Тематические разделы

темы

Что делать, когда что-то идет не так

Реагирование на инциденты

Последнее обновление: июль 2022 г.

Итак, вы знаете, что делать. Вы внедрили правила и обучили всех сотрудников организации всем передовым методам. Но несмотря на всю проделанную работу, весьма вероятно, что что-то все равно пойдет не так. Всякое случается. Для таких случаев нужен план реагирования на инциденты. План реагирования на инциденты является важной и часто недооцененной составляющей плана обеспечения безопасности организации. Произойти может все что угодно: от незначительных неприятностей до атаки, разрушающей репутацию организации.

Помните, что отреагировать на инцидент можно только в том случае, если о нем известно. Очень важно иметь сильную культуру безопасности организации и поощрять сотрудников сообщать о проблемах. Вот почему лучше вознаграждать за надлежащее поведение в области безопасности, чем наказывать за упущения или ошибки, допущенные в этом отношении. Также важно проявлять сочувствие и интересоваться состоянием сотрудников, когда они сообщают об инциденте. Вы же хотите, чтобы сотрудники незамедлительно сообщали о переходе по ссылке в фишинговом сообщении, об украденном телефоне или взломанной учетной записи в социальной сети немедленное и не опасаясь, что их накажут или не захотят поддержать? В конце концов, реагирование на инциденты, как и стратегии смягчения последствий, упомянутые в предыдущих разделах настоящего Пособия, – это общая задача всей организации.

К чему стоит приготовиться? Если коротко, то ко всему, что может произойти. Для каждой организации план реагирования на инциденты будет выглядеть по-своему, но наиболее распространенные вопросы такие:

  • Что делать, если наши учетные записи или веб-сайты взломали?
  • Что делать, если кто-то перешел по ссылке в фишинговом электронном письме или если устройство ведет себя подозрительно?
  • Что делать в случае кражи или утечки электронных писем или наиболее конфиденциальных документов?
  • Что нам делать, если один из наших сотрудников подвергается физической опасности или арестован? Или страдает от стресса или беспокойства вследствие таких угроз?
  • Что делать, если офис пострадал в результате пожара, наводнения или стихийного бедствия?
  • Что делать в случае потери или кражи компьютера или телефона сотрудника?

У каждой организации будут свои ответы на эти и другие вопросы, но для всех одинаково важно все тщательно продумать, четко сформулировать и ознакомить всех сотрудников с планом, чтобы каждый был готов незамедлительно принять все необходимые меры для минимизации ущерба.

Цитируя «Комплексное руководство по безопасности» от Tactical Tech, при разработке плана реагирования на инциденты лучше всего начать с определения понятий «инцидент» и «чрезвычайная ситуация» для вашей организации. Определите, что является «чрезвычайной ситуацией», то есть той точкой, когда необходимо начать осуществлять действия и меры, запланированные на случай чрезвычайных обстоятельств. Это важно, поскольку иногда с этим бывают неясности. Представим конкретный сценарий: допустим, потеряна связь с коллегой в ходе полевой миссии; как долго следует ждать, прежде чем объявить чрезвычайную ситуацию? Не хочется преждевременно паниковать, однако слишком долгое ожидание в некоторых обстоятельствах может иметь катастрофические последствия. 

Также важно продумать все этапы операции. Определите для каждого сотрудника четкие обязанности, которые им будут известны и согласованы заранее – это уменьшит дезорганизацию и панику в случае инцидента. Рассмотрите различные обязанности, которые вам, возможно, придется взять на себя, и практические аспекты реагирования на чрезвычайную ситуацию на случай каждой потенциальной угрозы. Важной составляющей стратегии деятельности в подобных чрезвычайных ситуациях является задействование сети поддержки – широкой сети союзников, включающей друзей и членов семьи, сообщество, местных союзников, государственные ресурсы, национальных или международных союзников, включая НПО и журналистов. Чем могут помочь союзники? Следует ли вам связаться с ними заранее, чтобы убедиться в их готовности прийти на помощь в чрезвычайной ситуации и уточнить, чего вы от них ожидаете?

Эффективные коммуникации играют важнейшую роль в реагировании на инциденты. Выберите наиболее безопасное и эффективное средство связи с каждым участником для различных сценариев и определите резервные средства. Имейте в виду, что в чрезвычайных ситуациях крайне полезно располагать четкими указаниями о том, что следует (и чего не следует) сообщать, когда сообщать, какие коммуникационные каналы использовать и к кому обращаться. Также учитывайте влияние инцидента на репутацию вашей организации и будьте готовы отреагировать соответствующим образом. Убедитесь, что руководителю организации по связям с общественностью (в некоторых организациях это администратор страницы в Facebook или учетной записи в Twitter) известно об инциденте и у него есть возможность отслеживать потенциальные последствия в социальных сетях или других средствах массовой информации. Также необходимо быть готовым ответить на возможные запросы общественности или СМИ об инциденте, если это уместно. Это особенно важно для упреждения любых потенциальных негативных историй или репутационного ущерба. Хотя все инциденты и обстоятельства отличаются друг от друга, честные и прозрачные коммуникации часто помогают укрепить доверие после инцидента.

