Kibernetinių incidentų prevencija ir valdymas: kaip pasiruošti, reaguoti ir įveikti

Grigorij Strelec, Telecentro kibernetinės ir informacijos saugos vadovas: „Kuo anksčiau aptiksime kibernetinį incidentą, tuo mažesnis poveikis bus organizacijai.“

Ką daryti, kai IT sistemų saugumas jau pažeistas, kaip tinkamai suvaldyti kibernetinį incidentą įmonėje? Apie tai, kaip iš „balos“ išbristi kuo sausesniems, „Verslo žinių“ organizuotose verslo dirbtuvėse „Kibersaugus verslas“ aiškino Grigorij Strelec, Lietuvos radijo ir televizijos centro (Telecentro) kibernetinės ir informacijos saugos vadovas.

Pokalbio pradžioje G. Strelec priminė pokštą, kuris sako, kad vienos organizacijos jau buvo patyrusios kibernetinį incidentą, o kitos tiesiog nežino, kad jau jį turėjo. Savo pranešime jis kalbėjo apie kibernetinio incidento valdymo fazes, kaip aptikti tokį incidentą, koks turi būti atsakas, kokias kontrolės priemones pasitelkti, kad incidentas būtų kuo sėkmingiau suvaldytas, o pasekmės būtų kuo mažiau skausmingos. Galiausiai, kokias technologijas ir kompetencijas turi turėti ar pasitelkti organizacijos ir jų specialistai, kodėl būtina pasiruošti kibernetinių incidentų valdymo planą.

Kibernetinis incidentas – kas tai?

Telecentro kibernetinės ir informacijos saugos vadovas priminė, kaip pagal Lietuvos kibernetinio saugumo įstatymą apibrėžiamas kibernetinis incidentas ir kibernetinis saugumas.

Kibernetinis incidentas – įvykis ar veika, kuri sukelia ar gali sukelti neteisėtą prisijungimą ar sudaryti sąlygas neteisėtai prisijungti prie informacinės sistemos, elektroninių ryšių tinklo ar pramoninių procesų valdymo sistemos, sutrikdyti ar pakeisti (čia ir toliau paryškinti pranešėjo akcentuoti žodžiai – red. pastaba), įskaitant valdymo perėmimą, informacinės sistemos, elektroninių ryšių tinklo ar pramoninių procesų valdymo sistemos veikimą, sunaikinti, sugadinti, ištrinti ar pakeisti elektroninę informaciją, panaikinti ar apriboti galimybę naudotis elektronine informacija, taip pat sudaryti sąlygas pasisavinti ar kitaip panaudoti neviešą elektroninę informaciją tokios teisės neturintiems asmenims.

Anot G. Strelec, kiek paprasčiau kibernetinį incidentą apibrėžia JAV Nacionalinis standartų ir technologijos institutas (angl. National Institute of Standarts and Technology, NIST): tai įvykis, kuris faktiškai arba neišvengiamai kelia pavojų informacijos ir informacinės sistemos vientisumui, konfidencialumui arba prieinamumui, neturint teisėto įgaliojimo; arba yra įstatymų, saugos politikos, saugumo procedūrų ar priimtino naudojimo politikos pažeidimas arba neišvengiama pažeidimo grėsmė.

„Žinant, kas yra kibernetinis incidentas, ir IT saugumo specialistams, ir įmonių vadovams lengviau ir paprasčiau suprasti, ar įvykis jau kibernetinis incidentas, ar dar ne, – kodėl svarbu žinoti kibernetinio incidento apibrėžimą aiškina G. Strelec. – Tiesa, reikia pažymėti, kad kibernetinis incidentas gali būti nežymus, paveikti vidutiniškai ar labai rimtai.“

O kibernetinis saugumas – tai visuma teisinių, informacijos sklaidos, organizacinių ir techninių priemonių, skirtų kibernetiniams incidentams išvengti, aptikti, analizuoti ir reaguoti į juos, taip pat įprastinei elektroninių ryšių tinklų, informacinių sistemų ar pramoninių procesų valdymo sistemų veiklai, įvykus šiems incidentams, atkurti.

Telecentras siūlo pasinaudoti Saugumo operacijų centro paslaugomis, kurio specialistai proaktyviai stebi kliento IT sistemų saugos būklę, tiria incidentus, siūlo reikalingus pakeitimus.

Kibernetinio incidento valdymo fazės

„Pirmiausia, mes turime gebėti aptikti incidentą. Deja, ši pirma fazė ne visuomet yra sėkminga, nors kuo mes anksčiau aptinkame incidentą ar įtartiną veiksmą, tuo su incidentu lengviau susidoroti, – teigia Telecentro kibernetinės ir informacijos saugos vadovas. – Kitas veiksmas – atsakas. Į incidentą turime atsakyti kuo operatyviau ir tinkamiausiomis priemonėmis. Trečia fazė – suvaldymas pasitelkiant tinkamus ir reikalingiausius resursus. Taip pat būtina pranešti apie kibernetinį incidentą.“

Anot jo, paskutiniosios kibernetinio incidento valdymo fazės – tai sistemų atkūrimas ir ištaisymas.

