Bevezetés

Kinek szól ez a kézikönyv?

Ez a kézikönyv egy egyszerű célt szem előtt tartva íródott: hogy segítsen civil társadalmi szervezetének egy érthető és megvalósítható kiberbiztonsági tervet kidolgozni. Ahogy a világ egyre inkább az internetre költözik, a kiberbiztonság nemcsak divatszó, hanem kritikus fogalom a szervezet sikere és a csapat biztonsága szempontjából. Különösen a demokrácia, az érdekképviselet, az elszámoltathatóság és az emberi jogi területek civil társadalmi szervezetei számára az információbiztonság (online és azon kívül is) olyan kihívás, amely összpontosítást, befektetést és éberséget igényel.

Szervezete valószínűleg – ha még nem tette – kiberbiztonsági támadás célpontjává válik. Ennek nem célja riasztónak lenni; ez még olyan szervezetek számára is valóság, amelyek nem tekintik magukat konkrét célpontnak.

Egy átlagos évben a Stratégiai és Nemzetközi Tanulmányok Központja, amely folyamatosan vezeti az általuk „jelentős kiberincidensek” elnevezésű listát, több száz súlyos kibertámadást katalogizál, amelyek közül sok egyszerre több tucat, ha nem több száz szervezetet céloz meg. Az ilyen bejelentett támadásokon kívül minden évben valószínűleg több száz kisebb támadásra is sor kerül, amelyek észrevétlenül vagy bejelentés nélkül maradnak, sok a demokrácia, az elszámoltathatóság és az emberi jogok támogatásán dolgozó civil társadalmi szervezetek ellen irányul. A nőket vagy más marginalizált csoportokat képviselő szervezetek gyakran különösen célpontok.

Az ehhez hasonló kibertámadásoknak jelentős következményei vannak. Függetlenül attól, hogy a céljuk az Ön pénzének elvétele, hangjának elnyomása, szervezeti működésének megzavarása, jó hírnevének rontása vagy akár olyan információk ellopása, amelyek pszichológiai vagy fizikai károsodáshoz vezethetnek partnerei vagy munkatársai számára, az ilyen fenyegetéseket komolyan kell venni.

A jó dolog az, hogy nem kell kódolónak vagy technológusnak lenni ahhoz, hogy megvédje magát és szervezetét a gyakori fenyegetésekkel szemben. De fel kell készülnie arra, hogy némi erőfeszítést, energiát és időt fektessen egy erős szervezeti biztonsági terv kidolgozására és végrehajtására. 

Ha még soha nem gondolt a kiberbiztonságra a szervezetében, nem volt ideje rá koncentrálni, vagy ismer néhány alapvető dolgot a témával kapcsolatban, de úgy gondolja, hogy szervezete javíthatja kiberbiztonságát, akkor ez a kézikönyv Önnek szól. Függetlenül attól, hogy honnan érkezik, ennek a kézikönyvnek az a célja, hogy megadja szervezetének azokat az alapvető információkat, amelyekre egy erős biztonsági terv kidolgozásához szüksége van. Egy terv, amely túlmutat a szavak papírra vetettén, és lehetővé teszi a bevált gyakorlatok megvalósítását.


Mi az a biztonsági terv, és miért kell a szervezetemnek rendelkeznie vele?

A biztonsági terv olyan írott szabályzatok, eljárások és utasítások összessége, amelyekben a szervezet megállapodott, hogy elérje azt a biztonsági szintet, amelyet Ön és csapata megfelelőnek tart az emberek, partnerek és információk biztonságának megőrzéséhez.

Egy jól kidolgozott és frissített szervezeti biztonsági terv biztonságban tarthatja és hatékonyabbá teheti azáltal, hogy nyugalmat biztosít a szervezete fontos napi munkájára való összpontosításhoz. Átfogó terv átgondolása nélkül nagyon könnyű vaknak lenni bizonyos típusú fenyegetésekkel szemben, túlságosan egy kockázatra összpontosítva vagy figyelmen kívül hagyva a kiberbiztonságot, amíg válság nem következik be.

Amikor elkezdi a biztonsági terv kidolgozását, fel kell tennie magának néhány fontos kérdést, amelyek egy kockázatértékelésnek nevezett folyamatot alkotnak. A kérdések megválaszolása segít a szervezetnek megérteni azokat az egyedi fenyegetéseket, amelyekkel szembesül, és lehetővé teszi, hogy visszalépjen, és átfogóan átgondolja, mit kell megvédenie, és kitől kell megvédenie azt. A képzett értékelők, akiket olyan rendszerekkel támogatnak, mint az Interjúk SAFETAG auditálási keretrendszere, segíthetnek átvezetni a szervezetet egy ilyen folyamaton. Ha ilyen szintű szakmai tudáshoz jut hozzá, akkor megéri, de még ha nem is tud teljes körű felmérésen részt venni, akkor is érdemes megbeszélnie a szervezetével, hogy átgondolják ezeket a kulcsfontosságú kérdéseket:

1

Milyen eszközökkel rendelkezik a szervezete, és mit szeretne megvédeni? 

Ezekre a kérdésekre válaszolhat úgy, hogy létrehoz egy katalógust a szervezet összes eszközéről. Az olyan információk, mint az üzenetek, e-mailek, névjegyek, dokumentumok, naptárak és helyek, mind lehetséges eszközök. A telefonok, számítógépek és egyéb berendezések lehetnek eszközök. Az emberek és a kapcsolatok is értéket jelenthetnek. Készítsen listát az eszközökről, és próbálja katalogizálni azokat a szervezet számára fontosságuk, a tárolási helyük (esetleg több digitális vagy fizikai hely) szerint, és mi akadályozza meg, hogy mások hozzáférjenek, károsítsák vagy megzavarják őket. Ne feledje, hogy nem minden egyformán fontos. Ha a szervezet egyes adatai nyilvánosak, vagy olyan információk, amelyeket egyébként is közzétesz, akkor ezek nem titkok, amelyeket meg kell védenie. 

