Część wyzwania została pokazana w pytaniu tutaj. Myślenie o dziedzictwie może skłonić nas do myślenia o tym reagowania na incydenty w sposób zorientowany na obwód; przygotowanie się do ataku nie uwzględnia ponad 80% incydentów związanych z bezpieczeństwem, które pochodzą od naszych własnych pracowników, a nie od ataków. Oznacza to, że brakuje nam największego możliwego zagrożenia dla naszych zasobów informacyjnych; dokumenty, pliki, dane, systemy i platformy.
Być może najlepszym sposobem na rozpoczęcie jest zaprzestanie myślenia o tym jak o planie reagowania na incydenty bezpieczeństwa i rozpoczęcie myślenia o tym jak o planie reagowania na incydenty informacyjne, tj. na każdy niewłaściwy lub nieuprawniony dostęp, ujawnienie, modyfikację lub zniszczenie zasób informacyjny. Mając nastawienie na bezpieczeństwo, zwykle koncentrujemy się na stracie, ponieważ to właśnie ona trafia na pierwsze strony gazet za każdym razem, gdy widzimy raport ICO, ale jeśli pomyślimy o informacjach jako całości, zobaczymy, że chodzi o coś więcej niż tylko o stratę. Jeśli pomyślisz o niedawnych incydentach, takich jak ten, który dotknął policję Irlandii Północnej (PSNI), nie był to cyberatak, było to niewłaściwe ujawnienie. Zobacz, jak poważna jest to sprawa. Jest to doskonały przykład tego, gdzie może pomóc plan na wypadek incydentów informacyjnych.
Dane wejściowe do napisania tych planów muszą pochodzić od firmy; ochrona danych, bezpieczeństwo fizyczne, IT, bezpieczeństwo informacji i zarządzanie ryzykiem. Porównaj ten proces z pisaniem pliku a plan odzyskiwania po awarii pozostawiony w sieci, który w przypadku katastrofy może być niedostępny, a nawet budynek, w którym się znajdował, również może być niedostępny. Jeśli nasze plany mają mieć jakikolwiek pozytywny wpływ, potrzebujemy znacznie szerszego myślenia.
Przyjrzyjmy się teraz twierdzeniu o „nieuniknionym ataku”. W rzeczywistości ataki nie są nieuniknione, ale błąd ludzki Jest. Jedyny sposób, w jaki atak jest nieunikniony, polega na tym, że wszyscy jesteśmy atakowani przez cały czas, a sposób, w jaki ataki kończą się sukcesem, jest na ogół błędem ludzkim. Oznacza to, że sposób, w jaki mówimy o cyberatakach i atakach z użyciem oprogramowania ransomware, wprowadza w błąd i odciąża ludzi, a nie tam, gdzie powinien. Większość tych „ataków” nie doprowadziłaby donikąd bez pomocy człowieka (zwykle niezłośliwej), jaką zapewniają, ale my skupiamy się prawie wyłącznie na „ataku”. Teraz jesteśmy gotowi napisać plan incydentu…
- Korzystanie z menedżerów ryzyka – sposób, w jaki reagujemy na incydent, musi być proporcjonalny do poziomu ryzyka związanego z incydentem. Tak więc jeden plan na wypadek incydentu nie może rządzić wszystkimi… w niektórych przypadkach masz na myśli potrzebę pełnego zespołu reagowania na incydenty, w tym dowództwa złota, srebra i brązu. W innych przypadkach można to potraktować w ramach zwykłej działalności.
- Czy posiadamy mechanizmy wykrywania i raportowania? Nie możemy zajmować się incydentem, o którym nic nie wiemy.
Następnym krokiem będzie powstrzymywanie.
- Potrzebujemy zaplanowanego, skoordynowanego i dobrze przećwiczonego zestawu procesów mających na celu powstrzymanie incydentu. Będą się one różnić w zależności od przyczyny zdarzenia. Czy był to na przykład błąd wewnętrzny? A może wydarzyło się to w naszym łańcuchu dostaw lub ekosystemie, a może rzeczywiście był to skoncentrowany i ukierunkowany atak na naszą organizację?
