შესავალი

ვისთვისაა გამიზნული წინამდებარე „სახელმძღვანელო“?

წინამდებარე „სახელმძღვანელო“ დაიწერა მარტივი მიზნით: დახმარებოდა თქვენს სამოქალაქო საზოგადოებრივ ორგანიზაციას კიბერუსაფრთხოების გასაგები და რეალიზებადი გეგმის სემუშავებაში. რამდენადაც მსოფლიო სულ უფრო გადადის ონლიან რეჟიმში, კიბერუსფრთხოება აღარაა მხოლოდ მოდური ტერმინი, არამედ წარმოადგენს გადამწყვეტ კონცეფციას ორგანიზაციის წარმატების და მისი გუნდის უსაფრთხოებისათვის. კერძოდ, სამოქალაქო საზოგადოებრივი ორგანიზაციებისათვის, დემოკრატიის, ინტერესების დაცვის, ანგარიშვალდებულების და ადამიანის უფლებების სფეროებში, ინფორმაციის (როგორც ონლაინ, ისე პირიქით) უსაფრთხოება იქცა გამოწვევად, რომელიც ყურადღებას, ინვესტიციას და სიფხიზლეს საჭიროებს.

სავარაუდოდ, თქვენი ორგანიზაცია შეიქნება - თუ უკვე არ შეიქნა – კიბერუსაფრთხოებაზე შეტევის სამიზნე. ეს არაა პანიკიორობა; ეს რეალობაა იმ ორგანიზაციებისათვისაც კი, რომლებიც არ მიიჩნევს თავს კონკრეტულ სამიზნედ.

წლიურად, საშუალოდ, Center for Strategic and International Studies-ი, რომელიც აწარმოებს შევსებად სიას და რომელსაც ისინი „მნიშვნელოვან კიბერ-ინციდენტებს“ უწოდებენ, აღრიცხავს ასობით სერიოზულ კიბერ-შეტევას, რომელთაგან მრავალი მიზნად ისახავს ერთბაშად ათობით თუ არა ასობით ორგანიზაციას. გარდა ხსენებული აღრიცხული შეტევებისა, ყოველწლიურად, სავარაუდოდ, ადგილის აქვს ასობით მცირე შეტევას, რომლებიც არ აღირიცხება ან ეცნობება და მრავალი მიზნად ისახავს სამოქალაქო საზოგადოებრივი ორგანიზაციებს, რომლებიც მუშაობს დემოკრატიის, ანგარიშვალდებულების და ადამიანის უფლებების მხარდაჭერის საკითხებზე. ხშირად სამიზეს წარმოადგენს ქალების ან სხვა მარგინალიზებული ჯგუფების წარმომადგენელი კონკრეტული ორგანიზაციები.

აღნიშნულის მსგავს კიბერ-შეტევებს გააჩნია მნიშვნელოვანი შედეგები. მიუხედავად იმისა, არის თუ არა მათი მიზანი თქვენი ფულის დაუფლება, თქვენი ხმის ჩახშობა, თქვენი ორგანიზაციის საქმიანობის შეფერხება, თქვენი რეპუტაციის დაზიანება ან თუნდაც ინფორმაციის მოპარვა, რამაც შესაძლოა გამოიწვიოს თქვენი პარტნიორების თუ პერსონალის ფსიქოლოგიური ან ფიზიკური დაზიანება, აუცილებელია ხსენებული საფრთხეების სერიოზულად აღქმა.

კარგი ისაა, რომ თქვენი და თქვენი ორგანიზაციის საყოველთაო საფრთხეებისაგან დასაცავად არაა საჭირო იქცეთ პროგრამისტად ან ტექნოლოგად. თუმცა, მყარი ორგანიზაციული უსაფრთხოების გეგმის შემუშავების და რეალიზაციისას მზად უნდა იყოთ საინვესტიციო, ენერგიის და დროის ხარჯისათვის. 

