Secțiuni tematice

Subiecte

Ce trebuie să facem când lucrurile merg prost

Răspunsul la incidente

Ultima actualizare: iulie 2022

Acum știți cum trebuie să procedați corect. Ați implementat politicile și ați instruit pe toată lumea din organizație cu privire la cele mai bune practici. Chiar și după tot acest efort, probabilitatea ca ceva să meargă prost este încă destul de ridicată. Se mai întâmplă. Iar atunci, este esențial să aveți implementat un plan de răspuns la incidente. Răspunsul la incidente este o parte de o importanță crucială, adesea subestimată, a planului de securitate al organizației dvs., deoarece poate face diferența între un atac care vă poate distruge reputația organizației și o piedică neplăcută.

Rețineți că nu veți putea răspunde la un incident decât dacă sunteți conștienți de acesta. Este foarte important să aveți o cultură puternică de securitate la nivelul organizației și să încurajați personalul să raporteze problemele. De aceea, este mai bine să recompensați un bun comportament de securitate decât să pedepsiți breșele sau greșelile de securitate. La fel de important este și să fiți empatici și să vă preocupe bunăstarea personalului atunci când se raportează un incident. Este de dorit ca personalul să raporteze imediat că a accesat un link dintr-un mesaj de tip phishing, că i s-a furat telefonul sau că un cont de pe rețele sociale a fost atacat de hackeri - nu să ezite de frica represaliilor sau lipsa de sprijin. La urma urmei, răspunsul la incidente, la fel ca strategiile de diminuare menționate în alte secțiuni ale Îndrumarului, este un efort care trebuie făcut la nivelul întregii organizației.

Pentru ce trebuie să vă pregătiți? Pe scurt, pentru orice s-ar putea întâmpla. Aceasta diferă de la o organizație la alta, însă iată câteva întrebări comune la care vă poate ajuta să răspundeți un plan de răspuns la incidente:

  • Ce facem dacă site-urile sau conturile noastre sunt atacate de hackeri?
  • Ce facem facă cineva face clic pe un e-mail de tip phishing sau dacă un dispozitiv se comportă ciudat?
  • Ce facem dacă e-mailurile noastre sau documentele sensibile sunt furate sau scurse?
  • Ce facem dacă unul dintre angajații noștri este pus în pericol fizic sau arestat? Sau dacă se confruntă cu stres și anxietate din cauza unor asemenea amenințări?
  • Ce facem dacă biroul nostru suferă daune în urma unui incendiu, unei inundații sau unui dezastru natural?
  • Ce facem dacă telefonul sau computerul unui angajat este pierdut sau furat?

Răspunsul la aceste întrebări poate diferi în funcție de organizație, însă este important să le analizați împreună și să creați și distribuiți un plan clar, pentru ca toți membrii organizației dvs. să fie pregătiți să acționeze imediat și să limiteze daunele.

Conform Manualului securității holistice al Tactical Tech, un bun punct de pornire pentru un plan de răspuns la incidente este definirea unui incident sau a unei urgențe în contextul organizației dvs. Stabiliți ce este o „urgență” – adică punctul în care trebuie să începeți să implementați acțiunile și măsurile de urgență plănuite. Acest lucru este important, pentru că uneori va fi neclar – imaginați-vă un scenariu în care pierdeți contactul cu un coleg aflat pe teren; cât de mult ați aștepta înainte să declarați o urgență? Nu ne-am dori să ne pripim prea devreme, însă o așteptare prea lungă poate fi dezastruoasă în anumite situații. 

De asemenea, este important să vă gândiți și la pașii . operațiunii. Atribuiți fiecărei persoane un rol clar pe care să îl conștientizeze și pe care l-a acceptat în avans – acest lucru va reduce dezorganizarea și panica în eventualitatea unui incident. În cazul fiecărei amenințări, luați în considerare diferite roluri pe care s-ar putea să fie nevoie să vi le asumați și la aspectele practice pe care le implică răspunsul în fața unei urgențe. Parte a acestei strategii importante pentru situații de urgență este activarea unei rețele de sprijin – o rețea vastă de aliați, care poate include prieteni și rude, susținători de încredere, partide politice aliate și posibil resurse guvernamentale. Cum vă pot sprijini aliații? Ar trebui să îi contactați în avans pentru a vă asigura că sunt dispuși să vă ajute în cazul unei urgențe și pentru a le spune ce așteptări aveți de la ei?

Atunci când răspundeți la un incident, comunicările eficiente devin tot mai importante. Stabiliți care sunt cele mai sigure și eficiente mijloace de comunicare cu fiecare actor în diferite scenarii și identificați mijloacele de rezervă. Luați în considerare faptul că, în cazul urgențelor, ar putea fi util să aveți indicații clare privind ceea ce (și ceea ce să nu) comunicați, când să comunicați, ce canale de comunicare să folosiți și cu cine să comunicați. De asemenea, luați în considerare cum un incident ar putea afecta reputația organizației dvs. și fiți pregătiți să răspundeți adecvat. Asigurați-vă că responsabilul pentru comunicare din cadrul organizației dvs. (în anumite organizații, acesta ar putea fi persoana care administrează pagina de Facebook sau contul de Twitter) a fost informat cu privire la incident și poate urmări rețelele sociale sau alte medii pentru a un potențial impact. De asemenea, acesta trebuie să fie pregătit să răspundă la posibilele întrebări despre adresate de public sau de media, dacă este cazul. Acest lucru este îndeosebi important pentru a împiedica răspândirea de povești care v-a putea afecta negativ sau distruge reputația. Cu toate că fiecare incident și context este diferit, comunicările oneste și transparente ajută adesea la construirea încrederii în urma unui incident.

