Odziv na incidente: Kaj mora vedeti vodstvo

Ko se zgodi varnostni incident, mora vodstvo hitro sprejeti kriticne odlocitve. Priprava je kljucna, in razliko sem videl vec desetkrat. Pripravljene organizacije zajezijo skodo in si opomorejo v dneh. Nepripravljene panicijo, sprejemajo impulzivne odlocitve, ki situacijo poslabsajo, in trpijo posledice, ki trajajo mesece ali leta. Poklicali so me med aktivnimi vdori, kjer je direktor sprejemal tehnicne odlocitve, ki jih ni razumel, pravna ekipa je pripravljala obvestila, preden je bil obseg znan, in IT ekipa je unicevala forenzicne dokaze s ponovnim oblikovanjem kompromitiranih sistemov. Vsaka od teh napak bi bila preprecljiva.

Vloga vodstva pri incidentih

Vodstvo ima med varnostnim incidentom specificne odgovornosti, ki jih ni mogoce delegirati.

• Pooblastilo za vire - Ekipa za odziv potrebuje pooblastilo za premik ljudi z drugih projektov, angaziranje zunanjih forenzicnih strokovnjakov in izkljucitev sistemov. Priporocam vnaprejsnjo odobritev proracuna za odziv na incidente, da ekipa ne zapravlja kriticnih ur za iskanje odobritev.
• Odlocitve o komunikaciji - Kdo mora biti obvescen, kdaj in kako? Napacna komunikacija ob napacnem casu lahko povzroci vec skode kot sam incident.
• Kompromisi kontinuitete poslovanja - Zajezitev incidenta pogosto zahteva izkljucitev sistemov. Vodstvo mora uravnoteziti hitrost zajezitve s poslovnim vplivom, z razumevanjem, da zamude obicajno povecajo skupne stroske.
• Pravna in regulativna skladnost - Po GDPR morajo organizacije obvestiti nadzorne organe v 72 urah po tem, ko se zavedajo krsitve osebnih podatkov. NIS2 dodaja dodatne zahteve. Vodstvo mora zagotoviti, da so casovnice skladnosti izpolnjene.

Kljucna vprasanja za postaviti

Med incidentom bi moralo vodstvo postavljati strukturirana vprasanja za razumevanje situacije brez mikroupravljanja tehnicnega odziva.

• Kaj je potrjeno proti domnevanemu? - Na zacetku incidenta je vecina informacij negotova. Videl sem podjetja, ki so zaustavila celotne podatkovne centre na podlagi sumov, ki so se izkazali za lazne alarme.
• Kateri podatki in sistemi so prizadeti? - Obseg skode doloca obveznosti obvescanja, vpliv na stranke in kompleksnost okrevanja.
• Je groznja zajezena? - Zajezitev mora biti potrjena pred zacetkom okrevanja, sicer tvegate, da napadalec med okrevanjem ponovno vzpostavi dostop.
• Kaksne so nase obveznosti obvescanja? - Na podlagi prizadetih podatkov in vpletenih jurisdikcij, kaksne so pravne zahteve? Vnaprejsnje prepoznavanje teh za razlicne scenarije prihrani kriticni cas.

Komunikacijska strategija

Vsako sporocilo bi moralo biti pregledano s strani pravne sluzbe, odobreno s strani vodstva in dostavljeno prek dogovorjenih kanalov.

• Notranja - Primerno obvestevanje osebja brez ustvarjanja nepotrebne panike. Zaposleni, ki ne vedo, kaj se dogaja, bodo ugibali in potencialno delili napacne informacije navzven.
• Zunanja - Stranke, partnerji in regulatorji potrebujejo razlicna sporocila. Komunikacija s strankami bi se morala osredotociti na to, kaj se je zgodilo, kateri podatki so bili prizadeti in kaj bi morali storiti.
• Mediji - Vnaprej pripravite izjave in dolocite enega govorca. Nikoli ne ugibajte, nikoli ne krivite in nikoli ne minimalizirajte. Videl sem organizacije, ki so prezivele resne vdore z nedotaknjenim ugledom, ker so komunicirale transparentno.

Aktivnosti po incidentu

Kar se zgodi po incidentu, je enako pomembno kot sam odziv.

• Analiza temeljnega vzroka - Razumite ne samo, kaj se je zgodilo, ampak zakaj je bilo mogoce. Pri strankah sodelujem pri teh pregledih in prispevam perspektivo napadalca.
• Naucene lekcije - Dokumentirajte, kaj je delovalo in kaj ne. Zajemite te uvide v dveh tednih, dokler so spomini svezi.
• Izboljsave kontrol - Prevedite lekcije v specificne, financirane izboljsave z dolocenimi odgovornimi osebami in roki.
• Porocanje upravnemu odboru - Pripravite celovito porocilo, ki pokriva, kaj se je zgodilo, odziv, poslovni vpliv in izboljsave, ki se izvajajo.

Vaje na mizi

Najucinkovitejsa priprava je vadba. Vodim vaje na mizi, kjer vodstvene ekipe preidejo skozi realisticne scenarije vdorov. Te dosledno razkrivajo vrzeli v nacrtih, nejasna pooblastila in komunikacijske odpovedi, ki jih je veliko bolje odkriti v konferencni sobi kot med dejansko krizo. Priporocam izvajanje teh vaj vsaj dvakrat letno z razlicnimi scenariji.

Izbira zunanjih partnerjev

Vsaka organizacija bi morala imeti odnose z zunanjimi partnerji za odziv vzpostavljene pred incidentom. Iskanje forenzicnih podjetij, specializiranega pravnega svetovalca in strokovnjakov za krizno komunikacijo med aktivnim incidentom je izjemno tezko in drago. Vzpostavite dogovore o predplacilu in te partnerje vkljucite v vaje na mizi, tako da vsi poznajo svojo vlogo, ko se incident zgodi.