თუ არასდროს გიფიქრიათ კიბერუსაფრთხოებაზე თქვენს ორგანიზაციაში ან არ გქონდათ დრო მისთვის ყურადღების დასათმობად თუ საკითხის ზოგიერთი საფუძვლის შესასწავლად, მაგრამ ფიქრობთ, რომ თქვენს ორგანიზაციას შეუძლია კიბერუსაფრთხოების დონის ამაღლება, წინამდებარე „სახელმძღვანელო“ თქვენთვისაა. მიუხედავად საფუძვლისა, წინამდებარე „სახელმძღვანელოს“ მიზანია მიაწოდოს თქვენს ორგანიზაციას უსაფრთხოების მყარი გეგმის გასამართად მისთვის აუცილებელი მნიშვნელოვანი ინფორმაცია. გეგმა, რომელიც არ არის უბრალოდ სიტყვების ქაღალდზე დაწერა და გაძლევთ საშუალებას რეალურად აამუშაოთ აღიარებული მეთოდიკა.


რა არის უსაფრთხოების გეგმა და რატომ უნდა ჰქონდეს ის ჩემს ორგანიზაციას?

უსაფრთხოების გეგმა წარმოადგენს იმ წერილობითი პოლიტიკების, პროცედურების და მითითებების კრებულს, რომლებზე შეთანხმდა თქვენი ორგანიზაცია უსაფრთხოების იმ დონის მისაღწევად, რომელიც თქვენ და თქვენს გუნდს მიაჩნია შესაფერისად თქვენი ხალხის, პარტნიორების და ინფორმაციის უსაფრთხოებისათვის.

კარგად შედგენილი და განახლებული ორგანიზაციული უსაფრთხოების გეგმა უზრუნველყოფს თქვენს უსაფრთხოებას და ეფექტურობის ამაღლებას თქვენს გონებაში სიმშვიდის დამყარებით, რაც აუცილებელია თქვენი ორგანიზაციის მნიშვნელოვან ყოველდღიურ საქმიანობაზე კონცენტრაციისათვის. ამომწურავი გეგმის გარეშე ფიქრის პროცესში, მეტად მარტივია ვერ ხედავდეთ ზოგიერთი ტიპის საფრთხეს და ზედმეტი ყურადღება დაუთმოთ ერთ რისკს ან არ მიქაციოთ ყურდღება კიბერუსაფრთხოებას მანამ, სანამ არ დადგება კრიზისი.

უსაფრთხოების გეგმის შემუშავების დაწყებისას საკუთარ თავს უნდა დაუსვათ რამდენიმე მნიშვნელოვანი კითხვა, რასაც რისკების შეფასება ეწოდება. ხსენებულ კითხვებზე პასუხის გაცემა დაეხმარება თქვენს ორგანიზაციას აღიქვას თქვენს წინაშე არსებული უნიკალური საფრთხეები და საშუალებას მოგცემთ შეჩერდეთ და ყოველმხრივ დაფიქრდეთ, თუ რა გჭირდებათ დაცვისათვის და ვისგან საჭიროებთ დაცვას. ტრენირებულ შემფასებლებს, სტრუქტურის შემმოწმებელი „ინტერნიუსის“ SAFETAG-ის მსგავსი სისტემების გამოყენებით, გააჩნიათ უნარი დაეხმრონ თქვენს ორგანიზაციას ხსენებული პროცესის გავლაში. თუ შეგიძლიათ მიიღოთ წვდომა ამ დონის პროფესიულ ექსპერტებზე, ეს მართლაც ღირს, მაგრამ სრული შეფასების გარეშეც უნდა შეხვდეთ თქვენს ორგანიზაციას, რათა ღრმააზროვნად განიხილოთ ხსენებული საკვანძო კითხვები:

1

რა აქტივები გააჩნია თქვენს ორგანიზაციას და რა გსურთ დაიცვათ? 

შეგიძლიათ დაიწყოთ ამ კითხვებზე პასუხის გაცემა თქვენის ორგანიზაციის ყველა აქტივის კატალოგის შექმნით. ინფორმაცია, როგორიცაა შეტყობინებები, ელ-ფოსტა, კონტაქტები, დოკუმენტები, კალენდრები და ლოკაციები, ყველა წარმოადგენს შესაძლო აქტივს. აქტივი შესაძლოა იყო ტელეფონები, კომპიუტერები და სხვა მოწყობილობები. ასევე შესაძლოა აქტივი იყო ადამიანები, კავშირები და ურთიერთობებიც. შეადგინეთ თქვენი აქტივების სია და სცადეთ მოახდინოთ მათი კატალოგიზება ორგანიზაციისათვის მნიშვნელობის მიზედვით; აქ შეინახავთ მათ (სავარაუდოდ, რამდენიმე ციფრულ ან ფიზიკურ ადგილზე), ეს კი საშუალებას არ მისცემს სხვებს იქონიონ მათზე წვდომა და დააზიანონ ან აურიონ ისინი. გახსოვდეთ, რომ ყველაფერი თანაბრად მნიშვნელოვანი არაა. თუ ორგანიზაციის ზოგიერთი მონაცემი საჯაროა ან წარმოადგენს თქვენს მიერ უკვე გამოქვეყნებულ ინფორმაციას, ის არაა საიდუმლო, რომლის დაცვაც გესაჭიროებათ. 

