Valmistu intsidendiks ja õpi taastuma

Teavita küberintsidendi toimumisest RIA intsidentide käsitlemise osakonda CERT-EE (cert@cert.ee) ja vaata lähemalt küberintsidendi korral. Täiendavaks konsultatsiooniks ja intsidendi analüüsiks on vaja, et organisatsioon on valmis intsidendi detaile jagama ning et organisatsioonil on kontaktisik, kes on volitatud CERT-EEga suhtlema.

Intsidendi korral alusta olukorra fikseerimisest:

1. talleta lokaalsed ja logiserveri logid;
2. säilita konfiguratsioon (nt tulemüüri reeglid);
3. tee mõjutatud süsteemidest kettatõmmised;
4. talleta vähemalt viimane varukoopia enne intsidenti, võimalusel aga kõik selleks momendiks säilinud intsidendis osalenud süsteemide varukoopiad.

Kui olukord on kindlaks tehtud, tuleks määratleda intsidendi ulatus, muuhulgas kaardistada kõik mõjutatud süsteemid. Kompromiteeritud või kompromiteerimise kahtlusega süsteemid tuleb kiiremas korras isoleerida.

IT-teenuse töö taastamise käigus on oluline vältida asjakohaste tõendusmaterjalide (logide) hävimist süsteemi taastamise käigus. Intsidendi juurpõhjuste analüüsi tulemusena tuleks planeerida ka tegevused, et tulevikus sarnast olukorda vältida.

Küberintsidendi korral on oluline teavitada olukorrast oma kliente või koostööpartnereid, keda intsident mõjutab. Teatud juhtudel, näiteks isikuandmete lekke puhul, on ettevõtetel lausa kohustus teavitada Andmekaitse Inspektsiooni. Samuti tasuks juba intsidendi lahendamise käigus kaaluda, kas intsidendi kohta on vaja koostada raport ka politseile.

Ettevõtte toimepidevuse tagamiseks on oluline luua taasteplaan. Kuigi võib tunduda, et on teada, kuidas mingi tõrke puhul süsteem taastatakse, siis Murphy seadustele tuginevalt võib oletada, et infosüsteemi taastamise vajadus tekib ettevõtte kõige kiiremal tööajal, kui konkreetses süsteemis kõige paremini orienteeruv spetsialist pole kättesaadav. Sel juhul on abiks taasteplaan, mis aitab kõige kriitilisemas olukorras kiiresti ja korrektselt süsteemi taastada.

Taasteplaanis peab olema detailselt kirjas kogu vajalik teave ettevõttele tähtsate süsteemide taastamiseks:

1. süsteemi taastamise eest vastutavad inimesed koos kontaktandmetega;
2. riist- ja tarkvara kirjeldus – kõik seadmed, tööriistad, andmed ja tarkvara versioonid, mis on taastamiseks vajalikud, ning nende täpne asukoht;
3. samm-sammuline tegevusjuhend – mis tegevusi millises järjekorras tuleb teha;
4. taastatava süsteemi seadistused;
5. taastamiseks vajalikud kasutajad (teenuskontod, administraatori parool jne).

Küberintsidendi korral ei pruugi serveris olevad dokumendid olla kättesaadavad, mistõttu on mõistlik hoida taasteplaani ka paberile prindituna varasemalt kokku lepitud kohas.

Lisaks IT-süsteemide kaitsmisele peab organisatsioonil olema ka hea ülevaade sellest, mis nende süsteemides toimub. See aitab võimalikke ründeid kiiremini märgata ja aru saada, kuidas ründaja sisse pääses.

Selleks tuleb seadistada logimine ja jälgida salvestatud logiandmeid. Oluline on, et logidesse jõuaks kogu vajalik info – näiteks võrguliikluse, turvaseadmete, domeenikontrollerite, serverite (ka haldustegevuste), tööjaamade ja rakenduste logid. Logisid tuleks säilitada vähemalt 1 aasta, soovitatavalt kuni 3 aastat. See on vajalik selleks, et turvaintsidendi korral oleks võimalik kindlaks teha, millal kahtlane tegevus algas ja milliseid süsteeme see mõjutas – sest ründaja võib olla süsteemides pikalt enne, kui midagi juhtub.

