Dakle, znate šta treba da radite. Formulisali ste politike i sve u organizaciji obučili o najboljim praksama. Čak i uz sav taj trud, vrlo je verovatno da će nešto u nekom trenutku poći po zlu. Takav vam je život. Kad se to desi, od suštinske je važnosti da imate plan za slučaj incidenata. Mere za slučaj incidenta predstavljaju ključni, a često zanemareni, deo bezbednosnog plana vaše organizacije pošto one mogu da presude da li će neki napad uništiti reputaciju vaše organizacije ili biti samo manja prepreka na putu.
Imajte na umu da na incident možete da reagujete samo ako znate da je do njega došlo. Vrlo je važno da stvorite robusnu bezbednosnu kulturu na nivou cele organizacije i podstaknete osoblje da prijavljuje probleme. Zato je bolje da nagrađujete dobro ponašanje na polju bezbednosti nego da kažnjavate propuste ili greške. Takođe je važno da pokažete empatiju i proverite kako se član osoblja oseća nakon što prijavi incident. Želite da vaše osoblje odmah prijavi ako su kliknuli na fišing (phishing) poruku, ako su im ukrali telefon ili hakovali nalog na društvenim mrežama, a ne da oklevaju jer se boje kazne ili da im niko neće pružiti podršku. Naposletku, mere za slučaj incidenata, upravo kao strategije ublažavanja posledica pomenute u drugim odeljcima pruručnika, predstavljaju nešto čime treba da se bavi cela organizacija.
Dakle, šta vaši planovi treba da obuhvate? Ukratko, bilo šta što bi verovatno moglo da se desi. Ovo će se razlikovati od organizacije do organizacije, ali neka generalna pitanja na koje bi plan reagovanja u slučaju incidenta trebalo da odgovori su:
- Šta da radimo ako neko hakuje naše naloge ili naš sajt?
- Šta da radimo ako neko klikne na fišinga (phishing) mejl ili se neki uređaj sumnjivo ponaša?
- Šta da uradimo ako neko ukrade i objavi naše mejlove ili osetljive informacije?
- Šta da radimo ako se neko od našeg osoblja nađe u opasnoj situaciji ili bude uhapšen/a? Ili ako se bore sa stresom i anksiopznošću zbog takvih pretnji?
- Šta da radimo ako naša kancelarija nastrada u požaru, poplavi ili elementarnoj nepogodi?
- Šta da radimo ako član osoblja izgubi kompjuter ili telefon ili mu iste ukradu?
Odgovori na ova i druga pitanja će se razlikovati od organizacije do organizacije, ali važno je zajednički ih promisliti, jasno artikulisati i podeliti plan kako bi svi u vašoj organizaciji bili spremni da momentalno preduzmu korake za ograničavanje potencijalne štete.
Kao što je navedeno u Holistic Security Guide (Holističkom bezbednosnom vodiču) organizacije Tactital Tech, jedan od najboljih načina da se započne rad na planu za reagovanje u slučaju incidenta jeste da definišete incident ili hitnu situaciju u kontekstu vaše organizacije. Odlulčite šta je zapravo “hitna situacija”, tj. u kom momentu treba da primenite planirane korake i mere. Ovo je bitno jer je situacija ponekad nejasna. Zamislite slučaj gde izgubite kontakt sa kolegom na terenskom zadatku - koliko ćete čekati pre nego što to proglasite za hitnu situaciju? Ne želite da prenaglite, ali ako predugo čekate u određenim okolnostima posledice mogu biti katastrofalne.
Takođe je bitno da dobro razmislite i o potencijalnim operativnim koracima. Svakoj osobi dodelite jasnu ulogu koje su svesni i na koju su unapred pristali – to će smanjiti dezorganizovanost i paniku u slučaju hitne situacije. Razmotrite različite uloge koje ćete morati da preuzmete u pogledu bilo koje pretnje, kao i praktične aspekte reagovanja na hitnu situaciju. Ova bitna strategija za reagovanje u hitnim situacijama treba da obuhvata i kreiranje mreže podrške – široke mreže saveznika u koje mogu spadati porodica i prijatelji, vaša zajednica, lokalni saveznici, državni resursi kao i nacionalni i međunarodni saveznici poput NVO i novinara. Kako vaši saveznici mogu da vas podrže? Da li bi trebalo da ih unapred kontaktirate kako bi vam potvrdili da su voljni da vam pomognu u hitnoj situaciji i kako biste im preneli šta očekujete od njih?
Prilikom reagovanja na neki incident, delotvorna komunikacija izuzetno dobija na važnosti. Izaberite najbezbedniji i najdelotvorniji način komunikacije za svaki različiti scenario i identifikujte i rezervne kanale. Budite svesni da bi u hitnim slučajevima moglo biti korisno da posedujete jasne smernice o tome šta treba (i šta ne treba) saopštavati drugima, kada treba da komunicirate, koje kanale da koristite za to i sa kime bi trebalo da komunicirate. Takođe razmislite o uticaju nekog incidenta na reputaciju vaše organizacije i budite spremni da adekvatno reagujete. Postarajte se da glavna osoba zadužena za komunikacije (u nekim slučajevima to može biti prosto osoba koja upravlja vašim Facebook ili Twitter nalogom) bude svesna incidenta i da može da prati društvene mreže ili druge medije zbog potencijalnog efekta. Takođe bi trebalo da je pripremite da po potrebi odgovori na moguća pitanja javnosti ili predstavnika medija o incidentu. Ovo je naročito bitno kako biste predupredili potencijalne negativne pruče ili štetu po vašu reputaciju. Dok su svaki incident i kontekst drugačiji, iskrena i transparentna komunikacja često potpomaže uspostavljanje poverenja nakon nekog incidenta.
