Incydent bezpieczeństwa informacji to zdarzenie, które doprowadziło lub mogło doprowadzić do naruszenia czy utraty poufności danych, integralności systemów i ciągłości procesów biznesowych. Organizacja, w której doszło do incydentu może doświadczyć nieprzyjemnych konsekwencji prawnych (gdy w niepowołane ręce dostają się wrażliwe i chronione zasoby), biznesowych (gdy naruszone zostają poufne dane przedsiębiorstwa) i wizerunkowych, obniżających rangę marki.

Incydentami bezpieczeństwa informacji są nie tylko zaplanowane i wymierzone celowo w firmową infrastrukturę ataki hakerskie, ale również wszelkie nieprawidłowości w działaniu Systemu Zarządzania Bezpieczeństwem Informacji (SZBI), awarie, a także błędy pracowników, które mogły doprowadzić do wycieku, uszkodzenia lub niedostępności ważnych informacji.

Do listy incydentów bezpieczeństwa informacji zaliczane są infekcje firmowej sieci lub komputerów złośliwym oprogramowaniem, ataki socjotechniczne (np. phishing) i kradzież fizycznych nośników danych. Tym samym mianem można określić incydenty polegające na łamaniu przez pracowników ustalonej w organizacji polityki bezpieczeństwa i zdefiniowanych procedur.

Można zaryzykować stwierdzenie, że w zasadzie nie ma przedsiębiorstw, które nie spotkały się z incydentem bezpieczeństwa. Niektóre z nich ignorują fakt, że takie zdarzenie miało miejsce, a inne paradoksalnie mogą nie być go świadome np. ze względu na brak wykrycia nieprawidłowości funkcjonowaniu systemów IT.

Zarządzanie incydentami bezpieczeństwa (z ang. security event management lub incident management) to obszerna dziedzina cyberbezpieczeństwa, która cały czas się rozwija, tworząc nowe procedury oraz inicjując procesy zarządzania zdarzeniami. Sposób postępowania na wypadek wystąpienia incydentu bezpieczeństwa zależny jest od wielu czynników – w tym uwarunkowań prawnych, wielkości organizacji i charakteru jej działalności oraz rodzaju przetwarzanych informacji.

Każdy incydent bezpieczeństwa informacji należy zgłosić właściwym osobom w organizacji (np. administratorowi), niezwłocznie po jego wykryciu. Takiego zgłoszenia powinna dokonać osoba, która jako pierwsza natknie się na nieprawidłowości wskazujące na wystąpienie zdarzenia zagrażającego bezpieczeństwu. Zadaniem osoby zarządzającej incydentami będzie identyfikacja, wyłapanie i odfiltrowanie realnych zagrożeń spośród napływających alarmów, nadanie incydentom odpowiednich priorytetów i stopniowe, zgodne z procedurami, rozwiązanie problemu danego typu.

W sytuacji, gdy zdarzenie dotyczące bezpieczeństwa informacji wypełnia znamiona obowiązujących aktów prawnych, konieczne jest niezwłoczne zgłoszenie incydentu do odpowiednich jednostek – na przykład CSIRT NASK – działających na mocy ustawy o krajowym systemie cyberbezpieczeństwa (KSC) czy Urzędu Ochrony Danych Osobowych – w przypadku incydentu zagrażającemu bezpieczeństwu danych osobowych. Zgłoszenie powinno nastąpić w czasie przewidzianym ustawą (dla powyższych przykładów będzie to odpowiednio 48 godzin i 72 godziny).

Organizacja, w której doszło do incydentu bezpieczeństwa powinna zająć się jego właściwym rozpoznaniem, zakwalifikowaniem do konkretnej grupy zagrożeń i opanowaniem jego skutków, a następnie skoncentrować się na działaniach mających na celu eliminację podatności, które mogą doprowadzić do incydentów w przyszłości. Jak to zrobić w firmie, która nie posiada w swojej strukturze zespołu ds. cyberbezpieczeństwa? O tym w dalszej części artykułu.

Po przedstawieniu tego, czym jest incydent bezpieczeństwa informacji i jakie kroki należy podjąć w sytuacji jego wystąpienia, warto wskazać dostępne na rynku usługi bezpieczeństwa, ułatwiające zarządzanie zdarzeniami czy chroniące przed ich wystąpieniem.

Netia w swojej ofercie z obszaru bezpieczeństwa posiada usługę Netia SOC (Security Operations Center), realizowaną przez zespół specjalistów o zróżnicowanych kompetencjach, zapewniający najwyższy poziom bezpieczeństwa dla organizacji. Security Operations Center Netii zajmuje się monitorowaniem przepływu informacji w Twojej firmie, reagowaniem na powstałe incydenty oraz ciągłym poszukiwaniem podatności w systemach w celu wdrożenia najlepszych rozwiązań, zapobiegających incydentom bezpieczeństwa.

Korzystanie z Netia SOC pomaga spełnić wymagania prawne ciążące na organizacjach działających w różnych sektorach gospodarki. Dotyczy to zarówno zgodności działań z dyrektywą RODO, KSC czy PCI DSS. Więcej informacji na temat działania Netia SOC znajduje się w dedykowanym artykule.

W ofercie Netii znajdują się inne rozwiązania wspierające bezpieczeństwo, w tym:

• Netia DDoS Protection, czyli system chroniący przed groźnymi w skutkach i kosztownymi atakami DDoS.


• Netia Phishing-On-Demand – kontrolowane ataki phishingowe, których zadaniem jest sprawdzenie czujności pracowników i sposobów ich reagowania na phishing,


• Netia Testy Podatności – testy wykonywane w celu wykrycia słabych stron firmowych systemów informatycznych.

W Netii znajdziesz rozwiązania bezpieczeństwa, zapewniające najwyższy poziom ochrony Twojej firmie. Masz pytania? Skontaktuj się z naszymi doradcami.