Logid peaks asuma eraldi serveris ning olema varundatud, et need säiliksid ka siis, kui süsteem rikutakse. Lisaks tasub paigaldada seirelahendus, mis jälgib süsteemide tööd ja turvaintsidente ning saadab vajadusel automaatseid teavitusi, et probleemidele kiiresti reageerida.

Varunduse kavandamisel tuleb kõigepealt määrata, millised on ettevõttele tähtsad andmed, mis peavad olema varundatud. Varundada tuleb kõike vajalikku – e-kirjad, majandustarkvara andmebaasid, jagatud kataloogid ja failid – ning arvestama peaks ka kasutajate arvutites olevaid andmeid. Muuhulgas tuleb varundada ka süsteemide taastamiseks vajalikud andmed, näiteks serverite või võrguseadmete seadistuste failid jm tehniline info.

Teiseks tuleb läbi mõelda, kui vanu andmeid peab olema võimalik varukoopiast taastada. Olulisi andmeid, nagu igapäevaselt kasutatav jagatud kaust või majandustarkvara, võib olla vajalik varundada iga päev ja näiteks alles hoida ühe kuu seisud (see tähendab, et on võimalik taastada kuu aega vanu andmeid). Andmeid, mis tihti ei muutu (näiteks pildipank või arhiiv), võib varundada ka kord kuus ja nendest hoida alles vaid üks seis.

Et kaitsta varukoopiat õnnetuse (tulekahju, üleujutus) või varguse puhul, tuleks teha ka väline varukoopia. Selline varukoopia võib asuda pilves, teises kontoris või näiteks teenusepakkuja juures majutuses. Lisaks tasuks ühte varukoopiat hoida andmekandjal, mis on võrgust eraldatud. Pilvteenuse või välise teenusepakkuja puhul tuleks arvestada, et andmed asuvad kellegi teise juures, ning siis tuleb kaaluda, kas oma konfidentsiaalseid andmeid ja ärisaladusi sinna varundada või mitte.

Tähtis on tagada ka varunduse edukas toimimine, sest mittetoimunud või vigasest varundusest ei ole võimalik andmeid taastada. Selleks tuleb seadistada teavitus e‑postile varukoopiate toimimise kohta ning regulaarselt kontrollida varukoopiate tegemise logisid, et teha kindlaks, kas varukoopiate tegemine on läinud edukalt. Perioodiliselt on mõistlik kontrollida, kas kõik vajalikud andmed on ikka varundatud (näiteks võib olla mingi kaust tõstetud teise kohta ja varunduses on see seadistamata), ning vajaduse korral muuta varukoopia seadistusi. Lisaks on tähtis pidada varundamise kohta dokumentatsiooni: mis andmeid ja kuhu varundatakse, mitu seisu hoitakse, mis programm varundab jms teavet.

Väga tähtis on regulaarselt teha proovitaastamisi. Nende käigus taastatakse mõni oluline süsteemi osa praegusest süsteemist eraldatud asukohta (et see ei mõjutaks töökeskkonda) ja vaadatakse üle, kas peale taastamist kõik töötab. Proovitaastamised on tähtsad, sest isegi kui tundub, et varukoopiad on edukalt tehtud, võib süsteemi taastamisel esineda vigu, mida ei osata ette näha. Näiteks võib varukoopia olla vigane, andmeid võib olla puudu või selgub, et süsteemi taastamiseks on vaja teha lisaseadistusi. Kõik avastatud kõrvalekalded ja eriseaded tuleb dokumenteerida taasteplaanis. Proovitaastamisi tuleb teha kõigi tähtsate süsteemide kohta ja varukoopia proovitaastamiseks tuleks valida pisteliselt.