Примјена командног система за инциденте као одговор на сајбер инциденте

Систем командовања инцидентима (ИЦС) развијен је у Калифорнији 1960-их да би координирао напоре између одвојених ватрогасних одјељења приликом међусобног реаговања на шумске пожаре. Касније су га усвојиле и јавне и приватне организације као оквир за реаговање на инциденте свих врста. Велике и мале владине агенције пронашле су оквир прилагодљив њиховим јединственим операцијама, а многе корпорације из приватног сектора усвојиле су оквир за одговор на сајбер инциденте свих врста – укључујући инциденте из области сајбер сигурности. Гоогле, на примјер, користи ИЦС оквир да одговори на неочекиване догађаје који утичу на све операције информационих система - укључујући сајбер сигурносне инциденте.

ИЦС има ове кључне циљеве када се примјењује у оквиру сајбер безбједносних инцидената:

• Брза реакција без дуплицирања и прекомјерне употребе ресурса.
• Смањен поремећај нормалног пословања дефинисањем и ограничавањем броја укључених ресурса.
• Вођству пружити тачне и правовремене информације.
• Екстерним странама, укључујући и јавност, пружити правовремене, тачне и кохерентне информације.
• Координација стицање екстерне помоћи.
• Обезбиједите органима за провођење закона дјелотворне и правилно сачуване доказе.
• Прикупити информације о празнинама и слабостима које се могу анализирати и исправити након инцидента.
• Осигурати координирану структуру унутар које се повећавају ресурси за одговор на инцидент и смањују се након што се инцидент ријеши.

По својој природи, инциденти се не могу у потпуности планирати, али структура одговора на инциденте може бити унапријед успостављена. ИЦС омогућава организацији да обезбиједи:

• Унапријед дефинисане критеријуме шта чини инцидент.
• Унапријед дефинисане процесе ескалације и деескалације за повећање и смањење активности одговора.
• Унапријед дефинисани протоколи и контакти за примање екстерне помоћи.
• Унапријед дефинисане улоге и особље које сарађује у циљу побољшане координације.
• Јасне линије одговорности и дефиниције извјештавања.
• Изолација од непотребне комуникације која омогућава особама које реагују на инциденте и другим стручњацима да се фокусирају на своје специјалности.

ИЦС дефинише посебне улоге за реаговање на инциденте. Ове улоге су:

• Први/на лицу мјеста
• Координација, команда и комуникација
• Веза
• Техничке
• Правне
• Људски ресурси
• Јавни односи
• Финансије

Активност реаговања на инциденте обично почиње откривањем аномалије. Аномалија се дефинише као неочекивано понашање или догађај. Може бити бенигна, злонамјерна или погрешна; и може бити нова или понављајућа. Велика већина аномалија је бенигна или погрешна, а узрокована је погрешним конфигурацијама система, недостацима у апликацији и лажним упозорењима (лажним позитивима) система за откривање инцидената (ИДС). Ипак, аномалије се морају истражити и карактеризовати како би се утврдило да нијесу злонамјерне или деструктивне природе. Погрешне конфигурације система морају бити исправљене, недостаци у апликацији морају бити елиминисани или обуздани компензационим контролама, а ИДС лажно позитивни резултати морају бити искључени из система детекције где год је то могуће како би се побољшао однос сигнал-шум ИДС система.

Прва особа која открије аномалију добија улогу првог одговорног лица . Та особа има одговорност пријавити аномалију надлежном аналитичару цyбер сигурности и он или она остају одговорни све док аналитичар не потврди пријаву. Особа која прва реагује може задржати одговорност првог одговорног лица ако аналитичар није у могућности директно процијенити аномалију.

Инцидент се проглашава када аномалија производи или има потенцијал да изазове поремећај или деградацију повјерљивости, доступности или интегритета информационог система . Узрок инцидента може бити злонамјеран или случајан, а почетни размјер инцидента може бити непознат. Ако обим инцидента утиче само на један систем, може се брзо и лако ријешити и ако не постоји вјероватноћа да је инцидент прешао на друге системе; аналитичар га може затворити без призивања одговора већег обима унутар ИЦС структуре.

Инцидент је хитан случај у сајбер безбједности ако производи, или има потенцијал да произведе, широки поремећај или деградацију повјерљивости, доступности или интегритета информационог система; или ако је очигледно дио или претеча злонамјерног напада ширег обима.

Када особље за сајбер безбедност прогласи хитну ситуацију у сајбер безбједности, позива се ИЦС систем. Првобитно се обавјештава унапријед одређен командир инцидента и процјењује се почетна процјена обима инцидента. Ако се открије више напада, командир инцидента ће се посавјетовати с аналитичарима да изврше тријажу инцидента и додијеле приоритете одговора. Командант инцидента ће тада ангажовати додатне ресурсе на основу тежине инцидента. Технички ресурси ће бити ангажовани за израду и имплементацију плана корективних акција. Биће ангажовани правни ресурси како би се осигурало да су акције одговора у складу са законским захтјевима, као што је Закон о информационој безбедности. Службеник за везу ће бити ангажован за рад са партнерима и за координацију екстерне помоћи. За комуникацију са штампом и јавношћу биће ангажовани Односи с јавношћу . Људски ресурси ће бити ангажовани ако је потребно додатно привремено особље, а финансије ће бити ангажоване ако су потребне набавке софтвера или других потрепштина од добављача.

Слиједи општи приручник који прати инцидент кроз ове фазе:

• Тријажа и процјена тежине
• Активација
• Резолуција
• Деескалација
• Објава извјештаја о инциденту и корективне радње
• Препознавање ресурса

Аутор: Патрицк Брyант, М.Сц., ЦИССП, ИССАП, ИССМП, ЦИСА