Siber saldırılar daha yaygın hale gelse de, bunlarla başa çıkmak kuruluşlar için son derece zorlayıcı olmaya devam ediyor. Teknik düzeyde işler iyi gitse bile olay müdahalesi (IR), şirket genelinde hala stresli ve telaşlı bir süreçtir; siber kriz yönetiminin gerçeği budur.
Siber profesyoneller için, bir saldırıyı ele almanın sonuçları genellikle savaşı kazanmak ama savaşı kaybetmek gibi gelebilir. Suçlu ve devlet destekli gruplar tarafından gerçekleştirilen saldırılar da dahil olmak üzere her türden 400’den fazla siber olayı ele aldığım için, bu duygunun son altı yılda birçok kez ortaya çıktığını gördüm.
Örneğin, yakın zamanda büyük bir şirkette, teknik düzeyde olayın ele alınmasının mükemmel olduğu ancak yönetimle işbirliğinin karmaşık ve sinir bozucu olduğu, gerçek bir Babil Kulesi olan bir siber olayı yönettim. Teknik ekipler, kuruluş yönetiminin üst düzey üyeleri de dahil olmak üzere iş tarafının anlayabileceği bir dil konuşmadı. Yönetim, hızla değişen siber dünyanın gerektirdiği hızda ve esneklikte çalışamadı. Ve yönetimin hukuki konularda, iş ve bilgi sisteminin devamlılığında, personele ve kamuoyuna nelerin iletildiğine ilişkin karar vermesindeki hatalar, sonuçta olayın düzeltilmesine yönelik teknik faaliyeti ve nasıl ele alındığına dair algıyı etkiledi.
Açıkçası, her kuruluşun bir siber olayı değerlendirmek, belirlemek ve teknik olarak ele almak için sistematik bir planı olmalıdır. Ancak her şirket, kurumsal düzeyde de IR için hazırlık yapmalıdır. Bunu yapmak için düzenli ve sürekli bir siber kriz yönetimi hazırlık süreci olmalıdır.
Adım 1: Kurumsal varsayımların belirlenmesi ve rollerin tanımlanması
Kuruluşların, bir siber saldırının ana tehdit faktörleri, hedefleri ve pratik sonuçları hakkında çalışan bir varsayım geliştirmesi gerekir. Kuruluş ayrıca, ana iş faaliyetlerinin durdurulmasıyla sonuçlanan bir durum ve hassas bilgilerin sızdırıldığı veya çalındığı bir durum da dahil olmak üzere, başa çıkmaları gerekebilecek ana senaryoları belirlemelidir. Bunlar organizasyonun doğasına, faaliyet gösterdiği sektöre, coğrafi konumuna ve siber olay geçmişine göre yapılmalıdır. Bu senaryolar, iş ve tehditler değişip büyüdükçe sürekli olarak güncellenmelidir. Düzenlemeler giderek artan bir şekilde siber olayların rapor edilmesini gerektirdiğinden, halka açık şirketler, saldırılarla birlikte gelebilecek görüntü ve mali risklerin de farkında olmalıdır.
Ek olarak, her kuruluşun saldırganlarla müzakere edip etmeyeceği ve fidye ödemeyi düşünüp düşünmeyecekleri gibi temel soruları yanıtlayarak yol gösterici ilkelerini belirlemesi gerekir. Ayrıca, bir saldırıyı kimin hafifleteceğine karar vermesi gerekir – dahili bir ekip veya kiralık bir üçüncü taraf. Son olarak, şirket, bir saldırıyla başa çıkmanın her adımında, yönetiminden kimin risk sahibi olduğunu belirlemelidir. Şirketler bunun için bir siber krizin her aşamasında kimin Sorumlu, Sorumlu, Danışılan ve Bilgilendirilen olduğunu belirlemeye yardımcı olan RACI Matrisini kullanabilir.
2. Adım: Tüm departmanlarda entegre bir eylem planı oluşturmak
Her departmanın siber kriz senaryolarıyla başa çıkmak için bir plan oluşturması gerekiyor. Örneğin hukuk departmanı, hangi bilgilerin yatırımcılar, müşteriler veya halkla paylaşılması gerektiği dahil olmak üzere herhangi bir yasal gerekliliği önceden anlayacaktır. Dış ilişkiler departmanı, olası bir dağıtım listesinin yanı sıra bir siber saldırı ile ilgili bülten veya duyurular için çerçeveyi önceden hazırlayacaktır.
Şirket yönetiminin her departmanın rolünü bildiğinden, bir planı olduğundan ve planların departmanlar arasında senkronize ve koordine edildiğinden emin olması gerekir.
3. Adım: Bir IR planı oluşturma
Kuruluşların, saldırıyı yönetmek için hangi bilgi teknolojisi altyapısının kullanılacağı da dahil olmak üzere, bir siber saldırının hafifletilmesi sırasında hangi altyapının kullanılacağını belirlemesi ve kurumsal ağların ve BT sistemlerinin çalışmadığı durumlar için acil durum planları olması gerekir. Plan, mümkün olduğunda, hafifletme sürecinde iş sürekliliğinin nasıl sağlanacağını da dikkate almalıdır.
Planın bu kısmı ayrıca, hafifletme sürecini hangi kişilerin yöneteceğinin atanmasını ve sürekli bir siber acil durum durumunda kuruluştan bir kişinin her zaman görev başında olması için günün her saatinde bir vardiya rotasyonu oluşturmayı içerir.
Adım 4: Planın departman ve organizasyon düzeyinde uygulanması
Bir plan oluşturmak yeterli değildir, hem bölümler içinde hem de genel organizasyon düzeyinde tatbikatlar ve provalar yoluyla uygulanmalıdır. Bu, şirketlerin plandaki boşlukları fark etmelerini ve bunları etkili bir şekilde gidermelerini sağlar.
Tatbikat yapmak aynı zamanda tüm yöneticileri ve çalışanları dahil etmenin etkili bir yoludur. Bu, siber güvenliğin rolü ve önemi ve bunun sadece teknik bir sorun değil, bir kuruluşun tüm bölümlerini ilgilendiren varoluşsal bir endişe olduğu konusunda daha fazla farkındalık kazanmalarına yardımcı olur.
Çözüm
Bugünlerde hiç kimse bir saldırıyı tamamen önleyemez ve buna inanmak saflık olur. Ancak bir saldırıyı durdurmaktan sonraki en iyi şey, onu hafifletmektir.
Farklı saldırı türlerinin ana sonuçlarını değerlendirmek mümkündür ve her departmanın siber kriz yönetim planları geliştirme sorumluluğu vardır. Bu, kriz tarafından yönetilmek yerine krizi yönetmelerini sağlayacaktır. İlgili taraflar iletişim kurabilecek ve bir “Babil Kulesi” durumundan kaçınabilecektir. Sonuç olarak bu, hataları ve kuruluşa verilen zararı azaltacak, krize müdahale süresini kısaltacak ve kuruluş içindeki ve dışındaki birçok paydaş için daha az hayal kırıklığı ile sonuçlanacaktır.