Bezpečnostní incident: role vyšetřovatele
V tomto příspěvku se dozvíte, kdo by měl vést vyšetřování závažných bezpečnostních incidentů a jakými pravomocemi a oprávněními v informačním systému by měl vyšetřovatel disponovat.
Způsob vedení vyšetřování závažného bezpečnostního incidentu, který má na svědomí vlastní zaměstnanec společnosti, vykazuje určité odlišnosti od způsobu vedení vyšetřování incidentu, který byl veden útočníkem mimo organizaci a jehož totožnost neznáme a ani netušíme.
Je zajímavé, že ač má většina ISIRT (Information Security Incident Response Team) obvykle vypracovány postupy, jak provádět vyšetřování v případech, kdy došlo k bezpečnostnímu incidentu provedeného neznámým pachatelem odněkud z internetu, tak postupy pro šetření bezpečnostních incidentů, které mají na svědomí vlastní zaměstnanci, vypracovány většinou nemají. Přestože nejrůznější průzkumy a statistiky mluví zcela jasně a jejich závěry jsou naprosto jednoznačné, společnosti si jaksi nechtějí připustit skutečnost, že až 80% útoků je vedeno právě zevnitř organizace a vypracování odpovídajících postupů nevěnují dostatečnou pozornost.
Proč v případě bezpečnostního incidentu, který spáchal vlastní zaměstnanec postupovat trochu jinak? V případě, že útok provedl neznámý pachatel odněkud z internetu, se tato skutečnost dost často stává dříve či později veřejně známou. To, že je nedostupná nějaká služba, kterou společnost poskytuje, že se na internetu objevila důvěrná data, které společnost zpracovává, nebo že daná služba nefunguje tak jak má, to je něco co, se dost dobře před veřejností utajit nedá. Nezřídka se také vlastní zaměstnanci o této skutečnosti dozvědí dříve z televize nebo z internetu, než od svého zaměstnavatele. V takovém případě obvykle společnost informace o tom, co se stalo, netají, ale naopak se snaží zaměstnance s incidentem detailně seznámit, aby případně jí mohli poskytnout relevantní informace, které by vedly k odhalení pachatele, věděli, na co si mají dát pozor a v neposlední řadě i jak mají komunikovat s médii a odpovídat na dotazy klientů společnosti.
Na tomto místě bych chtěl také zdůraznit, že ten kdo dává podnět k vyšetřování, nebo ten kdo svolává vyšetřovací tým, není obvykle ten, kdo vlastní vyšetřování vede. Je nutné si uvědomit, že osoba, která podnět k vyšetřování dává, bývá dost často i osoba, která se cítí nějak poškozena nebo poškozenou stranu zastupuje. Nejenže není způsobilá k vyšetřování, neboť nemá potřebné zkušenosti, znalosti, schopnosti a dovednosti, ale nemůže z podstaty věci ani zaujmout v rámci šetření objektivní přístup. Hrozí zde, že se vyšetřování bude ubírat jiným směrem, nedojde k včasnému a správnému zajištění důkazního materiálu nebo bude důkazní materiál zničen, případně dojde k úniku informací z vyšetřování.
Problém mimo jiné spočívá také vtom, že společnosti v této oblasti mezi sebou nespolupracují, informace o těchto incidentech nejsou nikde publikovány a tak se nelze divit, že neexistují spolehlivé postupy jak důkazy zajišťovat, tzn. jak je pořizovat, uchovávat, jak s nimi pracovat, jak je vyhodnocovat a též jak je prezentovat. Problémem je i skutečnost, že se ve většině případů často zajišťují jen „digitální“ stopy a zajištění klasických stop u běžných případů neprobíhá, málokdo asi snímá otisky prstů z klávesnice, myši, výpočetní techniky a má záznamy z kamery, aby mohl prokázat, kdo s počítačem opravdu pracoval. Ideální je zajistit původní datový nosič nebo alespoň jeho kopii. Avšak i v případě, že máme k dispozici takovýto důkazní materiál, může být věrohodnost těchto důkazů přesto zpochybněna. Problém spočívá ve spojení identity v informačním systému a fyzické osoby v prostoru a čase.
