Autor: Tomáš Přibyl, externí odborný redaktor ICTsecurity

Jen tím, že si budeme klást otázky, dostaneme odpovědi. Jen tím, že se budeme ohlížet za sebe, budeme se moci dívat i do budoucnosti. A jen tím, že se budeme zabývat minulými bezpečnostními incidenty, budeme schopni předcházet těm příštím…

Přes sebevětší snahu, preventivním opatřením nebo maximální opatrnost nám nikdo nikdy nezaručí stoprocentní bezpečnost. Naopak: je pravděpodobné, že k nějakému incidentu dříve či později dojde (proč se tedy oblasti zajištění bezpečnosti vůbec věnovat? – protože drasticky snižuje počty incidentů a protože jejich průběh je v konečném důsledku výrazně mírnější). Každý bezpečnostní incident ovšem znamená, že „někde nechal tesař díru“. Tedy že ne vše, co jsme implementovali, bylo stoprocentně funkční. Uvědomme si, že bezpečnostní incidenty bez viníka neexistují – existují jen incidenty, kde se viníka vypátrat nepodařilo. Nicméně i to je příznak nedokonalosti a i tentokráte je zapotřebí udělat vše pro to, aby se podobná situace neopakovala.

Incident je za námi (alespoň doufáme), poplach je odvolaný a vše funguje (předpokládáme) normálně. Přestože se asi málokomu chce ohlédnout dozadu a zabývat se otázkami, které jsou již minulostí, tato činnost není samoúčelná a provedení „pitvy“ celého incidentu nám nesmírně pomůže při zajišťování bezpečnosti do budoucna. Samotný bezpečnostní incident, byť bychom jej přečkali bez větších potíží, totiž samozřejmě není v pořádku a musíme vynaložit veškeré možné úsilí, aby se opakoval co nejméně často a s co nejmenšími důsledky na stav/chod organizace.

S rozborem bezpečnostního incidentu je zapotřebí začít co nejdříve. Tedy v okamžiku, kdy je to možné a vhodné. Samozřejmě, že nemá smysl se incidentem zaobírat ve chvíli, kdy je v plném proudu nebo kdy probíhá likvidace následků. Ostatně, v tomto okamžiku by ani rozbor neměl smysl, protože ještě nejsou k dispozici veškeré potřebné informace. Na druhé straně nemá smysl odkládat začátek rozboru, protože „zítra“ v podobných případech také často znamená „nikdy“.

Prozkoumejte všechny okolnosti, které vedly ke zjištění incidentu: došlo k tomu zcela náhodně nebo systematickým sledování? Nebyl incident v první chvíli podceňován nebo nedoceňován? Nebylo možné incident detekovat dříve a jak? Jinými slovy: došlo k odhalení incidentu za optimálních podmínek (tedy bezprostředně po vzniku) nebo může být příště odhalený dříve?

Ovšem na paměti mějme, že důležitý není pouze samotný počátek bezpečnostního incidentu, ale i jeho průběh a vyřešení. Znovu si tak musíme položit stejné nebo velmi podobné otázky. Jaká byla návaznost jednotlivých kroků, odpovídala logice věci nebo byly některé kroky či úkony zbytečné, přeskočené či duplikované? Byla realizace protiopatření systematická nebo chaotická? Vedla ke kýženému výsledku? Nechyběly nějaké zdroje (software, lidé, vypracované postupy…)? Každý incident má totiž svoji ideální „kritickou cestu“. Těžko ji sice dokážete po časové ose reakcí vždy sledovat, ale cílem je co nejvíce se k ní přiblížit.

Následně si nezapomeňte položit otázku, jak by se situace změnila za jiných podmínek. Tedy kdyby k incidentu došlo v jinou denní či noční dobu, v jiný den. Byli bychom připraveni stejně, lépe či hůře? Každý časový úsek má svá specifika: dostupnost pracovníků apod.

Vypracujte zprávu z bezpečnostního incidentu, a to pro management i pro zainteresované pracovníky. Zpráva by měla obsahovat doporučení vyplývající z rozboru. Následně tato doporučení nezapomeňte nasadit v praxi, zkontrolovat jejich implementaci a prověřit účinnost – aby se nestalo, že jsme jeden problém vyřešili, ale další dva vytvořili…

Poučení? Prostě se snažte z bezpečnostního incidentu vytvořit pozitivní událost, která jednak prověřila vaše pracovníky i mechanismy a která jednak pomůže zvýšit bezpečnost informačního systému do budoucna. A i když je pravděpodobné, že se nepodaří zabránit dalšímu incidentu, pokud se „jenom“ podaří pro příště snížit vzniklé škody, je to jen a jen dobře.