V roce 2021 byla zaznamenána doposud nejvyšší průměrná škoda na jeden kyberbezpečnostní incident za posledních sedmnáct let, plnou desetinu incidentů pak způsobil ransomware – to je dvojnásobek oproti předchozímu roku 2020, uvádí IBM Cost of a Data Breach Report 2021. Analytici v souvislosti s tím zdůrazňují, že dnes již nestačí se útokům bránit a být připraven na případnou následující obnovu, ale je nezbytné reagovat bezprostředně – v reálném čase, ještě během probíhajícího útoku, mimo jiné i proto, že není otázka, zda k němu dojde, ale spíš kdy, nebo dokonce jak často k němu dojde.
Úspěšné útoky navíc znamenají mnohem větší nežádoucí publicitu v médiích než v minulosti na straně jedné, na straně druhé pak auditoři, regulátoři a další zainteresované strany očekávají, že organizace budou mít jasný plán pro zvládání incident, a dokážou tak minimalizovat jejich reálný dopad. Každý CISO či lídr odpovědný za informační bezpečnost by proto měl mít jasně zdokumentovaný plán reakce a příručky či postupy pro jednotlivé typy incidentů. Obojí by pak mělo být pravidelně „testováno“ prostřednictvím pravidelných „stolních“ cvičení. Může se to zdát jako nemalá časová a lidská investice, v kontextu toho, že průměrný výpadek systémů po ransomware útoku byl v minulém roce 23 dnů (Coveware) a při 80 % úspěšných útoků byla data nejen zašifrována, ale zároveň též zcizena (s průměrnou „cenou“ za zcizení přesahující v minulém roce podle zprávy IBM čtyři miliony dolarů), ve skutečnosti jde o velmi rozumnou investici.
Tři nezbytné komponenty plánu reakce na kyberbezpečnostní incidenty
1. Vytvořte plán reakce na incident (útok). Jde o obecný plán popisující, jak vaše organizace reaguje na útok. Jeho součástí by měla být procesní mapa reakce (odpovědi), například v závislosti na klasifikaci a závažnosti odhaleného incidentu (viz tabulku), dále přiřazení rolí (CIO, CISO, DPO, helpdesk a dalších) a odpovědností (například kdo je odpovědný za zaznamenání/odhalení incidentu, kdo dělá úvodní triáž a klasifikaci atd.).
Klasifikujte závažnost incidentu v několika úrovních
Všechny bezpečnostní incidenty musejí být tříděny a je nutné jim přiřadit úroveň závažnosti. To pomáhá řídit eskalaci incidentů, nastavit SLA a jinak informovat zúčastněné strany o potenciálním nebo aktuálním dopadu incidentu na organizaci. Míra závažnosti také určuje, kdo bude informován, jaká bude cesta eskalace, a tedy i to, jaký postup komunikace se použije.
| Závažnost | Dopady na byznys | Technické atributy | |||||
| Úroveň | Bezpečnost (fyzická) | Právní dopady | Regulatorní dopady | Finanční dopady | Reputační riziko | Třída dat | Dopady na provoz |
| 04 Kyber krize | Vážná zranění/úmrtí | Vážný dopad | Pokuty: Z Kč | Ztráty: Z Kč | Globální média | Přísně utajovaná | Katastrofický výpadek |
| 03 Vysoká | Vážná zranění | Značný dopad | Pokuty: Y–Z Kč | Ztráty: Y–Z Kč | Národní média | Tajná | Významný výpadek |
| 02 Střední | První pomoc | Malý dopad | Pokuty X–Y Kč | Ztráty: X–Y Kč | Lokální média | Interní | Drobný výpadek |
| 01 Nízká | Bez zranění | Žádný dopad | Nejsou | Nejsou | Není | Veřejná | Není |
Zdroj: Gartner, 2022
2.Sepište herní plány (příručky) odpovědi na incident – to je typicky úkol CSIR týmu či týmu CISO, plány jsou pochopitelně sestavovány pro obvyklé typy incidentů a útoků a/nebo pro ty s potenciálně velmi závažným dopadem. Smyslem je připravit jasné návody, postupy a procedury jdoucí za rámec běžného plánu odpovědi na bezpečnostní incident. Například v případě ransomware útoku může příručka obsahovat pravidla pro její „aktivaci”, popis fází reakce na útok, postupy pro jeho zadržení či omezení dopadů (containment), následnou analýzu atd. včetně kompletního procesního schématu rozepsaného následně do podrobných procedur.
3. Pořádejte pravidelná „stolní“ cvičení – třeba o délce 90 minut (během nichž je simulován například reálný průběh útoku v rozsahu několika hodin), která by měla obsahovat scénáře, v nichž se účastníci musejí rozhodovat podobně jako v reálné situaci – například zda zaplatit, či nezaplatit výkupné a jak takové rozhodnutí kvalifikovaně v omezeném čase učinit.