Bir kuruluşun siber saldırıya uğramasının kaçınılmazlığı son yıllarda arttı; bu durum, büyük işletmelerin fidye yazılımı, veri kaybı ve kritik sistem kesintilerinin kurbanı olduğuna dair sık sık çıkan haberlerde de görülüyor. Operasyonların durdurulması ve önemli mali, itibari ve hukuki sonuçlara yol açması için yalnızca tek bir yıkıcı darbe yeterlidir.
Olay müdahale politikası, bu tür ihlallerin yönetimine tutarlı ve etkili bir yaklaşım sağlamak için yönergeler sağlar ve kuruluşun ilgili yasa ve düzenlemelere uymasını sağlar.
Planlama, çevre felaketleri, toplu taşıma saldırıları ve siber güvenlik saldırıları gibi çok çeşitli potansiyel olayları dikkate almalıdır. Dikkatin başka bir yerdeki nispeten küçük bir soruna çevrilmesi nedeniyle önemli bir olayın gözden kaçmasını önlemek için, olaylara ilişkin kategorileri ve öncelikleri anlamak ve atamak çok önemlidir. Bu, tüm ilgili paydaşların (örneğin bilgi güvenliği, BT, uyumluluk, halkla ilişkiler ve İK ekiplerinin yanı sıra çalışanların ve bazen de dış güvenlik uzmanlarının) katılımını gerektirir.
NIST ve ITIL gibi kuruluşların çerçeveleri, bir olay müdahale planının oluşturulmasına rehberlik etmek için kullanılabilir. Genellikle bunlar aşağıdaki adımları dikkate alır.
- Tespit ve yanıt: İlk olayın tespit edilmesi ve ilgili ekiplerin uyarılması, söz konusu sistemlerin doğru izlenmesini ve doğru kişileri bilgilendirecek bir uyarı mekanizmasını gerektirir. Olay analizinin dahil edilmesi, ilerleyen süreçte olayın doğru şekilde önceliklendirilmesine yardımcı olacaktır. Tespit modellerini oluştururken, izole edilmiş varlıklar ve belirli teknik istismarlar yerine, uçtan uca sürecin tamamı dikkate alınmalıdır. Mümkün olduğunda, kuruluşların deneyimlemesi muhtemel saldırı yöntemini anlamak için tehdit istihbaratı kullanılmalıdır.
- Azaltma: Teyit edildikten sonra olayın, kuruluşun elinden gelen en iyi şekilde kontrol altına alınması veya ortadan kaldırılması gerekir. Sonuçta bu adım olayın etkilerinin yayılmasını durdurmakla ilgilidir.
- Raporlama ve bildirim: Olayın üst kademeye iletilmesi ve iletilmesi için net adımlar gereklidir. Raporların, üst yönetim, kurumsal iletişim, çalışanlar ve müşterilerin yanı sıra yetkililer (polis veya itfaiye teşkilatı gibi) ve düzenleyici kurumlar da dahil olmak üzere bilgilendirilecek iç ve dış tarafları tanımlaması gerekir. Bunların her biriyle hangi koşullar altında, kim tarafından ve hangi zaman diliminde iletişime geçilmesi gerektiğini bilmek önemlidir.
- Kurtarma ve iyileştirme: Başlangıçtaki olayın başarılı bir şekilde hafifletilmesi ve kontrol altına alınmasının ardından, iyileşmeye ve normale (veya mümkün olduğunca normale yakına) dönüşe odaklanılır. Kuruluşun, hasar gören sistem ve uygulamaları yeniden inşa etmesi, yeni kurulumunun güvenliğini doğrulaması ve olayın tekrarlanmasını önlemek için gerekli değişiklikleri uygulaması gerekiyor. Devam eden sorunların tanımlanması, izlenmesi ve düzeltilmesi gerekir.
- Dersler öğrenildi: Tüm olayın ve gerçekleştirilen eylemlerin tam bir incelemesi, neyin işe yaradığını ve neyin daha az başarılı olduğunu not etmeyi içerir. Ayrıca, saldırıyla başa çıkmanın yarattığı gerginlikten sonra dikkatle tartılarak gelecekte alınacak önlemleri de dikkate almalıdır. Görünürlük gerektiren herkes için ayrıntılı ve net belgeler, daha fazla hasarın önlenmesi ve gelecekte referans olması açısından önemlidir.
