Kybernetický incident nie je otázka „či“, ale „kedy“. Organizácie, ktoré majú pripravený proces reakcie na incident, dokážu minimalizovať škody a obnoviť prevádzku rýchlejšie.
Fázy riešenia incidentu
- Detekcia a identifikácia — rozpoznanie, že sa niečo deje. Monitorovacie nástroje, hlásenia zamestnancov, upozornenia od tretích strán.
- Izolácia a obmedzenie — zastavenie šírenia. Odpojenie zasiahnutých systémov, zablokovanie kompromitovaných účtov.
- Eradikácia — odstránenie príčiny. Vyčistenie malvéru, oprava zraniteľnosti, zmena kompromitovaných hesiel.
- Obnova — návrat do normálneho stavu. Obnova zo záloh, overenie integrity systémov.
- Poučenie — analýza po incidente. Čo sa stalo, prečo, ako zabrániť opakovaniu.
CSIRT tím
Computer Security Incident Response Team je tím zodpovedný za koordináciu reakcie na incidenty. Musí mať jasne definované roly, kontaktné informácie dostupné 24/7 a oprávnenie konať rýchlo bez zdĺhavého schvaľovania.
Klasifikácia incidentov
Nie každý incident je rovnaký. Stanovte si klasifikáciu podľa závažnosti — od nízkeho rizika (neúspešný phishing) po kritické (ransomvér, únik dát). Každá úroveň má iný eskalačný postup a čas reakcie.
Oznamovacia povinnosť
Zákon ukladá povinnosť nahlásiť závažný incident NBÚ SR. Poznajte lehoty a postup hlásenia ešte predtým, než incident nastane.
V čase incidentu je najcennejší pripravený tím s jasným plánom, nie panicky hľadajúci riešenie.
Tento článok je súčasťou série Poradca manažéra kybernetickej bezpečnosti. Stiahnite si kompletného sprievodcu v PDF.