Кіберінцидент

Інцидент кібербезпеки (скорочено кіберінцидент)^[1] — подія або ряд несприятливих подій ненавмисного характеру (природного, технічного, технологічного, помилкового, у тому числі внаслідок дії людського фактора) та/або таких, що мають ознаки можливої (потенційної) кібератаки, які становлять загрозу безпеці систем електронних комунікацій, систем управління технологічними процесами, створюють імовірність порушення штатного режиму функціонування таких систем (у тому числі зриву та/або блокування роботи системи, та/або несанкціонованого управління її ресурсами), ставлять під загрозу безпеку (захищеність) електронних інформаційних ресурсів. Глосарій Національного інституту стандартів і технологій США перелічує різні визначення інциденту від аномальної події, до події що становить небезпеку^[2].

Інциденти кібербезпеки можуть бути класифіковані за ступенем їх впливу на інформаційну систему або дані:

• Події: будь-які спостережувані явища в системі чи мережі, що можуть свідчити про можливе порушення безпеки.
• Інциденти: події або серії подій, які фактично або потенційно загрожують конфіденційності, цілісності чи доступності інформаційної системи.

Кіберінциденти можуть включати широкий спектр подій, які потенційно можуть призвести до порушення безпеки мережі або системи^[3]. Приклади таких інцидентів^[4]:

• Атаки шкідливого коду: віруси, трояни, експлойти.
• Сканування та картографування мережі: спроби виявлення вразливостей.
• Несанкціонований доступ або вторгнення: отримання доступу без належних повноважень.
• Зловживання сервісами: неправомірне використання ресурсів.
• Атаки відмови в обслуговуванні (DoS): дії, спрямовані на порушення доступності сервісів.
• Шпигунство: незаконний збір конфіденційної інформації.
• Фішингові атаки: обман користувачів з метою отримання їхніх даних.
• Кіберпереслідування: навмисне переслідування або залякування в цифровому середовищі.
• Шахрайство та крадіжка особистих даних: незаконне отримання та використання персональної інформації.
• Крадіжка майна: викрадення фізичних або цифрових активів.
• Інфікування шкідливим програмним забезпеченням: зараження системи для отримання несанкціонованого доступу або пошкодження даних.
• Небезпечне зберігання конфіденційної інформації: залишення паролів або інших важливих даних у відкритому доступі.

Кіберстійкість — це здатність організації адаптуватися до збоїв, викликаних кіберінцидентами, зберігаючи безперервність бізнес-операцій^[5][2]. Вона включає можливість виявляти, реагувати та відновлюватися після інцидентів кібербезпеки, мінімізуючи їх вплив на операційну діяльність.

Формування команди реагування на кіберінциденти є критичним для ефективного управління безпекою організації^[6][3]. Така команда займається:

• Моніторингом та виявленням потенційних загроз і інцидентів.
• Розслідуванням різних типів інцидентів та аналізом їхнього впливу.
• Впровадженням заходів безпеки: блокування шкідливих посилань, оцінка підозрілих програм.
• Забезпеченням дотримання політик безпеки та проведенням навчань для персоналу.
• Швидким реагуванням на компрометації для мінімізації їхнього впливу.

Окрім команд що працюють в організаціях існують загальнонаціональні команди, в Україні наприклад CERT-UA.

Ефективна кібербезпека залежить від участі всіх членів організації^[3]. Кожен співробітник повинен:

• Активно повідомляти про виявлені кіберінциденти або підозрілі події.
• Дотримуватися політик та процедур, встановлених для забезпечення безпеки.
• Бути уважним до потенційних загроз та не ігнорувати підозрілі ситуації.

TODO:

• https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-160v1r1.pdf
• https://www.cnss.gov/CNSS/openDoc.cfm?a=W3m%2By8KlG1usWPNLx8auZA%3D%3D&b=BFEDE4DF78A370F10626D5F102E03C95E9CC1C535D2A4467C2E03032D4EE2AEB4C563A3338666C8C99691D48ECC870F1