Öncelikleri anlamak
Bir olay müdahale planı oluşturmak, önceliklerin belirlenmesini ve üzerinde anlaşmaya varılmasını gerektirir. İnsanların tartışmasız güvenliğinden sonra dikkatli bir dengeleme yapılması gerekebilir. Örneğin, olay yerinin güvenliğinin sağlanması, adli kanıtların uygun şekilde toplanması ve devam eden soruşturma çok önemlidir, ancak aynı zamanda her zamanki gibi iş (BAU) süreçlerinin yeniden başlatılmasını da geciktirebilir. Her faaliyete doğru ağırlığın verilmesini ve bunun bir olay meydana gelmeden önce açıkça ortaya konulmasını sağlamak, kriz sırasında hiçbir temel unsurun anlık kararlara indirgenmemesini sağlar.
Planın test edilmesi
Etkili olduğuna dair hiçbir kanıt yoksa, bir planın pek değeri yoktur; acil bir durum karşısında ilk engelde çökme riski vardır.
Bu nedenle olay müdahale planının test edilmesi başarının en büyük anahtarlarından biridir. Bu, sorunlu alanları belirler ve herkesin sorumluluklarını bilmesini sağlar; aynı zamanda olay günlüklerinin araştırma kolaylığı için eşleşmesi için sistem saatlerinin senkronize edilmesi gibi küçük ama önemli sorunların giderilmesine de yardımcı olur. Ayrıca çalışanların eğitimindeki boşlukları da vurgulayabilir. Masaüstü senaryolarından tam simülasyonlara kadar çeşitli test yöntemlerinin kullanılması, işletmenin farklı seviyelerindeki hazırlık düzeyinin ölçülmesine yardımcı olur.
Liderlik satın alımı
Hiçbir zaman gerçekleşmeyecek bir olaya hazırlanmanın değerini kanıtlamak, liderliğin desteğini almak anlamına gelir ve finansman genellikle olay müdahale planlamasının en zorlu zorluklarından biri olarak görülür.
Kuruluşun varlıklarını, değerlerini ve bunların kaybı durumunda yaratacağı etkiyi bilmek, başlamak için iyi bir yerdir. Potansiyel maliyetleri ölçmek, tek bir olayın bu kaybı gerçekleştirmek için yeterli olabileceğini göstermek ve bir olay meydana geldikten sonra, bunun kötü etkileriyle mücadele etmek için bir plan başlatmak için çok geç olduğunu belirtmek önemlidir.
Bir güvenlik olayının kaçınılmaz kaosunu göstermek çoğu zaman onu anlatmaktan daha etkilidir. Lider ekipleri savaş oyunu senaryolarına dahil etmek bir seçenektir. Kurgusal bir olay kullanmak ve onlara ‘sahte’ bir olay müdahalesi konusunda rehberlik etmek, müdahale sürecinin, önemli kayıp potansiyelinin ve uygun bir planın mevcut olmamasının sonuçlarının anlaşılmasını artırmaya yardımcı olabilir.
Mevzuat ve uyumluluk yükümlülüklerinin işaretlenmesi de faydalıdır. Avrupa Birliği’ndeki NIS2 veya DORA düzenlemeleri gibi kuruluşun bir olayı ve tepkisini raporlamasını gerektiren yönergelerin ana hatlarını çizmek, uyumsuzluk nedeniyle daha da büyük para cezaları riskini vurgulayarak yönetim kurulundan ve üst düzey yöneticilerden finansman sağlanmasına yardımcı olabilir. . Bu mevzuat parçaları aynı zamanda devam eden testler veya risk yönetimi gibi bileşenler için iyi bir temel gereksinimler çerçevesi de sağlayabilir.
Güvenlik kültürü
Olay tespiti her zaman izleme yazılımından gelmeyebilir; bazen bir çalışanın fark ettiği bir anormallik olabilir. Şüpheli etkinliklerin veya hataların raporlanmasına yönelik kuruluş çapında mekanizmalara sahip olmanın yanı sıra sağlam ve ilgi çekici siber güvenlik eğitimi ve kullanıcıların, kişisel sonuçlardan korkmadan bir olayı nasıl (ve neden) rapor edeceklerini bildikleri bir kültüre sahip olmak çok önemlidir.
Kombine bir yaklaşım
Sağlam bir risk ve güvenlik programı oluşturmak, bir kuruluşun sistemlerine sızan tehdit aktörlerine karşı önleyici koruma sağlar. Ancak bu, derinlemesine ve dikkate alınmış bir olay müdahale planıyla birleştirilmelidir; başarılı bir ihlal veya önemli bir güvenlik olayı durumunda ne yapılacağını bilmek, tam operasyonel çöküş ile başarılı bir kurtarma arasındaki fark olabilir.