W ostatnich latach (a szczególności miesiącach, ze względu na dyrektywę NIS 2) terminy, takie ja „incydent cybernetyczny” i „zdarzenie” zaczęły przenikać do języka codziennego, w kręgach IT i.
W mojej opinii, wiele osób myli te pojęcia. Mogą brzmieć podobnie, ale różnica między nimi jest kolosalna.
Aby nie wpaść w pułapkę myślenia, że to jedno i to samo, warto zrozumieć, czym tak naprawdę jest incydent, a czym zdarzenie.
Chcę rozwiać te wątpliwości w moim artykule.
Czym jest zdarzenie? Czyli nie każda błahostka to incydent
Zacznijmy od tego, co kryje się za terminem „zdarzenie”.
Wyobraźmy sobie sytuację – w firmowym systemie nagle pojawia się niespodziewany komunikat błędu. Coś poszło nie tak, jednak na razie nikt nie bije na alarm.
To właśnie klasyczne zdarzenie – coś się wydarzyło, ale niekoniecznie musi mieć to duże znaczenie z punktu widzenia bezpieczeństwa systemu.
Zdarzenia mogą być różne – zapomniane hasła, błąd w oprogramowaniu, problemy z siecią. Trzeba zrozumieć, że zdarzenia są normalną częścią funkcjonowania systemów IT. W każdej infrastrukturze coś się po prostu psuje, poprawia, zmienia itp.
Dlatego czy każde zdarzenie oznacza, że czas wyciągnąć ostrą broń? Zdecydowanie nie.
Większość zdarzeń to po prostu naturalne efekty uboczne działania systemów, które po prostu trzeba monitorować. Porównajmy to sobie do problemów z samochodem – nie każda kontrolka na desce rozdzielczej oznacza, że zaraz eksploduje nam silnik.
Incydent – czyli pachnie kłopotem
Incydent cybernetyczny to już zupełnie inna bajka. Zdarzenie to po prostu sygnał, że coś się dzieje, natomiast incydent oznacza realne zagrożenie.
Gdy, natomiast mówimy o incydencie, mamy na myśli sytuację, w której doszło do rzeczywistego naruszenia bezpieczeństwa. Może to być np. nieautoryzowany dostęp do danych lub ich wyciek, złamanie zabezpieczeń itp.
Innymi słowami – incydent to coś, co wykracza poza standardowe operacje systemu i wymaga natychmiastowej reakcji zespołu odpowiedzialnego za cyberbezpieczeństwo.
Incydent cybernetyczny ma duży potencjał, by wyrządzić szkody, ponieważ jest sytuacją, w której hakerzy mogą uzyskać dostęp do danych, zainfekować systemy malware lub zaszyfrować pliki.
Warto pamiętać, że każde incydenty, niezależnie od ich skali, mogą finalnie prowadzić do katastrofalnych skutków dla organizacji, jeśli nie zostaną odpowiednio zaraportowane i rozwiązane.
Najważniejsza różnica – skala i znaczenie
Najbardziej istotna różnica między zdarzeniem a incydentem tkwi w ich skali i znaczeniu.
Jak wspomniałem wyżej, zdarzenie to naturalna część codziennego życia systemów IT – coś, co zdarza się regularnie i często oraz nie wymaga szczególnej interwencji, a wzmożonej czujności.
Incydent cybernetyczny to jednak problem, który może mieć bardzo daleko idące konsekwencje dla bezpieczeństwa danych i reputacji organizacji.
O ile nie każde zdarzenie jest incydentem, to każde incydenty są efektem zdarzeń.
Oznacza to, że zdarzenie może być tylko początkiem większego problemu, który po dalszej analizie okazuje się incydentem. Przykładowo zdarzenie może być jedynie nieudanym logowaniem do systemu, ale gdy okazuje się, że za tym logowaniem stoi mający chrapkę na nasze systemy haker, mamy już do czynienia z pełnoprawnym incydentem.
Odpowiedź na incydent
Gdy dochodzi do incydentu, najważniejsza jest szybka reakcja – w końcu stawką mogą być dane klientów, firmowe tajemnice i reputacja organizacji.
Plan reakcji na incydenty (tzw. IRP – Incident Response Plan) to podstawa w każdej firmie. Skleja on do siebie zbiór procedur, które pozwalają zminimalizować skutki incydentu i przywrócić normalne funkcjonowanie systemów.
Warto dodać, że opracowanie takiego planu nie jest jednorazowym zadaniem – musi on być regularnie aktualizowany i nadzorowany, aby nadążać nad ewolucją zagrożeń.
Usługa E-SOC Grupa E
W kontekście optymalnego zarządzania incydentami polecamy naszą usługę E-SOC Grupa E, o której można przeczytać więcej pod poniższym linkiem:
Wróć
