Kdo slibuje stoprocentní bezpečnost, tak buď neví, o čem hovoří, nebo záměrně uvádí nepřesné informace. A tak se čas od času zkrátka stane, že k nějakému incidentu dojde. V takovém případě více než kdy jindy platí, že „štěstí přeje připravenému“.

Na každého jednou dojde

Riziko bezpečnostního incidentu lze velmi úspěšně redukovat a nenechat se nachytat na hruškách s tím, že k průniku dojde po nějaké základní bezpečnostní chybě (ponechání defaultního hesla, zneužití rok staré bezpečnostní chyby aj.). Ale jsou různé velmi speciální situace (cílený útok apod.), jejichž absolutní eliminace by znamenala neskutečné a neospravedlnitelné náklady. Navíc jejich pravděpodobnost není vůbec vysoká – alespoň ne ve srovnání s klasickými tuctovými útoky, jichž jsou denně proti běžné síti vedeny tisíce.
Není to přitom jen o zcela mimořádných typech útoků, ale často také o selhání lidského faktoru. Řečeno slovy klasika: můžete vybudovat dokonalý systém, ale nesmíte k němu pustit lidi.
Takže je pravděpodobné, že Den D jednou přijde. Může mít různou podobu, ale to není podstatné. Důležité je, že bezpečnostní incident je tady. A že je třeba to vzít na vědomí. Přeskočme nyní fázi jednání a konání a jako mávnutím kouzelného proutku se přenesme do okamžiku, kdy už je všechno za námi.
Často je trendem neohlížet se zpět, raději zapomenout a vydat se dál světlým zítřkům. Pochopitelně, je to taky jedna z možných variant. Jenže pokud neuděláme nic, není vyloučeno, ba dokonce je to velmi pravděpodobné, že za nějaký čas si budeme opět moci říci „raději zapomeňme podruhé a jedeme dál“. A že zapomínat a popojíždět budeme pravidelně. Aneb pokud neucpeme díru, do lodi bude stále vnikat voda.
Jiným přístupem k problému je postavit se k incidentu čelem a hledat na něm to pozitivní. Prostě se stalo, budiž, ale co udělat aby se situace neopakovala? Protože každý incident je velkou zátěží – odčerpává lidské i materiální zdroje, snižuje důvěru, zvýhodňuje konkurenci, … Pamatujte si, že bezpečnostní incidenty bez viníka neexistují. Jsou jen takové, kdy se ho vypátrat nepodaří.
Uvědomme si také jednu důležitou skutečnost, a to že cílem vyšetřování není někoho popravit či veřejně lynčovat, ale prostě nastavit mechanismy tak, aby se problém (týkající se v konečném důsledku všech) neopakoval. Chybovati je lidské, opakovati chyby nelidské.

Emoce nechme v šatně

Incident je za námi, takže bez emocí proveďme jeho analýzu na základě faktů. Prostě hledáme chybu, nikoliv obětního beránka. Pokud byl na vině lidský faktor (což je pravděpodobné), snažme se vytvořit podmínky, abychom ho pro příště vyšachovali ze hry. Omezením práv, přidáním kontrolního mechanismu… Ne konkrétního člověka, ale situaci. Jistě, není to příjemná práce – ale nutná je. Nemůže stejnou chybu udělat někdo jiný třeba tím, že je systém špatně nastavený?
Příkladem ze života může být třeba možnost vypnutí antivirového programu. V praxi si ji často vybojují třeba programátoři, protože je obtěžuje při práci. Jenomže pokud možnost vypnutí mají třeba i administrativní pracovníci, pak se není čemu divit, že stráví polovinu pracovní doby vypínáním antivirové barikády a spouštěním souborů typu AnnaKurniková.vbs.jpg.
S rozborem bezpečnostního incidentu je každopádně zapotřebí začít co nejdříve. Tedy v okamžiku, kdy je to možné a vhodné. Samozřejmě, že nemá smysl se incidentem zaobírat ve chvíli, kdy je v plném proudu, nebo kdy probíhá likvidace následků. Ostatně, v tomto okamžiku by ani rozbor neměl smysl, protože ještě nejsou k dispozici veškeré potřebné informace. Na druhé straně nemá smysl odkládat začátek rozboru, protože „zítra“ v podobných případech také často znamená „nikdy“.
Rozbor je především o komunikaci, kterou je zapotřebí ustanovit mezi všemi povolanými. Je třeba shromáždit všechny podklady, logy, výpisy, … Pokud něco podstatného chybí, máme první důvod k zamyšlení. Proč tyto podklady nevznikly? Proč tyto parametry nebyla sledované? A především: jak to napravit?
Veškeré podklady přitom považujte za přísně tajné, protože až do odstranění problému ukazují na slabé místo vašeho informačního systému! A jistě uznáte, že by nebylo dobré, kdyby se k těmto ne zrovna příjemným informacím dostalo více osob, než je nezbytně nutné. Tedy většina vlastních pracovníků, nebo dokonce nepovolaná osoba slídící v odpadkovém koši. Ostatně trashing (vybírání odpadků a jejich následné zkoumání z hlediska přítomnosti citlivých informací) je metoda stále populární u hackerů na celém světě. A přestože na „dumpster divers“ (potápěče do odpadků) často pohlížíme skrze prsty, jedná se o metodu nesmírně účinnou.