2

ვინ არიან თქვენი კონკურენტები და რა შესაძლებლობები და მოტივაცია გააჩნია მათ?

„მეტოქე“ არის ტერმინი, რომელიც საყოველთაოდ გამოიყენება ორგანიზაციულ უსაფრთხოებაში. მარტივად რომ ვთქვათ, მეტოქეები არის ის მოქმედი პირები (ფიზიკური პირები ან ჯგუფები), რომლებიც დაინტერესებულნი არიან თქვენი ორგანიზაციაზე შეტევაში, თქვენი სამუშაოს შეფერხებაში და თქვენს ინფორმაციაზე წვდომაში ან მის განადგურებასი: ცუდი ბიჭები. პოტენციური მეტოქეები მაგალითები შესაძლოა მოიცავდეს ფინანსურ თაღლითებს, კონკურენტებს, ადგილობრივი თუ ეროვნული დონის უწყებებს თუ მთავრობებს ან იდეოლოგიურად თუ პოლიტიკურად მოტივირებულ ჰაკერებს. მნიშვნელოვანია შეადგინოთ თქვენი მეტოქეების სია და კრიტიკულად შეაფასოთ ვის შესაძლოა სურდეს თქვენს ორგანიზაციაზე და პერსონალზე ნეგატიური გავლენის მოხდენა. გარე მოქმედი პირების (მაგალითად, უცხოური მთავრობა ან კონკრეტული პოლიტიკური ჯგუფი) მეტოქეებად წარმოდგენა მარტივია, მაგრამ ასევე გახსოვდეთ, რომ მეტოქე შესაძლოა იყოს თქვენი ნაცნობიც, როგორიცაა უკმაყოფილო თანამშრომელი, პერსონალის ყოფილი წევრი და გაუტანელი ოჯახის წევრი ან პარტნიორი. სხვადასხვა მეტოქეები სხვადასხვა საფრთხეებს ქმნიან და სხვადასხვა რესურსები და შესაძლებლობები გააჩნიათ თქვენი საქმიანობის შესაფერხებლად და თქვენს ინფორმაციაზე წვდომის მოსაპოვებლად ან მის გასანადგურებლად. მაგალითდ, მთავრობებს ხშირად ბევრი ფული და მძლავრი შესაძლებლობები აქვთ ინტერნეტის გამორთვის თუ ძვირადღირებული სათვალთვალო ტექნოლოგიების ჩათვლით; მობილურ ქელებს და ინტერნეტ-პროვაიდერებს სავარაუდოდ გააჩნიათ წვდომა ზარების ჩანაწერებზე და ბრაუზინგის ისტორიებზე; კვალიფიციურ ჰაკერებს შეუძლიათ ჩაერთონ საჯარო Wi-Fi ქსელებში სუსტად დაცულ კომუნიკაციებში ან ფინანსურ ტრანზაქციებში. შესაძლოა თქვენს საკუთარ მეტოქედაც კი იქცეთ, მაგალითად, მნიშვნელოვანი ფაილების შემთხვევით წაშლით ან პრივატული შეტყობინებების არადანიშნულებისამებრ გაგზავნით.

მეტოქეების მოტივები, სავარაუდოდ, განსხვავდება მათი შესაძლებლობის, ინტერესების და სტრატეგიის მიხედვით. არიან ისინი დაინტერესებული თქვენი ორგანიზაციის დისკრედიტაციით? იქნებ მათი განზღახვაა ჩაახშონ თქვენი შეტყობინებები? ან იქნებ ისინი განიხილავენ თქვენს ორგანიზაციას კონკურენტად და სურთ მოიპოვონ უპირატესობა? მნიშვნელოვანია გავიგოთ მეტოქის მოტივაცია, რადგან ეს შესაძლოა დაეხმაროს თქვენს ორგანიზაციას უკეთ შეაფასოს საფრთხეები, რომლებიც შესაძლოა წარმოქმნას მან.

