Témák

Mi a teendő, ha a dolgok rosszul mennek

Reagálás az eseményekre

Tehát tudja, mit kell tennie. Bevezette az irányelveket, és a szervezetben mindenkit kioktatott a legjobb gyakorlatokra. Még ennyi kemény munka mellett is nagyon valószínű, hogy valami végül rosszul sül el. Történnek dolgok. Ilyenkor elengedhetetlen, hogy rendelkezzünk egy incidens-elhárítási tervvel. Az incidensre adott válasz kulcsfontosságú, és gyakran alulértékelt része a szervezet biztonsági tervének, mert ez lehet a különbség aközött, hogy egy támadás tönkreteszi a szervezet hírnevét, vagy egy kellemetlen zökkenő az úton.

Ne feledje, hogy csak akkor tud reagálni egy eseményre, ha tud róla. Nagyon fontos az erős szervezeti biztonsági kultúra megléte és a személyzet ösztönzése a problémák bejelentésére. Ez az oka annak, hogy jobb megjutalmazni a helyes biztonsági magatartást, mint büntetni a biztonsági hibákat. Szintén fontos az empátia kifejezése és a személyzet jóllétének ellenőrzése, amikor incidenst jelentenek. Azt szeretné, ha az alkalmazottak azonnal jelentenék az adathalász üzenetben szereplő linkre való kattintást, egy ellopott telefont vagy egy feltört közösségi média fiókot – és ne féljenek a megtorlástól, vagy a támogatás hiányától. Végtére is az incidensekre való reagálás, csakúgy, mint a Kézikönyv más részeiben említett mérséklési stratégiák, az egész szervezetre kiterjedő erőfeszítés.

Szóval mire kell terveznie? Röviden, bármire, ami némileg valószínűsíthető. Ez minden szervezetnél másként fog kinézni, de a gyakori kérdések, amelyeket az incidensre adott választerv segít megválaszolni, a következők:

  • Mit tegyünk, ha fiókjainkat vagy weboldalainkat feltörik?
  • Mit tegyünk, ha valaki egy adathalász e-mailre kattint, vagy ha egy eszköz gyanúsan viselkedik?
  • Mit tegyünk, ha e-mailjeinket vagy legérzékenyebb dokumentumainkat ellopják és kiszivárogtatják?
  • Mit tegyünk, ha egyik alkalmazottunkat fizikai veszélybe sodorják vagy letartóztatják? Vagy ha stresszesek és szorongással küzdenek az ilyen fenyegetések miatt?
  • Mit tegyünk, ha tűz, árvíz vagy természeti katasztrófa következtében megsérül az irodánk?
  • Mit tegyünk, ha egy alkalmazott számítógépe vagy telefonja elveszett vagy ellopták?

Az ezekre és a többi kérdésre adott válaszok szervezetenként eltérőek, de fontos, hogy ezeket együtt gondoljuk végig, és világosan megfogalmazzuk és megosszuk a tervet, hogy szervezetében mindenki készen álljon azonnali lépésekre a károk korlátozása érdekében.

A Tactical Tech Holistic Security Guide című dokumentumából kölcsönözve jó kiindulópont az incidensreagálási terv elkészítéséhez, ha meghatároz egy eseményt vagy vészhelyzetet a szervezet kontextusában. Döntse el, hogy mi a „vészhelyzet” – vagyis az a pont, ahol el kell kezdenünk a tervezett cselekvések és vészhelyzeti intézkedések végrehajtását. Ez azért fontos, mert néha nem egyértelmű – ha elképzel egy olyan forgatókönyvet, mint a kapcsolat elvesztése egy helyszíni küldetésben lévő kollégájával; meddig várna a vészhelyzet kihirdetésével? Nem akarunk túl korán ugrani, de a túl hosszú várakozás bizonyos körülmények között katasztrofális lehet. 

Szintén fontos végiggondolni aműveleti lépéseket. Rendeljen hozzá minden személyhez egy világos szerepet, amellyel tisztában van, és amelyben előzetesen megállapodott – ez csökkenti a szervezetlenséget és a pánikot egy incidens esetén. Minden egyes fenyegetés esetén vegye figyelembe a különböző szerepeket, amelyeket esetleg fel kell töltenie, és a vészhelyzetre való reagálás gyakorlati szempontjait. Ezen a vészhelyzetekre vonatkozó fontos stratégián belül egy támogató hálózat aktiválása szerepel – a szövetségesek széles hálózata, amely magában foglalhat barátokat és családot, közösséget, helyi szövetségeseket, kormányzati forrásokat és nemzeti vagy nemzetközi szövetségeseket, például civil szervezeteket és újságírókat. Hogyan támogathatják a szövetségesei? Előzetesen fel kell vennie velük a kapcsolatot, hogy megbizonyosodjon arról, hogy készek lesznek-e segíteni vészhelyzetben, és tudassa velük, mit vár el tőlük.