Osa řekne hodně

Jednou z nejlepších a nejjednodušších metod, jak rozpitvat bezpečnostní incident, je poskládat si časovou osu událostí. Možná se v průběhu vyšetřování tato metoda ukáže jako ne zrovna nejlepší, ale je dobrá pro začátek. S pomocí časové osy zjistíme, „kdy to začalo“, a mohou se postupně doplňovat chybějící body. Důležité jsou přitom dva okamžiky: nejen vznik incidentu, ale také to, kdy byl odhalen. Zjistit, co se dělo mezi nimi, je velmi podstatné.
Stejně tak se můžeme zaměřit na to, jak byl odhalený. Došlo k tomu na základě nějakého systematického opatření nebo v podstatě náhodně? Nešlo to dřív a jinak? Také je vhodné provést rozbor nejen akcí, ale i reakcí. Byly všechny správné? A proč? Byly všechny včasné? A proč? Byla realizace protiopatření systematická, nebo chaotická? Vedla ke kýženému výsledku? Nechyběly nějaké zdroje (software, lidé, vypracované postupy, …)? Každý incident má totiž svoji ideální „kritickou cestu“. Těžko ji sice dokážete po časové ose reakcí vždy sledovat, ale cílem je co nejvíce se k ní přiblížit.
Následně si nezapomeňte položit otázku, jak by se situace změnila za jiných podmínek. Tedy kdyby k incidentu došlo v jinou denní či noční dobu, v jiný den. Byli bychom připraveni stejně, lépe či hůře? Každý časový úsek má svá specifika: dostupnost pracovníků apod.

Identifikujte cíl útoku!

A konečně: nezapomeňte se vší odpovědností určit, jaký byl skutečný cíl útoku? Šlo o náhodný výběr, kdy jste měli prostě smůlu, že se agresor zaměřil na vás, nebo šlo o akci s hlubším úmyslem? Dosáhl svého cíle? Nepřehlédli jsme něco? Nehrozí zopakování útoku? Třeba i v jiné podobě… Možná najdete další překvapivé vazby nebo skutečnosti, které jste dříve přehlédli nebo přehlíželi. Tyto nové skutečnosti pak umožní cíl útoku chránit lépe nebo jinak.
Rozbor umožní kromě jiného stanovit, zdali je skutečně po útoku. Fakt, že odezněly všechny viditelné nebo přímé projevy neznamená, že skutečný cíl útoku nebyl jiný, než se zdálo. Některé útoky jsou totiž prováděné s tím, že mají zakrýt skutečný cíl zájmu, nebo jej usnadnit. Hackeři tak různými způsoby nutí restartovat systémy (což je viditelný projev) třeba z toho důvodu, aby mohli být aktivováni trojští koně dříve do systému umístění (na první pohled to nemusí být projev patrný).
Pokud bezpečnostní incident představuje zároveň trestný čin, pak nezapomeňte uschovat či vyhotovit průkazné materiály pro případné policejní šetření nebo následné důkazní řízení. Vyčíslete také vzniklou škodu a připojte metodiku, jakou jste k ní dospěli.
Vypracujte zprávu z bezpečnostního incidentu, a to pro management i pro zainteresované pracovníky. Zpráva by měla obsahovat doporučení vyplývající z rozboru. Následně tato doporučení nezapomeňte nasadit v praxi, zkontrolovat jejich implementaci a prověřit účinnost – aby se nestalo, že jsme jeden problém vyřešili, ale další dva vytvořili…
Zkrátka a dobře: bezpečnostní incident se pokuste proměnit ve veskrze pozitivní událost, která nám umožní poznat své slabiny a lépe je chránit. Příště by jinak mohlo být ještě hůře…

Bezpečnostní incidenty řečí statistik:

• 69 % respondentů očekává menší incident v oblasti IT jednou za měsíc
• 63 % respondentů očekává nejméně jednou ročně větší selhání ICT
• 26 % respondentů očekává nejméně jednou ročně incident týkající se nesouladu s předpisy
• 25 % respondentů očekává nejméně jednou ročně únik dat

(Zdroj: IT Risk Management Report 2007, Symantec)