Vyšetřovací tým by měl být co nejmenší. V ideálním případě by jen jeden člověk měl znát všechny informace související s daným případem. Ostatní by měli znát jen informace nezbytně nutné pro provedení požadovaných úkonů. Důvod je prostý, čím víc osob bude s detaily vyšetřování seznámeno, tím větší je pravděpodobnost, že se informace z průběhu vyšetřování dostanou až k pachateli.
Aby bylo vyšetřování úspěšné, měl by mít vyšetřovatel bez ohlášení a bez předchozího souhlasu kohokoliv z managementu přístup do všech prostor a na všechna pracoviště společnosti. Dále by měl disponovat pravomocí zabavit prostředky výpočetní techniky, které mohou obsahovat důkazní materiál, a též by měl mít možnost v okamžiku, kdy to uzná za vhodné, vést v rámci vyšetřování interview s kýmkoliv, od prostého zaměstnance až po vrcholový management, představenstvo nebo generálního ředitele. Vyšetřovatel by měl mít dále přístup do všech IS systémů společnosti, aby mohl zajistit důkazy. Pro tento účel by mu měl být na všech systémech vytvořen restriktivní účet s právy umožňujícími procházet adresářovou strukturou, zobrazovat obsah souborů a nastavovat auditing. Všichni zaměstnanci by mu měli poskytnout požadovanou součinnost např. k zajištění důkazního materiálu.
Výše uvedené je pro úspěšný průběh vyšetřování zcela zásadní. Bavíme se zde o závažných bezpečnostních incidentech, kde hrozí riziko z prodlení, riziko úniku informací, riziko zničení veškerých stop a důkazního materiálu. Vyšetřovatel musí proto těmito pravomocemi a oprávněními v IS systému disponovat ještě dřív, než k incidentu nebo k zahájení vyšetřování dojde. Z výše uvedených důvodů také není žádoucí, aby do průběhu vyšetřování, které vyšetřovatel vede, kdokoliv zasahoval. Případné námitky proti způsobu vedení vyšetřování mohou být vzneseny kýmkoliv dodatečně a musí být přezkoumány nezávislým orgánem.
Je zřejmé, že vyšetřovatel musí (pokud má společnost opravdu zájem na tom, aby se něco vyšetřilo) za účelem své práce disponovat odpovídajícími pravomocemi, a proto je nanejvýš žádoucí, aby se jednalo o osobu vybavenou nejen potřebnými znalostmi, schopnostmi a dovednostmi, ale i osobu dostatečně a vhodným způsobem prověřenou. Vyšetřovatele však musí být také možné kontrolovat a z vyšetřování v případě zjištění závažných procesních pochybení odvolat. Za tímto účelem by měl vyšetřovatel vést deník, do kterého bude zaznamenávat svůj postup, evidovat důkazní materiál a tento deník pravidelně nebo na vyžádání předkládat svému nadřízenému. Vyšetřovatel by neměl brát tento požadavek jako zbytečnou byrokracii nebo projev nedůvěry – tímto způsobem vyšetřovatel chrání především sám sebe.
Způsobů jak daného adepta na pozici vyšetřovatele prověřit, je více. Vyšetřovatel bude pravděpodobně z útvaru nebo týmu, který v dané společnosti řeší problematiku informační bezpečnosti. Mělo by se jednat o osobu, která dlouhodobě dosahuje požadovaných výsledků a vyznává stejné hodnoty, jako společnost pro kterou pracuje. Tato osoba by měla být vybrána na základě dlouhodobého sledování. Ověření její způsobilosti k této činnosti může být provedeno testem, který bude spočívat např. ve vyšetřování jí blízké osoby. Adept však nesmí tušit, že se jedná o cvičný úkol a neměl by ani tušit, že víme o tom, že k dané osobě má nějaký vztah. Tím se velice přiblížíme skutečné realitě. Následně vyrobíme důkazy, které budou svědčit v neprospěch této osoby a budeme sledovat, jak se náš subjekt zachová, zda důkazy zničí nebo bude dělat, že je neviděl nebo bude danou osobu kontaktovat a o zahájení šetření ji informovat či ji jiným způsobem varovat. Za správný přístup se obecně považuje, že vyšetřovatel prohlásí, že nemůže být vzhledem k jeho vztahu k dané osobě objektivní a sám požádá, aby byl z šetření daného případu odvolán.
Štítky: bezpečnostní incident
K článku “Bezpečnostní incident: role vyšetřovatele” se zde nenachází žádný komentář - buďte první.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.