Kreiranje sistema za rano upozoravanje i reagovanje
Razmislite da uspostavite sistem za rano upozoravanje i reagovanje. To možda zvuči komplikovano, ali se u suštini svodi prosto na centralizovani dokument (digitalni ili fizički) koji treba konsultovati u hitnim slučajevima. U tom dokumentu bi trebalo da zapišete sve detalje o bezbednosnim pokazateljima i incidentima koji su se desili u određenom vremenskom periodu, date jasan opis planiranih koraka i naznačite šta treba realizovati kako bismo mogli da kažemo da se pretnja opet smanjila. Trebalo bi takođe da sadrži korake koje treba preduzeti nakon incidenta kako biste zaštitili one umešane u njega i pomogli im da se fizički i emocionalno oporave. Sistem za rano upozoravanje i reagovanje može da obezbedi korisnu dokumentaciju koju (po potrebi) možete podeliti sa policijom ili tužilaštvom, naknadnu analizu onoga što se dogodilo i smernice za unapređenje vaše preventivne taktike i odgovora na pretnje u budućnosti.
Pored ovih važnih generalnih ideja na polju reagovanja na incidente, vaša organizacija bi trebalo da pripremi i specifične tehničke korake. U određenim slučajevima ove tehničke mere može da realizuje interno IT osoblje ili pak sistemski administratori. Na primer, ako vam se čini da je neki nalog elektronske pošte hakovan, vaši administratori naloga bi trebalo da budu spremni i u stanu da ugase ili isključe napadnuti nalog. Međutim, pojedini tehnički incidenti mogu zahtevati ekspertizu koju vaša organizacija trenutno ne poseduje. U takvim slučajevima, bitno je da formulišete listu pouzdanih eksternih tehničkih eksperata koji mogu da vam pomognu u slučaju incidenta. U nekim slučajevima, možda ćete hteti da unapred dogovorite uslove sa pružaocima usluga (kao što su host sajta ili konsultant za informacione tehnologije) kako biste se postarali da budu dostupni (i ne naplate vam dodatno) u slučaju da vam je potrebna tehnička pomoć oko incidenta.
Na kraju, ali ne i najmanje važno, trebalo bi da razmotrite pravne korake. Važno je da znate koju vrstu pravne zaštite imate, kao i sa kakvim pravnim obavezama ili posledicama se vaša organizacija može suočiti zbog krađe podataka ili drugih bezbednosnih incidenata. Kao prvi korak možete identifikovati pouzdanog pravnog savetnika koji se razume u specifične zakone i propise vaše zemlje ili lokalne oblasti. Odvojite vreme da sa tom osobom razmotrite potencijalne incidente i napravite plan onoga što ćete uraditi ako do istih dođe. Takođe je dobra ideja da sa ovim pouzdanmim pravnikom dogovorite da zastupa vas i vaše interese nakon incidenta ako za to bude bilo potrebe. U okviru ovih pravnih priprema se postarajte i da proučite pravne obaveze svojih dobavljača ili partnera. Da li treba da vas obaveste u slučaju da neko ukrade njihove podatke? Kakvu (ako ikakvu) podršku moraju da vam pruže u slučaju nekog incidenta? Dok budete sklapali ugovore i sporazume sa eskternim dobavljačima imajte na umu potencijalnu krađu podataka ili druge incidente.
Dok ne postoji jedan pristup kreiranju sistema za reagovanje u slučaju incidenata, od suštinskog je značaja da formulišete jasne operativne, komunikacione, tehničke i pravne planove. Toplo preporučujemo da tokom sastavljanja svog plana iskoristite odlične postojeće resurse osmišljene da pomognu organizacijama civilnog društva i drugim visokorizičnim grupama u osmišljavanju koraka za slučaj incidenta. U ove resurse spadaju Digital First Aid Kit (Digitalni komplet za prvu pomoć) koji su kreirale RaReNet i CiviCERT, Online Harassment Field Manual (Tehnički vodič za uzmeiravanje na internetu) organizacije PEN America, the Cybersecurity Campaign Playbook (Plan igre za kampanje na polju sajber bezbednosti) i Cyber Incident Communications Plan Template (Obrazac plana za komunikacije u slučaju sajber incidenta) Belfer Centra i Digital Security Helpline (SOS linija za digitalnu bezbednost) organizacije Access Now.
- Kreirajte plan organizacije za reagovanje u slučaju incidenata i primenjujte ga.
- Pokušajte da se setite svih mogućih incidenata i unapred pripremite adekvatne korake.
- Postarajte se da svi u organizaciji znaju kako ćete komunicirati i kakve tehničke korake ćete preduzeti u slučaju nekog incidenta.
- Postarajte se da razumete kakve oblike pravne zaštite i pravne obaveze imate.
- Budite spremni da svom osoblju pružite emocionalnu i socijalnu podršku koja im može biti potrebna nakon nekog incidenta.