тематичні розділи

теми

Що робити, коли все йде не так

Реагування на інциденти

Останнє оновлення: липень 2022 року

Отже, ви знаєте, як і що треба робити. Ви запровадили політику та навчили всіх в організації найкращим методам захисту безпеки. Навіть попри всю цю важку роботу дуже ймовірно, що щось піде не так. Всяке трапляється. Коли щось не те відбувається, важливо мати план реагування на інцидент. Реагування на інциденти є важливою, і часто недооцінюваною, частиною плану безпеки вашої організації. Цей план може перетворити атаку, руйнівну для репутації вашої організації, на неприємну вибоїну на дорозі.

Майте на увазі, що ви можете відреагувати на інцидент, лише якщо знаєте про нього. Дуже важливо мати сильну організаційну культуру безпеки та заохочувати персонал повідомляти про проблеми. Ось чому краще винагороджувати за належне втілення заходів із безпеки, а не карати за прогалини або помилки, пов’язані з безпекою. Також важливо висловлювати співчуття та переконатися у доброму самопочутті співробітників, коли вони повідомляють про інцидент. Співробітники мають негайно повідомляти про натиснуте посилання у фішинговому повідомленні, викрадений телефон або зламаний обліковий запис у соціальних мережах, – а не зволікати, боячись покарання чи відсутності підтримки. Зрештою, реагування на інциденти, як і стратегії пом’якшення наслідків, згадані в інших розділах Довідника, запроваджуються у всій організації.

Що саме потрібно включити до плану? Коротко кажучи, все, що може ймовірно статися. Ризики є різними для кожної організації, але типові запитання, на які допоможе відповісти план реагування на інциденти, включають такі:

  • Що ми будемо робити, якщо наші облікові записи або вебсайти буде зламано?
  • Що ми будемо робити, якщо хтось натисне посилання у фішинговому електронному листі або якщо пристрій веде себе підозріло?
  • Що ми будемо робити, якщо наші електронні листи чи найбільш конфіденційні документи викрадено та стався витік даних?
  • Що ми будемо робити, якщо хтось із наших співробітників зазнає фізичної небезпеки або буде заарештований? Або якщо вони потерпають через стрес і тривогу внаслідок таких загроз?
  • Що ми будемо робити, якщо наш офіс постраждає від пожежі, повені чи стихійного лиха?
  • Що ми будемо робити, якщо комп’ютер або телефон співробітника буде втрачено або вкрадено?

Відповіді на ці й інші запитання відрізнятимуться залежно від організації, але важливо продумати їх разом, чітко сформулювати й поділитися планом, щоб кожен у вашій організації був готовий негайно вжити заходів для обмеження шкоди.

Цитуючи Комплексний посібник із безпеки від Tactical Tech, під час розробки плану реагування на інциденти добре буде почати з визначення інциденту або надзвичайної ситуації в контексті вашої організації. Вирішіть, що таке «надзвичайна ситуація» – тобто момент, коли ви повинні почати впроваджувати заплановані дії та заходи із реагування на інцидент. Це важливо, оскільки іноді буває незрозуміло: наприклад, у такому сценарії, як втрата контакту з колегою під час виконання операції на місці; як довго треба чекати, перш ніж визнати ситуацію екстреною? Не хочеться панікувати занадто рано, але надто довге очікування за деяких обставин може бути катастрофічним. 

Також важливо продумати етапи операції. Призначте кожній людині чітку роль, яку вона знає і приймає заздалегідь – це зменшить дезорганізацію та паніку в разі інциденту. Для кожної загрози розгляньте різні ролі, які вам, можливо, доведеться взяти на себе, і практичні аспекти реагування на надзвичайну ситуацію. Ця важлива стратегія для надзвичайних ситуацій передбачає активізацію мережі підтримки – широкої мережі союзників, що може включати друзів і родичів, громаду, місцевих союзників, урядові ресурси, національну або міжнародну підтримку, наприклад, від НУО та журналістів. Як ваші союзники можуть підтримати вас? Чи варто зв’язуватися з ними заздалегідь, щоб переконатися, що вони готові допомогти вам у надзвичайних ситуаціях, і повідомити їм, чого ви від них очікуєте?

Під час реагування на інцидент ефективна комунікація стає дедалі важливішою. Вирішіть, що є найбільш безпечним і ефективним засобом комунікації з кожним учасником у різних сценаріях, і також визначте резервний засіб. Майте на увазі, що в надзвичайних ситуаціях може бути корисним мати чіткі вказівки щодо того, що саме передавати (а що ні), коли спілкуватися, які канали використовувати для спілкування та з ким слід спілкуватися. Також врахуйте вплив інциденту на репутацію вашої організації та будьте готові відповідним чином відреагувати. Переконайтеся, що керівник з питань комунікації організації (у деяких організаціях це може бути адміністратор сторінки Facebook або облікового запису Twitter) знає про інцидент і може стежити за соціальними мережами чи іншими медіа на предмет можливого реагування. Ця особа також повинна бути готова до можливих запитів громадськості чи ЗМІ щодо інциденту, у відповідних випадках. Це особливо важливо для того, щоб випередити потенційні негативні історії та запобігти репутаційній шкоді. Хоча всі інциденти та контексти різні, чесна та прозора комунікація часто допомагає зміцнити довіру після інциденту.

Створення системи раннього оповіщення та реагування

Розгляньте можливість створення системи раннього оповіщення та реагування. Це звучить складно, але, по суті, це просто централізований документ (електронний чи інший), який відкривається в разі надзвичайної ситуації. У документі слід описати всі подробиці про показники безпеки та інциденти, які сталися на часовій шкалі, надати чіткий опис дій і послідовність запланованого реагування, а також вказати, що слід зробити, щоб зменшити ризик повторного виникнення інциденту. Цей документ також має включати дії, яких слід вжити після інциденту, щоб захистити учасників від подальшої шкоди та допомогти їм відновитися фізично й емоційно. Система раннього оповіщення та реагування може надати корисну документацію для передачі правоохоронним органам (за необхідності), проведення подальшого аналізу того, що трапилося, і вказівки щодо вдосконалення вашої тактики запобігання та реагування на загрози в майбутньому.

На додачу до цих важливих концепцій реагування на інциденти ваша організація також має підготуватися до будь-яких конкретних технічних заходів реагування. У деяких випадках технічними заходами реагування може керувати ІТ-персонал або системні адміністратори організації. Наприклад, якщо скидається на те, що обліковий запис електронної пошти було зламано, адміністратор вашого облікового запису має бути готовий і мати можливість закрити або вимкнути ушкоджений обліковий запис. Однак для подолання наслідків деяких технічних інцидентів може знадобитися досвід, якого у вашій організації немає. У подібних ситуаціях важливо визначити надійний список сторонніх технічних експертів, які можуть допомогти вам у реагуванні на інцидент. У деяких випадках ви можете попередньо узгодити умови з постачальниками послуг (наприклад, хостингом вашого веб-сайту чи ІТ-консультантом), щоб переконатися, що вони доступні (і не стягуватимуть додаткової плати) для такого реагування на технічні інциденти.

І останнє, але не менш важливе: ви повинні розглянути правові кроки. Важливо зрозуміти, які можливості правового захисту у вас є, а також юридичні зобов’язання або наслідки, з якими може зіткнутися ваша організація в результаті витоку даних або іншого порушення безпеки. Першим кроком може бути пошук довіреного юридичного консультанта, який знається на законах і правилах вашої країни чи місцевості. Знайдіть час, щоб розглянути можливі інциденти з відповідним юридичним консультантом, за необхідності, і складіть план того, як ви будете реагувати на них. Добра ідея укласти угоду з цим довіреним консультантом, який буде представляти вас і ваші інтереси, якщо це знадобиться після інциденту. У рамках цієї правової підготовки переконайтеся, що ви розумієте юридичні зобов’язання постачальників і партнерів. Чи зобов’язані вони повідомляти вас у разі витоку їхніх даних? Яку підтримку (за наявності) вони повинні надати вам у разі інциденту? Коли ви укладаєте контракти й угоди зі сторонніми постачальниками, пам’ятайте про можливість витоку даних або іншого інциденту.  

Хоча не існує універсального методу реагування на інциденти, важливо мати чіткі плани операційних, комунікаційних, технічних і правових заходів. Під час складання плану реагування на інциденти настійно рекомендуємо скористатися чудовими ресурсами, розробленими, щоб допомогти громадським організаціям та іншим групам високого ризику зорієнтуватися у реагуванні на інциденти. Ці ресурси включають Цифрову аптечку першої допомоги, розроблену RaReNet і CiviCERT, Практичний посібник щодо переслідування в інтернеті від PEN America, Порядок проведення кампанії з кібербезпеки від Belfer Center, Шаблон плану повідомлень про кіберінциденти і Гарячу лінію цифрової безпеки від Access Now.

Реагування на інциденти

  • Розробіть організаційний план реагування на інциденти та практикуйте його.
    • Проведіть мозковий штурм щодо можливих інцидентів і приготуйтеся реагувати до того, як це станеться.
  • Переконайтеся, що всі в організації знають про те, як ви будете спілкуватися та які технічні заходи будуть вжиті у випадку інциденту.
  • Знайдіть час, щоб дізнатися про засоби правового захисту й усвідомити свої зобов’язання.
  • Будьте готові надати персоналу організації необхідну емоційну та соціальну підтримку після інциденту.