Crearea unui sistem de alertare timpurie și de răspuns

Luați în considerare crearea unui sistem de alertare timpurie și de răspuns. Un astfel de sistem sună pretențios, însă este, de fapt, doar un document centralizat (electronic sau de alt tip) pe care să-l deschideți în eventualitatea unei urgențe. În document, trebui să înregistrați toate detaliile despre indicatorii și incidentele de securitate care au survenit într-o axă de timp, să furnizați o descriere clară a acțiunilor și ordinii răspunsului plănuit și să indicați ce nevoie trebuie îndeplinite pentru a indica faptul că riscul a scăzut din nou. Ar trebui, de asemenea, să includă acțiuni de urmat în urma unui incident, pentru a-i proteja pe cei implicați de alte probleme și pentru a-i ajuta să se recupereze fizic și emoțional. Un sistem de alertare timpurie și de răspuns poate oferi documente utile pe care să le predați autorităților de aplicare a legii (dacă este cazul), o analiză ulterioară a ceea ce s-a întâmplat și indicații pentru îmbunătățirea tacticilor de prevenție și răspuns la amenințări pe viitor.

Pe lângă aceste concepte importante de răspuns la incidente, organizația dvs. trebuie să se pregătească și pentru orice răspuns tehnic specific. În unele cazuri, un răspuns tehnic poate fi gestionat de personalul IT intern sau administratorii de sistem. De exemplu, dacă un cont de e-mail pare să fi fost atacat de hackeri, administratorul de cont trebuie să fie pregătit și capabil să închidă sau să dezactiveze contul afectat. Însă unele incidente tehnice ar putea necesita abilități pe care personalul dvs. intern nu le dețin. În astfel de situații, este important să identificați o listă de încredere de experți tehnici externi care vă pot ajuta să răspundeți la incidente. În anumite cazuri, vă recomandăm că prenegociați termenii cu furnizorii de servicii (precum gazda site-ului dvs. web sau un consultant IT), pentru a vă asigura că aceștia sunt disponibili (și nu vor percepe costuri suplimentare) pentru răspunsul la incidente tehnice.

Nu în ultimul rând, ar trebui să luați în considerare și pașii legali. Este important să înțelegeți protecția legală de care beneficiați, precum și obligațiile sau consecințele legale asupra organizației dvs. ca rezultat al unei breșe de date sau al unui alt incident de securitate. Un prim pas ar putea fi identificarea unui consilier juridic de încredere care să înțeleagă legile și reglementările țării sau ale zonei dvs. Discutați posibilele incidente cu consilierul juridic relevant dacă este necesar și concepeți un plan de acțiune pentru răspuns. O idee bună este să semnați un contract cu acest consilier de încredere care să vă reprezinte pe dvs. și interesele dvs. în urma unui incident, dacă este nevoie. Ca parte a acestei pregătiri legale, asigurați-vă că înțelegeți obligațiile legale ale tuturor furnizorilor sau partenerilor. Au obligația să vă informeze în cazul în care se confruntă cu o breșă de date? Ce sprijin (dacă este cazul) sunt obligați să vă ofere în cazul unui incident? Atunci când redactați contracte și acorduri cu furnizorii externi, luați în considerare posibilitatea unei breșe de date sau altui incident.  

Cu toate că nu există o abordare universală pentru răspunsul la incidente, este esențială stabilirea unor planuri operaționale, de comunicare, tehnice și legale. În procesul de concepere a planului dvs. de răspuns la incidente, vă încurajăm cu tărie să faceți uz de câteva resurse excelente create pentru a ajuta organizațiile să răspundă la incidente. Chiar dacă nu toate resursele menționate sunt dezvoltate special pentru partidele politice, conținutul acestora este relevant. Aceste resurse includ Trusa de prim ajutor digital dezvoltată de RaReNet și CiviCERT, Manualul de apărare contra hărțuirii cibernetice creat de PEN America, Manualul securității cibernetice pentru campanii și Șablon de plan de comunicare pentru incidente cibernetice ale Centrului Belfer, cât și Linia de asistență pentru securitate digitală de pe Access Now.

Răspunsul la incidente

  • Dezvoltați un plan de răspuns la incidente la nivelul organizației și exersați-l.
    • Faceți brainstorming despre posibilele incidente și pregătiți-vă răspunsul înainte ca incidentul să survină.
  • Asigurați-vă că toți membrii organizației dvs. cunosc metodele de comunicare și ce pași tehnici vor fi urmați în cazul unui incident.
  • Însușiți-vă cunoștințe despre protecțiile și obligațiile legale.
  • Pregătiți-vă să oferiți personalului organizației sprijinul emoțional și social de care au nevoie în urma unui incident.