3

რა საფრთხეები ემუქრება თქვენს ორგანიზაციას? და რამდენად რეალური და გავლენიანია ისინი?

შესაძლოა საფრთხეების იდენტიფიკაციის შემდეგ, სავარაუდოდ, გექნებათ გრძელი სია, რომელიც შესაძლოა დაუძლეველი აღმოჩნდეს. შესაძლოა იგრძნოთ, რომ ნებისმიერ ძალისხმევა უსაგნოა ან არ იცოდეთ საიდან დაიწყოთ. თქვენი ორგანიზაციის მიერ შემდგომი პროდუქტიული ნაბიჯების გადასადგმელად ძალების მოკრებაში დახმარების მიზნით სასარგებლოა აწარმოოთ თითოეული საფრთხი ანალიზი გამომდინარე ორი ფაქტორიდან: ალბათობა, რომ საფრთხე წარმოიშობა და მისი გავლენა წარმოშობის შემთხვევაში.

საფრთხის ალბათობის გასაზომად (სავარაუდოდ „დაბალი, საშუალო ან მაღალი“ იმის და მიხედვით, რომ მოცემული შემთხვევა ნაკლებად სავარაუდოა მოხდეს, შესაძლოა მოხდეს ან ხდება ხშირად), შეგიძლიათ გამოიყენოთ მეტოქეების შესაძლებლობებზე თქვენთვის ცნობილი ინფორმაცია, უსაფრთხოების წარსული ინციდენტების ანალიზი, სხვა მსგავსი ორგანიზაციების გამოცდილება და, რა თქმა უნდა, თქვენი ორგანიზაციის მიერ მანამდე დანერგილი შერბილების რაიმე სტრატეგიის არსებობა.

საფრთხის გავლენის გასაზომად დაფიქრდით როგორი იქნებოდა თქვენი სამყარო საფრთხის რეალურად წარმოშობის შემთხვევაში. დასვით კითხვები, როგორიცაა „როგორ დაგვაზიანა საფრთხემ, როგორც ორგანიზაცია და როგორც ხალხი, ფიზიკურად და მენტალურად?“, „ რამდენად გრძელვადიანი იყო ეფექტი?“, „წარმოშობს ეს სხვა საზიანო სიტუაციებს?“ და „რამდენად ამცირებს ის ჩვენს უნარს მივაღწიოთ ორგანიზაციულ მიზნებს ახლა და მომავალში?“ ამ კითხვებზე პასუხის შემდეგ დაფიქრდით სუსტი, საშუალო თუ ძლიერია გავლენა.

რისკების შეფასების ხსენებული პროცესის მართვაში დასახმარებლად განიხილეთ ისეთი დიაგრამის გამოყენება, როგორიცაა Electronic Frontier Foundation-ის მიერ შემუშავებული ეს დიაგრამა. გახსოვდეთ, რომ ამ პროცესის ფარგლებში თქვენს მიერ შექმნილი ინფორმაცია (როგორიცაა მეტოქეების და მათთან დაკავშირებული საფრთხეების სია) შესაძლოა იყოს სენსიტიური, ამდენად, მნიშვნელოვანი მისი უსაფრთხოების დაცვა.

თქვენი საფრთხეების ალბათობის და გავლების მიხედვით დალაგების შემდეგ შეგიძლიათ შეუდგეთ უფრო ინფორმირებული სამოქმედო გეგმის შედგენას. იმ საფრთხეებზე კონცენტრაციით, რომლებიც უფრო სავარაუდოა, რომ წარმოიშვას და რომლებიც იქონიებს მნიშვნელოვან ნეგატიურ გავლენას, თქვენ მიმართავთ თქვენს შეზღუდულ რესურსებს მაქსიმალურად შესაძლო რენტაბელური და შედეგიანი მიმართულებით. თქვენი მუდმივი მიზანია მაქსიმალურად შეამციროთ რისკი, თუმცა, არავის – რესუსებით მაქსიმალურად უზრუნველყოფილ მთავრობასაც ან კომპანიასაც – შეუძლია რისკის სრულად აღმოფხვრა. და ეს ნორმალურია: შეგიძლიათ გააკეთოთ ბევრი რამ საკუთარი თავის, თქვენი კოლეგების და თქვენი ორგანიზაციის დასაცავად ყველაზე დიდ საფრთხეებზე ზრუნვით.

შეიმუშავეთ უსაფრთხოების გეგმა