2

Kik az ellenfelei, és mik a képességeik és motivációik?

Az „ellenfél” a szervezeti biztonságban általánosan használt kifejezés. Egyszerűen fogalmazva, az ellenfelek azok a szereplők (egyének vagy csoportok), akik érdekeltek abban, hogy megcélozzák az Ön szervezetét, megzavarják a munkáját, és hozzáférjenek az Ön információihoz vagy megsemmisítsék őket: a rosszfiúk. A lehetséges ellenfelek közé tartoznak például a pénzügyi csalók, versenytársak, helyi vagy nemzeti hatóságok vagy kormányok, vagy ideológiai vagy politikai indíttatású hackerek. Fontos, hogy listát készítsen az ellenfeleiről, és kritikusan gondolja át, kik akarnak negatívan hatni szervezetére és munkatársaira. Bár könnyű elképzelni a külső szereplőket (például egy külföldi kormányt vagy egy adott politikai csoportot) ellenfélként, ne feledje, hogy az ellenfelek lehetnek olyan emberek, akiket Ön ismer, például elégedetlen alkalmazottak, volt alkalmazottak, nem támogató családtagok vagy partnerek. A különböző ellenfelek különböző fenyegetéseket jelentenek, és eltérő erőforrásokkal és képességekkel rendelkeznek ahhoz, hogy megzavarják a műveleteket, és hozzáférjenek az Ön adataihoz vagy megsemmisítsék azokat. Például a kormányok gyakran sok pénzzel és hatalmas befolyással rendelkeznek, beleértve az internet leállítását vagy a drága megfigyelési technológia használatát; a mobilhálózatok és az internetszolgáltatók valószínűleg hozzáférnek a hívási adataihoz és a böngészési előzményekhez; A nyilvános Wi-Fi hálózatokon képzett hackerek képesek a rosszul biztosított kommunikáció vagy pénzügyi tranzakciók lehallgatására. Akár saját maga ellenfele is lehet, ha például véletlenül töröl fontos fájlokat, vagy nem a megfelelő személynek küld privát üzenetet.

Az ellenfelek motívumai a képességeik, érdeklődési körük és stratégiáik függvényében valószínűleg különböznek. Érdekeltek a szervezet diszkreditálásában? Talán szándékukban áll elhallgatni az üzenetét? Vagy talán versenytársnak tekintik az Ön szervezetét, és előnyt akarnak szerezni? Fontos megérteni az ellenfél motivációját, mert ezzel segíthet a szervezetnek jobban felmérni az általa jelentett veszélyeket.

3

Milyen fenyegetésekkel néz szembe a szervezete? És mennyire valószínűek és nagy hatásúak?

Ahogy azonosítja a lehetséges fenyegetéseket, valószínűleg hosszú listára bukkan, amely elsöprő lehet. Előfordulhat, hogy úgy érzi, minden erőfeszítés értelmetlen lenne, vagy nem tudja, hol kezdje. Annak érdekében, hogy szervezete képessé váljon a következő produktív lépések megtételére, hasznos az egyes fenyegetéseket két tényező alapján elemezni: a fenyegetés bekövetkezésének valószínűsége; és a hatás, ha igen.

A fenyegetés valószínűségének mérésére (például „Alacsony, Közepes vagy Magas” annak alapján, hogy egy adott esemény nem valószínű, megtörténhet-e vagy gyakran megtörténik) felhasználhatja az ellenfelei kapacitásáról és motivációjáról ismert információkat, a múltbeli biztonsági incidensek elemzését, más hasonló szervezetek tapasztalatait, és természetesen a szervezete által bevezetett meglévő mérséklő stratégiák jelenlétét.

A fenyegetés hatásának méréséhez gondoljon arra, hogyan nézne ki a világa, ha a fenyegetés valóban megtörténne. Tegyen fel olyan kérdéseket, mint „hogyan ártott a fenyegetés nekünk, mint szervezetnek és az embereknek fizikailag és lelkileg?”, „milyen hosszan tartó a hatása?”, „teremt-e ez más káros helyzeteket?” és „hogyan hátráltat abban, hogy képesek legyünk elérni szervezeti céljainkat most és a jövőben?” Amikor válaszol ezekre a kérdésekre, gondolja át, hogy a fenyegetés alacsony, közepes vagy nagy hatású.

Hogy segítsen kezelni ezt a kockázatelemzést, fontolja meg egy munkalapot, mint ez által kifejlesztett az Electronic Frontier Foundation. Ne feledje, hogy a folyamat részeként kidolgozott információk (például az ellenfelek listája és az általuk jelentett fenyegetések) maguk is érzékenyek lehetnek. Ezért fontos, hogy biztonságban legyenek.

Miután a fenyegetéseket valószínűség és hatás szerint kategorizálta, elkezdhet egy megalapozottabb cselekvési tervet készíteni. ÉS amelyeknek jelentős negatív hatásai lesznek, ott a korlátozott erőforrásait a lehető leghatékonyabb és legeredményesebb módon fogja átirányítani. Az Ön célja mindig az, hogy a lehető legtöbb kockázatot csökkentse, de senki – sem a világ legjobb forrásaival rendelkező kormánya vagy vállalata – soha nem tudja teljesen kiküszöbölni a kockázatot. És ez így van rendjén: sokat tehet önmaga, kollégái és szervezete védelmében, ha gondoskodik a legnagyobb veszélyekről.

Készítsen biztonsági tervet