Miejsce informatyki śledczej w reakcji na incydenty
Jak często powtarzamy – rola informatyki śledczej zmieniła się na przestrzeni lat i nie jest już domeną policji i prokuratury. Informatyka śledcza na stałe zagościła m.in. w bezpieczeństwie IT. W artykule wskażemy precyzyjnie jej miejsce w procesie reakcji na incydenty.
Dlaczego tak jest? W tym miejscu warto wyjść od wymogów normy ISO27001 w zakresie zarządzania incydentami bezpieczeństwa teleinformatycznego, wyrażonymi szczegółowo w normie ISO/IEC 27035-1:2016,. W szczególności norma ta podpowiada, że reakcję na incydent trzeba rozpocząć od… planowania. Szczegóły oczywiście przekraczają ramy tego artykułu ale dobrym początkiem będzie stworzenie Zespołu Reagowania na Incydenty (ZRI). Zespół ten powinien składać się z osób technicznych ale w jego składzie powinny znaleźć się np. osoby z działu prawnego. Oczywiście w praktyce i tak najwięcej do zrobienia będzie miało IT ale pozostali członkowie również będą mieli się czym zająć. ZRI powinien działać w sposób przejrzysty i ustrukturyzowany, a jego zadania powinny obejmować również zagadnienia związane z zabezpieczeniem dowodów elektronicznych. Tworząc zespół ZRI warto pomyśleć o outsourcingu usług specjalistycznych, w tym informatyki śledczej.
Co oznacza, że „zespół powinien działać w sposób przejrzysty i ustrukturyzowany”? Oznacza to, że w ramach procesu zarządzania incydentem, każdy z członków zespołu powinien mieć ustalone zadania, kompetencje i zakres obowiązków, a każda czynność powinna być „rozliczalna”, szczególnie ze względu na ew. wymagania dowodowe. Poniżej przedstawiamy w sposób graficzny proces IR:
Tak jak to przedstawia diagram, już w momencie wystąpienia incydentu znajduje się miejsce dla informatyki śledczej. Dlaczego? Z dwóch powodów. Po pierwsze, ze względu na wspomniane już wytyczne i procedury, które powinny wspierać zastosowanie zgromadzonego materiału w postępowaniach przed sądem. W skrócie – są to właściwe zasady gromadzenia i przechowywania informacji z dbałością o jej integralność oraz rozliczalność tych procesów. Po drugie dlatego, że narzędzia informatyki śledczej mogą wspierać proces zarządzania incydentem – wspomagać wykrywanie, walidację, analizę skali incydentów i remediację.
Informatyka śledcza w reakcji na incydenty
Skupiając się dokładniej na informatyce śledczej w reakcji na incydenty trzeba pamiętać, że ma ona na celu identyfikację, zabezpieczenie, gromadzenie, analizę i prezentację dowodów elektronicznych pochodzących z systemów informatycznych w sposób naukowy.
To znaczy, że za pomocą ustalonej metodologii i narzędzi, w celu rekonstrukcji zdarzeń występujących w tych systemach, prowadzimy działania które muszą być powtarzalne – dla tych samych danych wejściowych zawsze musimy uzyskać te same wyniki. Tylko takie podejście zapewni skuteczne wykorzystanie zgromadzonej informacji do celów postępowania przed sądem. Informatyka śledcza bazuje na powtarzalnej metodyce opartej o procedury i protokoły oraz, powtórzmy to ponownie – pełną rozliczalność.
Dowód elektroniczny jest informacją. W informatyce śledczej zakłada się zatem, że każda informacja może mieć wartość dowodową – wszelkie działania muszą prowadzić do sytuacji, w której dowód elektroniczny jest autentyczny, integralny, kompletny i przystępny.
Co nam to daje?
Włączenie informatyki śledczej w reakcję na incydenty świadczy o dojrzałości organizacji i wypełnieniu wymagań norm. Dzięki przyjęciu założenia, że każda informacja może być dowodem, stosując narzędzia informatyki śledczej, jesteśmy w pełni przygotowani do ewentualnego procesu sądowego i współpracy z organami ścigania. Jest to o tyle ważne, że od czasu wejścia w życie RODO udowodnienie należytej staranności, w tym w kwestii jakości gromadzonych dowodów, ma kluczowe znaczenie.
O przydatności informatyki śledczej w RODO pisaliśmy tutaj.
Podsumowując. W dobie współczesnych cyberzagrożeń z jednej strony i coraz bardziej wyśrubowanych przepisów prawa, norm i zasad z drugiej, informatyka śledcza staje się rozwiązaniem niezbędnym w każdej organizacji.
Poprzez szerokie możliwości analityczne i remediacyjne informatyka śledcza pozwala zbadać każdy incydent, rozłożyć go na „czynniki pierwsze” i oprócz zebrania dowodów nauczyć nas czegoś na przyszłość. Dzięki temu lepiej zrozumiemy i lepiej obronimy się przed zagrożeniami.
Dzięki usystematyzowanemu podejściu, ustalonym regułom i metodom postępowania, informatyka śledcza pozwala dobrze wpasować się w obowiązujące wymagania prawne i normatywne.
Być może czytałeś już poprzednie nasze teksty, a jeśli nie to polecamy lekturę na przykład tego artykułu, który opisuje różnice pomiędzy analizą informatyki śledczej, a analizą bezpieczeństwa. Ciekawy jest również artykuł mówiący o DFIR w CIRT. Będą dobrym wprowadzeniem w tematykę.