10 Основных элементов плана по реагированию на инциденты

Как мы знаем из лекций МВА и от мастеров Дзена, невыполнение плана – это планирование ошибок. Поэтому, когда произойдет что-то с сетями, серверами или данными, вы должны иметь план, даже если он кажется слишком простым.

Заметки в блокноте в данном случае не помогут, так же, как и смутные воспоминания разговора с коллегой за баночкой пива.

Эксперты по кризисным ситуациям напоминают нам, что во время DDos-атаки или атаки вымогателей уже поздно говорить о разделении обязанностей, кто и что должен делать. Необходимо иметь план реагирования, даже если вы не следуете ему точь-в-точь или вынуждены где-то импровизировать. Вы можете минимизировать импровизации, включив в план реагирования на инциденты различные варианты событий. Также план позволяет быстрее восстанавливать работоспособность, продолжать вести бизнес, обслуживать клиентов и зарабатывать деньги. Далее в статье мы представим 10 ключевых элементов, на которых базируется хороший план по реагированию на инциденты.

  1. Регулярное тестирование

Когда у вас есть утвержденный план реагирования необходимо его тестировать хотя бы раз в год. Марк Уэтерфорд (Mark Weatherford), главный стратег по информационной безопасности компании vArmour, предлагает первое время отрабатывать план с независимой третьей стороной, чтобы увидеть все необходимые элементы и критерии. Отработка может длиться от двух часов до целого дня. Работая по определенному сценарию, люди начинают понимать свои роли и выявлять недочеты в плане. «План никогда не работает как часы, но наличие определенной цепочки команд и четкой последовательности действий и коммуникаций может сильно облегчить задачу», добавляет Уэтерфорд.

  1. Согласование с юристами

В зависимости от отрасли или юрисдикции, на компанию может возлагаться обязанность соблюдать определенные нормативные акты, которые должны быть учтены при подготовке и реализации плана реагирования на инциденты.

  1. Назначение ответственных за коммуникации

Каждый серьезный план реагирования предполагает назначение ответственных за внутренние коммуникации с руководством, персоналом и клиентами (это могут быть разные люди), а так же ответственных за внешние коммуникации со СМИ и инвесторами. Благодаря четкой детализации ролей и обязанностей в плане организация может свести к минимуму недопонимание и ошибки в коммуникации внутри команды реагирования. Информация об ответственных лицах за определенные коммуникации должна быть распространена повсеместно, чтобы было меньше путаницы в момент инцидента, и чтобы всегда был документ, на который можно сослаться в нужный момент.

  1. Определение правовых рисков

Масштаб инцидента не всегда видно сразу; может понадобиться 24 часа или больше, чтобы определить, что именно произошло, в зависимости от воздействия и типа инцидента. 25 лет назад было намного проще определить правовые риски, до того, как множество законов корпоративного регулирования были вынесены на уровни местного, муниципального, государственного и международного регулирования. Кроме того, в сфере финансов и здравоохранения действуют дополнительные законодательные ограничения, при которых определение рисков не всегда очевидно. Предоставление и анализ специалистами всей информации, необходимой для оценки возможных правовых последствий, должно быть главным приоритетом любого плана реагирования.

  1. Подготовка обращения к совету правления

Нужно ли докладывать об инциденте? По мнению Марка Уэтерфорда из vArmour, инциденты стоят в главном приоритете у Совета директоров организации. И поскольку инциденты заставляют директоров нервничать (риски, угроза раскрытия коммерческой тайны, опасность снижения котировок акций), для генерального директора важно иметь четкую стратегию как отвечать на вопросы –  что возможно, а что нет в первый день после инцидента.

«CEO (исполнительные директора) хотят, как можно позже сообщить совету директоров об инциденте, зная, что члены правления будут очень взбудоражены этими новостями», говорит Уэтерфорд, «Все сразу начнут задавать вопросы, поэтому важно иметь план обращения к правлению».

Общение с советом директоров может и не быть частью общего рабочего плана по реагированию на инциденты. Однако CEO крайне желательно продумать методы и тактику перед предстоящим общением.

  1. Оперативный сбор данных для расследования

Конечно, вы хотите выяснить, что именно произошло, что было скомпрометировано (удержано вымогателями, отключено), и насколько это критично. И поскольку вы не хотите потерять следы преступления, эксперты по расследованию подчеркивают важность сбора информации о критических активах в течение 24 часов с момента обнаружения инцидента. «Компании не всегда понимают, какие у них основные активы, и что эти активы могут меняться со временем», говорит Уэтерфорд, «На то, чтобы вернуться к этому шагу и сделать такого рода анализ потребуется немало времени».

  1. Проверка СЕО на прочность

Допустим, команда по расследованию докладывает, что преступники до сих пор имеют доступ к серверам и базам данных компании. Что должен делать исполнительный директор?

Марк Уэтерфорд называет это проверкой СЕО на прочность. Лицо, принимающее решение, может либо сразу ликвидировать преступников, либо позволить им остаться в системе, пока следствие не выяснит, насколько глубоко они проникли и какой ущерб нанесли. «Если вы сразу их выкинете из вашей сети, то вы не сможете узнать, что они взломали. Если же вы их оставите еще на 1,2 недели или больше, то сможете увидеть, что было скомпрометировано. Но это не так просто — позволить кому-то находиться на вашей территории, делая вид, будто никого нет», объясняет Уэтерфорд.

И все руководящие лица должны проверить себя на прочность, насколько большие риски они могут вытерпеть во имя более глубокого понимания сущности инцидента и нарушителя.

  1. Наличие контактов с внешними организациями

Это хороший совет для любой чрезвычайной ситуации: иметь список ключевых людей и организаций, которые могут вам потребоваться и внести их в свой телефонный справочник.

Но это только половина дела. «Необходимо также иметь личные отношения с этими контактами, чтобы они ответили на ваш звонок даже в 2 часа в субботу»- говорит Уэтерфорд. И в этом только доля шутки. Если вы находитесь на пике DDoS -атаки, и вам нужно регулировать полосу пропускания интернета, личные отношения могут повлиять на выживание или же крах всей сети. А последнего не хочет никто.

  1. Резервное копирование

Нет, не используйте ксерокс, даже «облачный». Используйте настоящее высокоскоростное резервное копирование данных, особенно самых критичных. Так вы сможете избежать или минимизировать последствия атаки для бизнеса.

«Мы уже видели вымогателей, которые удаляют данные, вместо их шифрования, что приводит к краху компании» — говорит Джереми Фаулер (Jeremiah Fowler), исследователь MacKeeper Security.  «Автономное резервное копирование данных не позволяет компании класть все яйца в одну корзину» — добавляет он.

«Учитывая стремительный рост вымогателей, вы возможно даже готовы рассмотреть вариант предварительной покупки Биткоинов — валюты, используемой для оплаты выкупов – так что ваши серверы, ПК и смартфоны больше не принадлежат вам, как следовало бы», советует Джереми Гроссман (Jeremiah Grossman ), руководитель стратегии безопасности SentinelOne.

  1. Наличие «плана Б»

В случае крупного техногенного инцидента, справедливо будет задать вопрос в рамках реагирования на инциденты: а как будет реализована непрерывность бизнеса в случае серьезных последствий?  По словам Уэтерфорда, план реагирования на инциденты должен предусматривать альтернативные варианты продолжения деятельности компании, будь то другой центр обработки данных, другой провайдер или поставщик облачных услуг. Чем больше внимания уделять непредвиденным ситуациям, тем быстрее можно из них выбраться.

Поделиться записью: