Ако има атака срещу държавата – военните мобилизират. Ако се случи природно бедствие, „Гражданска защита“ веднага прилага планове за възстановяване. Ако плъзне инфекциозна болест, здравните служители въвеждат стратегия за ограничаването й. Плановете за реагиране са от решаващо значение за възстановяването при аварийни ситуации, но когато става въпрос за киберсигурността, повечето индустрии рядко обръщат внимание.
„Реалността е, че без значение колко невероятни са способностите ви за предотвратяване на кибератаки, все някога ще бъдете хакнати”, казва Мохамад Джалали, изследовател в MIT Sloan, чиято работа понастоящем е фокусирана върху общественото здраве и организационната киберсигурност. „Какво ще направите тогава? Имате ли си добър план за реагиране, който непрекъснато се актуализира? Определени ли са комуникационните канали, дефинирани ли са отговорностите на заинтересованите страни? Обикновено отговорът в повечето организации е: не”.
За да помогнат за отстраняване на слабостите в киберсигурността в организациите, Джалали и състудентите му Бетани Ръсел, Сабина Раак и Уилям Гордън са създали осем обобщени стратегии реагиране. И макар че тези стратегии са разработени най-вече за киберсигурността в сферата на здравеопазването, те са приложими за редица други индустрии, пише phys.org. Рамката е разделена на две половини: преди инцидента и след инцидента.
Предварителна подготовка:
1. Изграждане на план за реакция при инциденти
Този план трябва да включва стъпки за откриване, разследване, ограничаване, премахване и възстановяване. „Една от често срещаните слабости в организациите е, че дори да са съставили план за реагиране при инциденти, документацията обикновено е много обща, не е специфична за организацията”, каза Джалали. „Няма ясен, конкретен и приложим списък с елементи”.
За организациите е важо да се уверят, че всеки знае плана, а не само служителите в ИТ отдела. Трябва да са зададени ясни канали за комуникация и при разпределяне на отговорностите да се направи така, че те да са ясно определени.
2. Изграждане на политика за информационна сигурност, която да действа като възпиращо средство
Нужни са ясно определени стъпки за сигурност, които насърчават опазването й. „Много компании смятат, че регулаторното съответствие значи сигурност”, казва Джалали. Не бива да се поставя толкова ниска летва! Съответствието е нужно, но то трябва да върви ръка за ръка с непрекъснатото подобрение.
3. Участие на ключовия персонал в организацията
Независимо от размера на дадената организация, ключовите лидери трябва да бъдат обучавани за значението на киберсигурността и да бъдат готови да реагират в съответствие с плана за действие.
Лидерите не трябва да бъдат експерти по киберсигурност. Те обаче трябва да са наясно с въздействието, което един инцидент ще има върху тяхната организация. Колкото по-информирани са, толкова по-ангажирани могат да бъдат в плана за реагиране.
4. Редовно тестване на плановете за възстановяване
Упражненията за възстановяване след кибер-инцидент помагат на организациите да поддържат своите планове и да обучават служителите на подходящи протоколи за реакция.
Ако обаче организацията тества своята стратегия за възстановяване само чрез действителни аварии, вероятно ще се стигне до сериозни проблеми, които биха могли да увеличат размера на щетите, причинени от кибер-инцидента.
Преходът от реактивна към проактивна позиция може да помогне на организацията да идентифицира слабостите или пропуските в плана си за възстановяване и да се заеме с тях, преди да настъпи инцидент.
След инцидента:
5. Справяне с инцидента
Справянето включва както проактивни, така и реактивни мерки. Най-лесно е да се изключат заразените устройства от мрежата, ако те вече са сегментирани от други устройства и връзки преди настъпването на инцидента. Изследователите обаче признават, че не винаги е възможно да се сегментират мрежите, нито да се разкачват устройствата незабавно от цялата система.
Какво може да се направи тогава? Най-малкото – незабавно да се съобщи за заразеното устройство на ИТ екипа на организацията, за да се овладее инцидентът.
6. Етика и включване на участници извън организацията
Важно е да се помни, че всички заинтересовани страни в дадена организация могат да бъдат засегнати от кибернетичен инцидент. Незабавно трябва да се уведомят юридическият съветник и съответните регулаторни и правоприлагащи органи. Важно е да се помисли за помощ от външни страни и споделяне на информация за кибернетичната заплаха.
7. Изследване и документиране на инцидента
Тук е важно да се действа своевременно и задълбочено. Всяка стъпка от реакцията след инцидента трябва да бъде документирана.
Разследването трябва да има за цел да намери основната техническа причина за проблема, както и слабостите, което би могло да предотврати бъдещи атаки. За целта на подобен анализ е необходима подходящата документация.
8. Оценка на щетите и алгоритъм за възстановяване
Организациите трябва да се самооценят след инцидента. Компютрите може да са мястото, където се случва кибер-атаката, но те могат и да се използват за възстановяването. Организациите могат да впрегнат силата на компютрите, особено изкуствения интелект, за засичане в реално време и улавяне на инцидентите.
„Масово използваните рамки за отговор и реакция при инциденти често са лишени от тази съществена стъпка, въпреки че вече има достатъчно продукти за целта, които са базирани на изкуствен интелект”, заключава Джалали.