- Kto się angażuje i na jakim etapie powstrzymywania incydentu? Kierownictwo wyższego szczebla, ludzie techniczni, ludzie fizyczni. Kiedy zespoły ds. komunikacji muszą zostać zaalarmowane i zaangażowane oraz czy będą musiały komunikować się wewnętrznie, zewnętrznie, czy w obu przypadkach? Nie tylko zapisuj osoby zaangażowane w plan, ale porozmawiaj z nimi, powiedz im o tym i uzyskaj ich poparcie. Grupa ta będzie musiała być w stanie nawiązać współpracę oraz szybko i skutecznie współpracować. Zbierz ich razem, aby przy pierwszym spotkaniu nie było to ich pierwsze spotkanie i aby wiedzieli, czego się od nich oczekuje.
- Upewnij się, że informacje zebrane podczas zarządzania incydentem są same w sobie odpowiednio chronione. Nie chcesz nieumyślnie spowodować drugie naruszenie bezpieczeństwa danych.
- Upewnij się, że Twój plan reagowania na incydenty współpracuje z innymi zasadami. Zacznij od polityki dotyczącej incydentów informacyjnych, poparte planem i zintegruj ją z istniejącymi procesami i planami zarządzania incydentami. Oznacza to, że incydent informacyjny będzie zarządzany w taki sam sposób, w jaki postępowalibyśmy w przypadku każdego innego incydentu i będzie to spójne. Jeśli na przykład doszło do nikczemnej lub przestępczej działalności, twój plan gotowości kryminalistycznej musi dobrze z nim współpracować. Pozwoli to zachować integralność tego, co odkrywasz, bez narażania go na szwank, i jest dobrym przykładem tego, dlaczego Twój plan reagowania na informacje musi skutecznie łączyć się z innymi planami.
- Należy zarządzać bieżącą sprawozdawczością. Czy należy informować na bieżąco zainteresowane strony wyższego szczebla, inne organizacje i organy regulacyjne itp.? Należy to uwzględnić w planie.
- Incydenty informacyjne rzadko mają miejsce w dogodnych godzinach pracy, dlatego też plan awaryjny musi uwzględniać także ten plan.
Wchodzimy teraz w fazę ożywienia
- W tym miejscu widzimy, jak ważne jest powiązanie planowania na wypadek incydentów, np. planowania odporności i planowania ciągłości działania.
- Powinny zawierać wytyczne dotyczące komunikacji z agencjami zewnętrznymi, takimi jak NCSC, policyjne służby cyfrowe itp., które mogą być w stanie pomóc w kluczowych działaniach. Czy możemy na przykład sprawdzić w ciemnej sieci, czy nasze informacje tam trafiły? Byłoby to działanie regularne, a nie jednorazowe.
Teraz rozpoczyna się ciężka praca polegająca na analizie pierwotnej przyczyny, aby dowiedzieć się, co Właściwie poszło źle. Jeśli dochodzenie doprowadzi Cię aż do „błędu ludzkiego”, musisz szukać dalej, ponieważ to nie jest odpowiedź, odpowiedzią jest to, co spowodowało błąd ludzki. Jeśli okaże się, że przyczyną jest na przykład brak edukacji lub przeszkolenia, będzie to prawdziwa przyczyna.
Jaki był całkowity koszt posiadania zdarzenia? Nie chodzi tu tylko o to, co musiałeś zapłacić swojemu zespołowi PR, ale o pracę, która nie została wykonana w Twojej organizacji podczas procesu odkrywania, zarządzania i odzyskiwania danych po incydencie informacyjnym.
Jedną z najważniejszych rzeczy, o których nie można zapomnieć, jest posiadanie dobrego mechanizmu zgłaszania sytuacji, w których doszło do zdarzenia potencjalnie wypadkowego. Kiedy coś mogło pójść nie tak, ale tak się nie stało… tym razem. Czego może Cię nauczyć o lukach w zabezpieczeniach i możliwościach, które można wykorzystać lub przypadkowo wykorzystać. Niezbędna jest do tego kultura nie obwiniania się, tak aby ludzie czuli się upoważnieni do zgłaszania rzeczy, które albo nie wydają się właściwe, albo mogły pójść strasznie źle. To silna obrona, która aktywuje ludzi we właściwy sposób.
