Jak przebiega atak na system informatyczny oraz jak we właściwy sposób reagować na incydenty i minimalizować zagrożenia? Kiedy jest najlepszy moment do obrony? Co robić, gdy atakujący dostanie się do naszej sieci?

W ostatnim czasie znacznie wzrosła liczba zagrożeń, ataków oraz incydentów komputerowych. Niemal codziennie każda organizacja spotyka się z atakami komputerowymi. Wiele z nich nie jest świadomych tego, że są przedmiotem ataku, inne nie są przygotowane na atak, natomiast organizacje o wysokim poziomie świadomości przygotowują się do wystąpienia incydentów. Obecnie nie powinno rozważać się pytania „czy mnie zaatakują”, lecz „co zrobię, gdy będę atakowany”. Organizacje tworzą specjalne jednostki czy nawet oddziały zajmujące się bezpieczeństwem komputerowym. Tymi jednostkami mogą być pojedyncze specjalizowane stanowiska, zespoły bezpieczeństwa czy centra operacyjne. Nierzadko zadania bezpieczeństwa komputerowego oraz monitoringu bezpieczeństwa infrastruktury są przekazywane do wyspecjalizowanych podmiotów zewnętrznych (outsourcing). Głównymi zadaniami takich jednostek jest stałe monitorowanie bezpieczeństwa infrastruktury organizacji, jak również reagowanie na pojawiające się incydenty bezpieczeństwa komputerowego.

> Incydent komputerowy

Incydent (security incident) związany z bezpieczeństwem informacji to pojedyncze zdarzenie lub seria niepożądanych lub niespodziewanych zdarzeń związanych z bezpieczeństwem informacji, które stwarzają znaczne prawdopodobieństwo zakłócenia działań biznesowych i zagrażają bezpieczeństwu informacji (tłumaczenie według PN-ISO/IEC 27001:2014–12). Jeżeli w ramach zagrożenia zostanie wykorzystana podatność danego zasobu, to następstwem jest incydent bezpieczeństwa. Incydent bezpieczeństwa to zdarzenie, które jest wykorzystaniem danej podatności lub prowadzi do wystąpienia zagrożenia. Oto przykłady incydentów związanych z bezpieczeństwem informacji:

• naruszenie poufności danych (ujawnienie ich niepowołanym osobom);
• naruszenie integralności danych (uszkodzenie, przekłamanie, zniszczenie);
• ograniczenie dostępności danych dla uprawnionych użytkowników;
• działania niezgodne ze specyfikacją (błędne) systemów informatycznych;
• ataki na systemy informatyczne powodujące odmowę usługi;
• infekcje, propagacja i działanie szkodliwego oprogramowania (malware – do których zalicza się między innymi: wirusy, robaki internetowe, konie trojańskie, spyware, keyloggery, rootkity, dialery i exploity);
• nieautoryzowany dostęp do aplikacji, systemów oraz eskalacja uprawnień;
• penetracja i próby omijania zabezpieczeń systemów;
• niewłaściwe wykorzystywanie lub nadużywanie zasobów informacyjnych;
• kradzież lub zniszczenie nośników danych;