z příčin vzniku incidentu a pak následná aktualizace analýzy bezpečnostních rizik. Na jejím základě jsou pak rizika přehodnocena. Obsahem etapy vyhodnocování incidentu jsou zejména: hlubší analýza bezpečnostního incidentu a její závěry, aktualizace dat o vyřešených bezpečnostních incidentech, poučení z incidentu pro potřeby zvyšování bezpečnostního povědomí v organizaci, dopady incidentu na proces i obsah řízení bezpečnostních incidentů. Při pravidelném vyhodnocování bezpečnosti IS/ICT v organizaci [DOU_05c] jsou pak závěry získané z bezpečnostních incidentů využívány pro rozvoj a zdokonalování systému řízení bezpečnosti IS/ICT v organizaci. Rozvoj systému řízení bezpečnostních incidentů a jeho zlepšování V této etapě jsou zkušenosti získané při řešení bezpečnostního incidentu zahrnuty do celého systému řízení bezpečnosti organizace tedy nejen do systému řízení bezpečnosti IS/ICT. Cílem etapy je zejména zobecnit z bezpečnostního incidentu získané poznatky. Hlavními činnostmi jsou: zobecnit závěry z bezpečnostního incidentu směrem k analýze rizik, jejímu provedení a řízení, zobecnit dopady incidentu na řízení bezpečnosti IS/ICT organizace - aktualizace obsahu bezpečnostní dokumentace apod., identifikovat a zavést případné změny do systému řízení bezpečnosti v organizaci, SYSTÉMOVÁ INTEGRACE 3/

8 Petr Doucek identifikovat a zavést případné změny do systému řízení bezpečnosti IS/ICT v organizaci. Etapa představuje finální zpětnou vazbu, kdy jsou zkušenosti, dovednosti a znalosti získané při řešení bezpečnostního incidentu v oblasti IS/ICT promítnuty do strategické úrovně řízení bezpečnosti informačního systému resp. bezpečnosti celé organizace. 2. Podpora mezinárodními standardy Při přípravě a sestavování systému řízení bezpečnostních incidentů, zejména pro střední a menší organizace, nemusí manager IS/ICT organizace spoléhat pouze na svoje zkušenosti. Problematika celého procesu řízení bezpečnostních incidentů je rozpracována v mezinárodní normě ISO/IEC TR [ISO_1] Information technology - Security techniques - Information security incident management. Tato norma dotváří celkový pohled na řešení otázek bezpečnosti IS/ICT jejím cílem je zejména: stanovit typové postupy jejich řešení, vymezit role v procesu řešení incidentů a s nimi stanovit jejich pravomoci a odpovědnosti, vymezit nejdůležitější kategorie bezpečnostních incidentů, poskytnout návrhy formulářů pro evidenci bezpečnostních událostí a bezpečnostního incidentu. Součástí normy je i základní vzorová dokumentace pro vedení evidence bezpečnostních událostí a incidentů. Návrh normy lze hodnotit jako významný krok, který dotváří celkový pohled na řízení bezpečnosti informačních systémů. Je sice primárně určena pro velké organizace, ale i malé a střední firmy z něj mohou čerpat inspiraci pro návrh procesů pro řešení bezpečnostních incidentů. 3. Závěr Nedílnou součástí života managera bezpečnosti IS/ICT i běžného uživatele jsou i bezpečnostní incidenty a jejich řešení. Zavedením libovolné bezpečnostní politiky není garantována absolutní bezpečnost provozovaného informačního systému. Přestože součástí zajištění bezpečnosti je implementace různých bezpečnostních funkcí a protiopatření, zůstávají v informačním systému zranitelná místa a ta představují rizika [DOU_05a]. Právě existence takových slabých, zranitelných míst představuje potenciální možnost vzniku bezpečnostního incidentu s přímými nebo nepřímými dopady na vlastní chod organizace. Proto je nezbytné, aby každá organizace věnovala pozornost nejen ustavení a zavedení systému řízení bezpečnosti, jeho kontrole a auditu, ale aby se také zabývala efektivním a profesionálním řízením bezpečnostních incidentů. Incidenty mohou být řízeny intuitivně nebo strukturovaně profesionálně. Pouze profesionální přístup umožní organizaci, aby z bezpečnostních incidentů, které organizaci postihnou a znamenají pro ni někdy i citelné ztráty, získala i nějaký užitek zkušenosti, dovednosti a znalosti vykrystalizované z řešení bezpečnostních incidentů, zlepšování vlastního systému řízení bezpečnosti a dlouhodobé sledování příčin vzniku incidentů a jejich dopadů. Ukázka možného formalizovaného přístupu k jeho řešení je uvedena na obrázku 2. Spolu s ním je uveden stručný přehled činností, na něž by žádný pracovník odpovědný za řešení bezpečnostních událostí a incidentů 84 SYSTÉMOVÁ INTEGRACE 3/2005

9 neměl zapomenout. Nepodceňujte nebezpečí řešení bezpečnostních incidentů, říká se sice, že co nezabije, to posílí ale nemáte jistotu, že to bude platit i pro vaši organizaci můžete jí to totiž významně oslabit - třeba až k úplnému kolapsu. Literatura [DOU_04] [DOU_05a] [DOU_05b] [DOU_05c] Doucek, P., Nedomová, L.: Nasazení integrovaného systému řízení pro získání konkurenční výhody, In: AT&P Journal, 12/2004, ISSN Doucek, P.: Bezpečnost IS/ICT a proces globální integrace Proč bezpečnost?, In: AT&P Journal, 01/2005, ISSN Doucek, P.: Budování systému řízení bezpečnosti IS/ICT Jak bezpečnost realizovat?, In: AT&P Journal, 02/2005, ISSN Doucek, P.: Dokumentace, kontrola a audit bezpečnosti IS/ICT Jak bezpečnost kontrolovat?, In: AT&P Journal, 03/2005, ISSN [ISO_1] ISO/IEC TR Information technology - Security techniques - Information security incident management SYSTÉMOVÁ INTEGRACE 3/