Bir noktada, her kuruluş bir tür siber olayla uğraşmak zorunda kalacak.
Mükemmel bir dünyada, herkesin pozisyonunu aldığı ve veri ihlali müdahale planında sıklıkla prova edilen rollerini kusursuz bir şekilde yerine getirdiği saldırı sonrası tepkinin koreografisi iyi bir şekilde yapılmıştır.
Daha sıklıkla, olay müdahalesi bir futbol sahasındaki bir grup küçük çocuğu andırır. Herkesin kaleyi çevrelediği ve aynı anda topa vurmaya çalıştığı tam bir kaos – kimsenin başarısı yok.
Bir okul bahçesinde sevimli görünebilir, ancak güvenlik ekibinin bu tür bir tepkisi büyük para cezalarına, iş ve itibar kaybına ve bazı durumlarda çalışanların kovulmasına yol açacaktır.
Saldırının kendisi kaçınılmazdır; Bir KPMG anketine göre, şirketlerin %62’si 2021’de bir siber olay veya veri ihlali yaşadı. Yani en büyük sorun olacak olayın kendisi değil.
Bir organizasyonun sonrasında nasıl tepki vereceği ve diğer taraftan nasıl çıkacağı tüm farkı yaratacaktır.
İletişim ile başlar
Bir veri ihlalinden çok önce, iyi hazırlanmış şirketler, güvenlik ve BT ekipleri, hukuk, pazarlama ve halkla ilişkiler ve belki de insan kaynaklarından temsilciler dahil olmak üzere kendi olay müdahale ekiplerine sahip olacaktır.
Umuyoruz ki bu grup, tüm oyuncuların tam olarak ne yapacaklarını bilmelerini ve böylece tepkilerin paniklemeden değil, içgüdüsel olmasını sağlayacak kadar sıklıkta masa başı egzersizleri yapacaktır.
RSA Konferansı 2023’te bir panelde konuşan Brunswick Group’un ortağı Siobhan Gorman’a göre, bir ihlale teknik müdahale elbette önemlidir, ancak müdahale ekibinin belki de en hayati eylemi iletişimidir. birlikte çalışması ne kadar iyi iletişim kurduğuna bağlıdır.
Nisan ayında Gorman, “Söyleyebilecekleriniz ve söyleyemeyeceklerinizle ilgili birçok yasal sorun olacak” dedi.
Çok sık olan şey, insanların ihlalle ilgili bilgileri gereğinden fazla paylaşmasıdır. Azaltma sürecinde çok erken aşırı paylaşım, olayın ayrıntıları tam olmadığı için spekülasyona yol açar. Yanlış veya yanıltıcı bilgi vermek, yeni hasar katmanları oluşturur.
İletişim stratejisi katmanlıdır. Olay müdahale ekibi arasında dahili olarak başlar ve daha sonra tüm şirket boyunca ve harici olarak müşterilere, üçüncü taraf yüklenicilere ve medyaya doğru ilerler.
Çeviklik, esneklik, ölçeklenebilirlik
RSA’daki bir panelde konuşan CVS Health Kıdemli Başkan Yardımcısı ve CISO’su Chandra McMahon, veri ihlali müdahalesini eyleme geçirmenin çeviklik, esneklik ve ölçeklenebilirlik gerektirdiğini söyledi.
Olay taktik kitabı korkulukları sağlayacaktır, ancak bir ihlalden sonraki bir saat, sonraki gün ve sonraki ay olabilecek gerçeklere tepki verme ve ölçeklendirme konusunda istekli olunmalıdır.
İşletmeyi devam ettirmenin en iyi yolu veya fidye ödeyip ödememe konusunda bir veri ihlaliyle ilgili çok fazla belirsizlik var. Olayın etkisi tam olarak bilinene kadar bu kararlar verilemez.
Raytheon Technologies ile CISO’dan RSA panelisti Brad Maiorino, birçok şirketin güzel olay müdahale planlarına sahip olduğunu söyledi; Ancak olay gerçekleştiğinde plan kullanılır mı? Çoğu zaman, cevap hayırdır.
“Çok sert olduğu için rafta duruyor; esnek değil,” dedi Maiorino.
İyi yapmak veya yanıtı becermek
Belirsizlik, müdahale ekibinin iletişim tarzında kendini gösterir. Takımın ilk kararı iki yönlüdür:
- Bir işletme önce kime bildirimde bulunmalıdır: yönetim kurulu mu, müşteriler mi yoksa medya mı?
- Ve düzeltme sürecinin hangi noktasında bildirim gerçekleşir?
Gorman, çok erken dışarı çıkar ve yalnızca belirsiz ayrıntılar sağlarsanız, bu pek fazla güven uyandırmaz, dedi. Aynı zamanda, rapor edecek tüm ayrıntılara hiçbir zaman sahip olmayacaksınız.
Olay duyurulduktan sonra, sorular her yönden yağacak ve örgütün buna yanıt verme şekli algıyı mühürleyecektir.
Gorman, “Gelenleri yönetmek, bence bir siber olaya verilen yanıtı en çok etkileyen veya bozan şeydir, çünkü bunu iyi yaparsanız, insanlar ‘tamam, üstesinden geldiniz, size güveniyorum’ derler” dedi. . “Eğer bunu iyi yapmazsan, ‘ah, beceriksizler’ derler. Soruma cevap veremiyorlar, bu yüzden muhtemelen ne yaptıklarını bilmiyorlar.’”
Bir kontrol listesi izleyin
En rezil siber olaylardan biri olan SolarWinds’e yapılan siber saldırının ardından şirket, sonrasında bir süre e-posta sistemlerine güvenmedi.
Medecision Güvenlik Başkan Yardımcısı ve ISACA yönetim kurulu başkanı Pam Nigro ve White Cloud Security ve ISACA yönetim kurulu yönetim kurulu başkanı Rob Clyde’a göre bu, çalışanlarını dahili bir iletişim sisteminden ve güncel kalmanın kolay bir yolundan mahrum bıraktı. RSA’da Cybersecurity Dive ile konuşan yönetmen.
Nigro, Cybersecurity Dive’a verdiği demeçte, altyapıya hala izinsiz giriş yapanların bulaştığından kimsenin emin olmadığı için iletişim akışının nasıl sürdürüleceğine dair bir kılavuz yoktu.
Başucu kitabını takip etmek buna yardımcı olabilirdi, ancak daha iyi bir çözüm, başucu kitabını müdahale devam ederken izlenecek şeylerin bir kontrol listesiyle genişletmektir.
ISACA, bir fidye yazılımı yanıtı için böyle bir kontrol listesi oluşturmuştur, ancak bu, her türlü siber olay için bir kılavuz olarak kullanılabilir.
nedene bak
Düzeltmenin en kötüsü tamamlandıktan sonra (iletişimler başarılı oldu ve sistem temiz ve güvenli kabul edildi) ihlalin nedenini ele alma ve diğer olası güvenlik açıklarının bir sonraki istismarı bekleyerek saklanmadığından emin olma zamanı gelmiştir.
Maiorino’ya göre, ekipte doğru insanlara sahip olmak ve gerekirse dışarıdan doğru insanları getirmek, herhangi bir olay müdahalesinde kilit rol oynayacak.
Bu hazırlık düzeyi, ulusal haberlerde yalnızca tek satırlık bir duyuru alan bir veri ihlali ile CISO’nun yeni bir iş aramasına neden olan felaket bir olay arasındaki fark olabilir.