Bezpečnostní incident: Drahý incident management
V tomto příspěvku se dozvíte, proč spousta bezpečnostních incidentů zůstává neodhalena a jak tento nežádoucí stav změnit.
Důvodů, proč spousta bezpečnostních incidentů zůstává neodhalena, je několik. Jedním z nich je zavedení incident managementu. Ano, čtete správně. Vzhledem k tomu, že hlavním cílem incident managementu je obnovit službu tak rychle, jak jen to je možné, je zřejmé, že k zajištění důkazů obvykle nedochází. A nejsou-li důkazy, není možné zjistit příčinu, a tak se ani nedozvíme, že to byl např. malware, který nefunkčnost stanice způsobil. V praxi to totiž většinou funguje tak, že se nezkoumá, co nefunkčnost způsobilo, ale postupuje se přesně v souladu s výše uvedenou definicí. To znamená obnovit službu tak rychle, jak je to jen možné. Takže stanice se během několika minut obnoví z image a všichni jsou spokojeni.
- Uživatel je spokojen, neboť na to, že si stáhnul z internetu nebo přitáhl na USB flash disku hru, která obsahovala malware se nepřišlo, protože data na jeho HD byla přepsána.
- Vedoucí pracovník tohoto uživatele je spokojen, protože jeho podřízený může zase pracovat na přidělených úkolech.
- Manažer a operátoři helpdesku jsou spokojeni, neboť se jim podařilo službu rychle obnovit, obzvlášť když jsou mimo jiné hodnoceni i za počet vyřešených incidentů.
- Manažer ICT je spokojen, neboť to už je x-tá stanice, která mohla být takto rychle obnovena a investice do SW pro imagování stanic se díky tomu rychle zhodnocuje.
- Dokonce i CIO je spokojen. Proč by také nebyl, když se SLA plní na 100% a ze strany odběratele se neobjevila zatím jediná stížnost na kvalitu poskytovaných služeb.
V čem je tedy problém?
Problém spočívá v tom, že služba, kterou toto ICT poskytuje, je prostě drahá. Především proto, že společnost, která tuto službu odebírá, platí za něco, za co by vlastně ani platit nemusela. Kdyby byl totiž kromě incident managementu zaveden i problem management, jehož cílem je zjistit právě příčinu incidentu, výrazně by poklesl i počet těchto incidentů. Helpdesk totiž dost často řeší stejné incidenty, ale neodstraňuje jejich příčinu, pouze následek. To by se mělo zavedením problem managementu rozhodně změnit. Příčina by se měla analyzovat a následně by se mělo zvolit vhodné opatření k zabránění opakování daného incidentu. Součástí problem managementu by mělo být i vybudování knowledge base, tedy jakési databáze znalostí. Tím by mělo být zaručeno, že v okamžiku, kdy se daný incident znovu objeví, všichni budou vědět jak na něj správně reagovat a nebudou ztrácet drahocenný čas. Nehledě na to, že takto můžeme stanovit lépe závažnost incidentu. Měli bychom si ohlídat, aby v SLA byla uvedena hodnota MTU neboli (Maximum Tolerable Unavailability) v takovém případě víme, kolik máme času na zajištění důkazního materiálu a obnovu funkčnosti v souladu DRP.
Proč je důležité zjistit příčinu incidentu?
Bez zjištění příčiny incidentu není možné navrhnout a implementovat vhodná opatření k zabránění opakování tohoto incidentu. Nefunkčnost lze sice vyřešit restartem aplikace nebo serveru, ale pokud nezjistíme, co přesně nefunkčnost způsobilo, můžeme se dostat do situace, že se tento incident bude opakovat stále častěji. A nikdy se nedozvíme, že se jednalo o bezpečnostní incident, jehož původcem byl např. malware, který se nacházel na úplně jiném stroji, a který pouze využíval daný stroj k tomu, aby mohl napadat ostatní servery v síti, a využívat toho, že na nich nejsou nasazeny poslední patche. Také náklady spojené s realizací DRP mohou časem dosáhnout výše, která výrazně překročí ztrátu spojenou s delší dobou nedostupnosti dané služby, kterou by si šetření incidentu vyžádalo. Navíc platí, že klienti jsou obecně ochotni tolerovat jednou za čas delší výpadek, než když daná služba každou chvíli nefunguje.
Poznámka: V okamžiku, kdy zavedete problem management, můžete očekávat, že se vám výrazně zvýší počet bezpečnostních incidentů.
ČERMÁK, Miroslav, 2009. Bezpečnostní incident: Drahý incident management. Online. Clever and Smart. ISSN 2694-9830. Dostupné z: https://www.cleverandsmart.cz/bezpecnostni-incident-drahy-incident-management/. [citováno 07.12.2024].
Štítky: bezpečnostní incident, incident management
K článku “Bezpečnostní incident: Drahý incident management” se zde nenachází žádný komentář - buďte první.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.