Egy eseményre való reagálás során a hatékony kommunikáció egyre fontosabbá válik. Döntse el, hogy az egyes szereplőkkel való kommunikációnak melyik a legbiztonságosabb és leghatékonyabb módja a különböző forgatókönyvekben, és határozzon meg egy tartalék eszközt is. Legyen tudatában annak, hogy vészhelyzet esetén hasznos lehet egyértelmű iránymutatás arra vonatkozóan, hogy mit (és mit ne) kommunikáljunk, mikor kommunikáljunk, milyen csatornákat használjunk a kommunikációhoz, és kivel kommunikáljunk. Vegye figyelembe azt is, hogy egy incidens milyen hatással van a szervezetére gyakorolt hírnévre, és készüljön fel a megfelelő reagálásra. Győződjön meg arról, hogy a szervezet kommunikációs vezetője (egyes szervezetekben csak az lehet, aki a Facebook-oldalt vagy a Twitter-fiókot kezeli) tisztában van az incidenssel, és figyelheti a közösségi médiát vagy más médiát a lehetséges hatások miatt. Fel kell készülnie arra is, hogy adott esetben nyilvános, vagy médiamegkereséseket tegyen egy incidenssel kapcsolatban. Ez különösen fontos az esetleges negatív történetek vagy a hírnévkárosodás megelőzéséhez. Bár minden incidens és kontextus más és más, az őszinte és átlátható kommunikáció gyakran segít a bizalom kiépítésében az incidensek következményeivel kapcsolatban.

Korai riasztási és reagálási rendszer létrehozása

Fontolja meg egy korai riasztási és válaszlépési rendszer létrehozását. Egy ilyen rendszer furcsán hangzik, de lényegében csak egy központi (elektronikus vagy egyéb) dokumentum, amelyet vészhelyzet esetén megnyitnak. A dokumentumban rögzítenie kell minden részletet a biztonsági mutatókról és a bekövetkezett incidensekről egy idővonalon, világosan le kell írnia a tervezett válaszlépéseket és azok sorrendjét, és jeleznie kell, mit kell elérni annak jelzéséhez, hogy a fennálló kockázat ismét csökkent. Tartalmaznia kell az incidens után végrehajtandó intézkedéseket is, hogy megvédje az érintetteket a további sérülésektől, és segítse őket a fizikai és érzelmi felépülésükben. A korai riasztási és reagálási rendszer hasznos dokumentációt nyújthat a bűnüldöző szervekkel való megosztáshoz (ha van), a történtek későbbi elemzéséhez, valamint útmutatást nyújthat a megelőzési taktikák és a fenyegetésekre adott válaszok javításához a jövőben.

Ezeken a fontos incidensreakciókon kívül szervezetének minden konkrét technikai válaszra is fel kell készülnie. Egyes esetekben a technikai választ belső informatikai személyzet vagy rendszergazdák kezelhetik. Ha például úgy tűnik, hogy egy e-mail fiókot feltörtek, a fiókrendszergazdának fel kell készülnie, és képesnek kell lennie az érintett fiók leállítására vagy letiltására. Egyes technikai események azonban olyan szakértelmet igényelhetnek, amellyel a szervezeten belül nem rendelkeznek. Az ehhez hasonló helyzetekben fontos, hogy azonosítsa a külső műszaki szakértők megbízható listáját, akik segíthetnek az incidensek megoldásában. Egyes esetekben érdemes előzetesen megtárgyalni a feltételeket a szolgáltatókkal (például a webhelygazda vagy egy informatikai tanácsadó) annak biztosítása érdekében, hogy elérhetőek legyenek (és ne számítsanak fel külön díjat) az ilyen technikai incidensek kezelésére.

Végül, de nem utolsósorban érdemes megfontolni a jogi lépéseket. Fontos megérteni az esetleges jogi védelmeket, valamint azokat a jogi kötelezettségeket vagy következményeket, amelyekkel a szervezetnek szembe kell néznie egy adatvédelmi incidens vagy más biztonsági incidens következtében. Az első lépés az lehet, hogy olyan megbízható jogi tanácsadót keresünk, aki ismeri az Ön országa vagy települése sajátos törvényeit és előírásait. Szánjon egy kis időt a lehetséges incidensek áttekintésére ezzel a személlyel, és készítsen egy tervet arra vonatkozóan, hogy mit tenne válaszul. Célszerű megállapodni ezzel a megbízható tanácsadóval, aki szükség esetén egy incidens után is képviseli Önt és érdekeit. A jogi előkészítés részeként győződjön meg arról, hogy megértette a szállítók vagy partnerek jogi kötelezettségeit. Saját adatvédelmi incidens esetén kötelesek értesíteni Önt? Adott esetben milyen támogatásra van szükségük incidens esetén? A külső szállítókkal kötött szerződések és megállapodások kidolgozása során tartsa szem előtt az adatszivárgás vagy egyéb incidens lehetőségét.  

Noha az incidensek megoldására nincs mindenkire érvényes megközelítés, elengedhetetlen a világos működési, kommunikációs, műszaki és jogi tervek megalkotása. Az incidens-elhárítási terv összeállítása során határozottan javasoljuk, hogy használjon néhány kiváló meglévő erőforrást, amelyek célja, hogy segítsék a civil társadalmi szervezeteket és más magas kockázatú csoportokat az incidensekre adott válaszlépésben. E források közé tartozik a RaReNet és a CiviCERT által kifejlesztett Digital First Aid Kit, a PEN America Online Harassment Field Manual, a Belfer Center Cybersecurity Campaign Playbook és a Cyber Incident Communications Plan Template, és elérheti a Now digitális biztonsági segélyvonalát is.

Incidens-elhárítás

  • Dolgozzon ki egy szervezeti incidens-elhárítási tervet, és gyakorolja azt.
    • Gondolja át a lehetséges eseményeket, és készüljön fel a válaszlépésre, mielőtt az megtörténik.
  • Győződjön meg arról, hogy a szervezetben mindenki tisztában van azzal, hogyan fog kommunikálni, és milyen műszaki lépéseket kell tenni egy incidens esetén.
  • Szánjon időt arra, hogy megértse a jogi védelmét és kötelezettségeit.
  • Álljon készen arra, hogy a szervezeti személyzet számára megfelelő érzelmi és szociális támogatást nyújt majd egy incidens után.