„Taip pat būtina padaryti išvadas iš patirtų kibernetinių incidentų, kad išmoktos pamokos leistų pasinaudoti sukaupta patirtimi ir ateityje išvengti panašių sutrikimų, juos lengviau aptikti“, – pataria G. Strelec.

Toliau kalbėdamas su „Kibersaugus verslo“ dirbtuvių dalyviais jis išsamiau paaiškino atskiras kibernetinio incidento fazes.

Telecentro patarimai iš arčiau

„Siekdami kuo tiksliau aptikti incidentą tam turime kuo geriau pasiruošti, įsivertinti rizikas, atakų vektorius, atsakyti į sau keliamus klausimus: kam ir kodėl mūsų organizacija gali būti įdomi, kas, kodėl ir kaip gali atakuoti. Įsivertinus save mums bus paprasčiau atsakyti į klausimus, kaip galime kuo efektyviau gintis, ką turime labiausia stebėti ir kas gali būti prieš mus panaudota“, – pataria Telecentro kibernetinės ir informacijos saugos vadovas.

Jis akcentuoja, kad kibernetinėms atakoms aptikti būtinos tinkamos technologijos, tarp kurių naujos kartos ugniasienės ir žalingo kodo bei įsibrovimo aptikimo sistemos, automatizuoti pranešimų įrankiai administratoriams ar saugos specialistams (angl. Security Information and Event Management. SIEM). Taip pat būtina tinkamai reaguoti į vartotojų pranešimus apie kenksmingus laiškus ar kitą netipinę veiklą, sudaryti galimybes, kad apie tai vartotojams būtų kuo paprasčiau pranešti.

Atsakant ir suvaldant kibernetinį incidentą būtina jį išanalizuoti. Tam reikalingi šios srities specialistai, kurie geba naudotis specialiomis technologijomis.

„Ne kiekviena organizacija gali sau leisti turėti aukšto lygio kibernetinio saugumo specialistų ir technologijų, tačiau kiekviena organizacija turi paskirti specialistus, kurie turi būti tinkamai paruošti ir apmokyti, privalo žinoti savo atsakomybes, o reikalui esant pasitelkti išorės specialistus. Labai svarbu, kad vidaus specialistai būtų tinkamai treniruoti, gebėtų atpažinti incidentus ir reaguoti kuo operatyviau, – aiškina G. Strelec. – Suvaldymo fazės pagrindinis tikslas – apriboti incidento poveikį, kad jis būtų kuo lokalesnis, neišplistų visoje organizacijoje.“

Gelbsti SOC paslauga

Telecentras taip pat siūlo pasinaudoti Saugumo operacijų centro (angl. Security Operational Center, SOC) paslaugomis. Jo specialistai proaktyviai stebi kliento IT sistemų saugos būklę, vertina pažeidžiamumus, reaguoja į įvykius ir incidentus, juos tiria ir siūlo reikalingus pakeitimus, kad incidentai nepasikartotų.

„Atlikti šioms užduotims reikalingos specialios į IT ir tinklų infrastruktūrą integruotos technologijos, pvz., SIEM, EDR, SOAR, ir žmonės su tam tikra kompetencija, kurie moka dirbti su šiomis technologijomis, žino organizacijos IT architektūrą ir kitus niuansus bei sugeba reaguoti ir tirti kibernetinės saugos incidentus, – pasakoja Telecentro kibernetinės ir informacijos saugos vadovas. – Mažoms ar vidutinio didžio organizacijoms dažnai sunku sukurti savo SOC, nes tai brangiai kainuoja ir tokio centro naudą nusveria jo kaštai. Be to, sunku išlaikyti žmones, nes jie neturi daug darbo, kur galėtų pasireikšti. Todėl SOC paslauga tampa išsigelbėjimu, kai už tam tikrą mokestį, kuris yra kartais mažesnis už nuosavo SOC kainą, organizacija gauna kompetencijas, technologijas ir jos kibernetinės saugos branda bei atsparumas žymiai padidėja.“

Kontrolės priemonės

Jis priminė, kad organizacijos turi prievolę pranešti apie kibernetinį incidentą, pvz., policijai, Nacionaliniam kibernetinio saugumo centrui (NKSC), Valstybinei duomenų apsaugos inspekcijai (VDAI), jei incidentas susijęs su asmens duomenimis, ir kt. O nuo spalio 18 d., kai į nacionalinę teisę bus perkelta NIS2 direktyva dėl priemonių aukštam bendram kibernetinio saugumo lygiui Europos Sąjungoje užtikrinti, tai bus privaloma padaryti kvalifikuotai per 24 valandas, o ištyrus incidentą – pateikti išsamią ataskaitą.

VERSLO TRIBŪNA

RĖMIMAS

Adas Liubancas, Lenovo pardavimų verslui atstovas Baltijos šalys ir HPE atstovas Martynas Skripkauskas.

Atsparumas: technologijų ar organizacinės brandos klausimas?

