Ali veste, da se po ZInfV-1 upoštevajo tudi incidenti, ki se niso zgodili?

Ko organizacije presojajo stanje informacijske varnosti, se pogosto osredotočajo na vprašanje, ali je v določenem obdobju prišlo do varnostnega incidenta z dejanskimi posledicami.

Če do izpada storitev, izgube podatkov ali druge merljive škode ni prišlo, se običajno zaključi, da incidentov ni bilo.

Vendar Zakon o informacijski varnosti (ZInfV-1) uporablja širši pogled.

Njegov namen ni zgolj obdelava že nastalih motenj, temveč predvsem zmanjševanje tveganj za kritične storitve. Zato se posveča tudi dogodkom, ki bi lahko privedli do resnega incidenta, vendar se niso uresničili.

ZInfV-1 takšne dogodke obravnava kot skorajšnje incidente (angl. Near Miss). Gre za primere, kjer je obstajala realna možnost ogrožanja razpoložljivosti, celovitosti, zaupnosti ali avtentičnosti storitev ali podatkov, vendar je bil dogodek pravočasno preprečen, ali se ni razvil v dejanski incident.

Uspešno preprečen kibernetski napad ali pravočasno zaznana kritična ranljivost se v praksi razumejo kot dokaz ustreznega delovanja zaščitnih ukrepov. Obenem pa takšni dogodki razkrivajo, da obstaja možnost, ko bi bile posledice lahko bistveno hujše.

Z vidika informacijske varnosti skorajšnji incidenti niso nepomembni, saj predstavljajo pomemben vpogled v stanje tveganj in kako blizu je bila organizacija motnji delovanja kritičnih storitev.

Prav tako skorajšnji incidenti niso zgolj tehnično vprašanje. Čeprav jih zazna informacijska ali kibernetska varnost, so njihovi možni vplivi poslovni in organizacijski. Zato odgovornost za razumevanje teh tveganj in sprejemanje ustreznih odločitev ne more ostati izključno na ravni IT.

V tem pogledu Zakon krepi odgovornost vodstva, saj zahteva, da se tveganja obravnavajo celovito in pravočasno, ne šele po nastanku dejanskega incidenta.

Zakon poleg poročanja o incidentih predvideva tudi priglasitev pomembnih kibernetskih groženj, kadar obstajajo okoliščine, ki bi se lahko razvile v resen incident, ali bi lahko resno negativno vplivale na omrežne in informacijske sisteme. Kajti skorajšnji incidenti so pomemben signal, da resna grožnja obstaja, čeprav do motnje (še) ni prišlo.

Ena od večjih nevarnosti pri skorajšnjih incidentih je torej občutek, da obstoječi ukrepi zadostujejo, ker se negativne posledice niso uresničile.

Vendar je takšen sklep je lahko zavajajoč, saj dejstvo, da se incident ni zgodil, še ne pomeni, da so tveganja zares ustrezno obvladovana.

Takšnemu razmišljanju sledi Praktični vodnik za upravljanje informacijskih tveganj, ki informacijsko varnost obravnava tudi kot vprašanje vodenja, nadzora in poslovne odpornosti.