создание системы раннего оповещения и реагирования

Рассмотрите возможность создания системы раннего оповещения и реагирования. Звучит затейливо, но по сути это всего лишь централизованный документ (в электронной или иной форме), который следует открыть при возникновении чрезвычайной ситуации. В таком документе следует изложить во временной шкале все подробные данные об индикаторах безопасности и произошедших инцидентах, предоставить четкое описание действий и последовательности запланированных мер реагирования, а также указать, какие показатели будут свидетельствовать о снижении рисков. Кроме того, в таком документе должны быть изложены действия, которые необходимо предпринять после инцидента, чтобы защитить участников от дальнейшего вреда и помочь им восстановиться физически и эмоционально. Наличие системы раннего оповещения и реагирования позволяет получить полезную документацию для передачи в правоохранительные органы (если применимо), последующего анализа произошедшего и разработки рекомендаций по улучшению тактики предотвращения и реагирования на угрозы в будущем.

В дополнение к указанным важным концепциям реагирования на инциденты организация должна быть готова к любому конкретному техническому реагированию. В некоторых случаях техническим реагированием могут управлять ИТ-специалисты или системные администраторы организации. Например, при наличии подозрения о взломе учетной записи администратор должен быть готов и иметь возможность закрыть или отключить затронутую учетную запись. Однако для разрешения некоторых технических инцидентов может потребоваться опыт, которого нет у вашей организации. Для подобных ситуаций необходимо иметь список надежных внешних технических экспертов, которые смогут помочь в реагировании на инциденты. В некоторых случаях можно предварительно согласовать условия с поставщиками услуг (например, с провайдером веб-хостинга или ИТ-консультантом), чтобы убедиться, что они готовы оказать помощь в реагировании на технические инциденты (и не будут взимать дополнительную плату).

И последнее, но не менее важное: вам следует подумать о правовых мерах. Важно понимать, какие средства правовой защиты будут в вашем распоряжении, а также с какими правовыми обязательствами или последствиями может столкнуться ваша организация в результате утечки данных или другого инцидента в области безопасности. Первым шагом может стать поиск надежного юрисконсульта, разбирающегося в законах и правилах вашей страны или региона. При необходимости проконсультируйтесь с надежным юрисконсультом касательно возможных инцидентов и составьте соответствующий план мер реагирования. Кроме того, рекомендуется заключить соглашение с этим юрисконсультом, чтобы он мог в случае необходимости представлять вас и ваши интересы после инцидента. В процессе правовой подготовки убедитесь, что имеете четкое представление о правовых обязательствах всех поставщиков или партнеров. Должны ли они уведомлять вас об утечке своих данных? Какую поддержку (если предусмотрено) они должны оказать вам в случае инцидента? Заключая контракты и соглашения с внешними поставщиками, помните о возможности утечки данных или других инцидентов.  

Универсального подхода к реагированию на инциденты не существует, но важно иметь четкие планы – оперативный, коммуникационный, технический и юридический. При разработке плана реагирования на инциденты настоятельно рекомендуем использовать ряд существующих ресурсов, предназначенных именно для того, чтобы помочь организациям гражданского общества и другим группам высокого риска правильно реагировать на инциденты. К таким ресурсам относятся Комплект экстренной цифровой помощи, являющийся совместным проектом RaReNet и CiviCERT, Полевое руководство по онлайн-преследованиям, разработанное PEN America, Стратегия обеспечения кибербезопасности во время проведения избирательной кампании и Типичный коммуникационный план в сфере киберинцидентов во время выборов, разработанные Belfer Center, и Служба поддержки по цифровой безопасности, созданное Access Now.

реагирование на инциденты

  • Разработайте план реагирования организации на инциденты и отработайте его на практике.
    • Проанализируйте возможные инциденты и разработайте меры реагирования до того, как инциденты произойдут.
  • Убедитесь, что все люди в организации осведомлены о средствах коммуникации и технических процедурах, которые будут задействованы в случае инцидента.
  • Разберитесь в средствах правовой защиты и правовых обязательствах.
  • Будьте готовы предоставить сотрудникам организации эмоциональную и социальную поддержку, которая может им потребоваться после инцидента.