Per pastaruosius kelerius metus Lietuvos organizacijos padarė didelį šuolį, stiprindamos savo atsparumą. Pandemija, karas Ukrainoje ir augančios kibernetinės grėsmės privertė suprasti: pavojai nėra teoriniai, jie gali ištikti bet kurią dieną. Todėl būtina pasiruošti įvairioms netikėtoms situacijoms ir stiprinti organizacijų atsparumą. Tačiau ką šiandien reiškia atsparumas: ar tai technologijų, ar organizacinės kultūros klausimas? Kokios technologijos tampa kritiškai svarbios? Ar Lietuvos organizacijos pasirengusios kelioms krizėms vienu metu? Kas gali tapti didžiausiais atsparumo testais artimiausiu metu?

„Tele2“ serviso centras „Smart Master“: nuo starto Lietuvoje iki plėtros į Baltijos šalis

Dėl augančių įrenginių kainų vis daugiau vartotojų renkasi taisyti, o ne keisti įrenginius naujais. Šią tendenciją anksti pastebėjo „Tele2“, dar 2015 m. įkūrusi telefonų serviso centrą „Smart Master“, kuris leido plėstis už tradicinės telekomunikacijų veiklos ribų.

Klismanas Murati, geopolitikos ekspertas ir „Pareto Economics“ įkūrėjas

Geopolitinė galia – skaičiuojama, prognozuojama ir valdoma: interviu su Klismanu Murati, pagrindiniu ES+U konferencijos pranešėju

Rugsėjo 25 d. Vilniuje vyksianti tarptautinė konferencija ES+U kviečia verslo lyderius, politikos formuotojus ir viešojo sektoriaus atstovus diskutuoti apie Europos Sąjungos investicijų poveikį ir Lietuvos strateginę vertę Europai. Pagrindinis konferencijos pranešėjas – Klismanas Murati, geopolitikos ekspertas ir „Pareto Economics“ įkūrėjas, pristatys pasaulinį galios indeksą, aptars mažų valstybių strateginį potencialą ir Lietuvos vietą kintančiame geopolitiniame kontekste.

„Ellex Valiunas“ vadovaujantysis partneris Rolandas Valiūnas.

Klientų akimis vėl absoliučiai geriausi „Ellex“: tas jausmas, kai „nieko naujo“ yra gera žinia

Švedų tyrimų bendrovė paskelbė kasmetinio teisinio paslaugų rinkos tyrimo Baltijos šalyse rezultatus. Stambiųjų verslų savininkų, valdybos narių, vadovų ir tų įmonių teisininkų vertinimu, kurių tyrimo metu apklausiama net keli šimtai – advokatų kontora „Ellex“ ženkliai pranoksta kitus ir rinkoje yra pirmi.

„Todėl organizacijoje patartina turėti paskirtus specialistus, kurie, įvykus kibernetiniam incidentui, žinotų, kaip ir kam turi apie tai pranešti, kas ir kaip bendraus su partneriais, klientais ir t. t.“, – teigia Telecentro kibernetinės ir informacijos saugos vadovas.

Atkuriant sistemą jis pataria atlikti keletą esminių veiksmų: patikrinti ugniasienių ir maršrutizatorių nustatymus, išjungti nereikalingus protokolus, atnaujinti sistemas ir peržiūrėti vartotojų paskyras. Deja, kartais sistemas tenka visiškai atkurti, kai nesame tikri, ar neliko kenksmingų kodų, kitų įsilaužimo padarinių.

„Kai sistemas atkuriame ir jos veikia, būtina nustatyti kibernetinio incidento priežastis ir atlikti veiksmus, kurie likviduotų spragas ir ateityje leistų išvengti incidentų, o taip pat išsiaiškinti, kodėl incidento neaptikome pirmojoje fazėje, kokias papildomas saugumo priemones reikia pasitelkti, ar specialistai veikė tinkamai ir pakankamai operatyviai atliko užduotis ir t. t. Viską įsivertinę turime atlikti pakeitimus, kurie kitą kartą su incidentu leistų susidoroti efektyviau“, – konstatuoja kibernetinio saugumo specialistas.

Telecentro kibernetinės ir informacijos saugos vadovas išvardino preventyvias ir detektyvines kontrolės priemones. Tarp pirmųjų, kurios neleidžia incidentui įvykti, jis minėjo saugumo mokymus ne tik specialistams, bet ir darbuotojams bei klientams, šifravimą, ugniasienes, o tarp detektyvinių kontrolės priemonių – apsaugos darbuotojus, judesio daviklius, stebėjimo sistemas, vartotojų stebėseną, incidentų tyrimus ir kt.

„Labai svarbu, kad kiekviena organizacija, kiekvienas vadovas paklaustų savęs, ar turi pakankamos kvalifikacijos specialistų bei tinkamas technologijas galimiems kibernetiniams incidentams ir aptikti, ir suvaldyti bei ištirti kiekvienoje iš minėtų fazių, – pokalbio pabaigoje akcentavo Telecentro kibernetinės ir informacijos saugos vadovas. – Taip pat būtina pasirengti kibernetinių incidentų valdymo planą.“

Komentarai