Ar jūsų įmonė pasiruošusi reaguoti į saugumo pažeidimą ar kibernetinę ataką? Kibernetinio saugumo ekspertų teigimu, reikia mąstyti, „kada“, o ne „ar“ jūsų organizacija patirs rimtą kibernetinio saugumo incidentą. Tai taikoma tiek didelėms įmonėms, tiek mažoms ir vidutinėms įmonėms (MVĮ).
Turinys:
Kiekvienai organizacijai, nepriklausomai nuo jos dydžio, labai svarbu turėti parengtą atsako į incidentus planą, kuris būtų vykdomas iš karto po saugumo incidento. Atsako į incidentus planą reikia parengti nedelsiant. Šiandien atidžiau apžvelgsime, ką reikia žinoti norint parengti gerą kibernetinio saugumo atsako į incidentus planą.
Didėjanti kibernetinio saugumo incidentų banga: pasaulinė problema
2020 m. ir 2021 m. pateikė nemažai iššūkių. Pasaulinė COVID-19 pandemija privertė įvairaus dydžio organizacijas kurti nuotolinio darbo jėgą ir pereiti prie debesijos platformų. Deja, tokie pokyčiai sutapo su dideliu kibernetinio saugumo incidentų augimu, įskaitant 600 proc. išaugusį bendrą kibernetinių nusikaltėlių aktyvumą.
Kibernetinio saugumo incidentų, ypač išpirkos reikalaujančios programinės įrangos atakų, skaičius 2021 m. išaugo 151 proc. Apskaičiuota, kad šiandien kas 11 sekundžių nauja organizacija tampa išpirkos reikalaujančios programinės įrangos atakos auka.
Tačiau tai dar toli gražu ne viskas. „CPO Magazine“ praneša, kad buvo pažeista beveik pusė milijono „Zoom“ paskyrų, o su šiomis paskyromis susiję duomenys buvo parduoti tamsiajame internete. Be to, vien 2020 m. sausio–vasario mėn. fišingo atakų skaičius išaugo 510 proc. „Cybercrime Magazine“ pažymi, kad 2021 m. pasaulinė kibernetinių nusikaltimų žala siekia 16,4 mlrd. dolerių per dieną, 684,9 mln. dolerių per valandą, 11 mln. dolerių per minutę ir 190 000 dolerių per sekundę.
Atėjo sudėtingi laikai verslui, tačiau pelningi kibernetiniams sukčiams. Šiuolaikinėms įmonėms labai svarbu pasirengti tinkamai reaguoti į kibernetinius nusikaltimus. Nacionalinio kibernetinio saugumo aljanso duomenimis, 60 proc. mažų ir vidutinių įmonių, patyrusių rimtą kibernetinio saugumo incidentą, per šešis mėnesius nutraukia veiklą.
Kas yra atsako į incidentą planas ir kam jis reikalingas?
Atsako į incidentą planas – tai instrukcijų ir gairių rinkinys, skirtas padėti organizacijoms pasirengti kibernetinio saugumo incidentui, jį aptikti, į jį reaguoti ir atsitiesti po jo. Dauguma planų sudaromi spręsti tokias problemas kaip kenkėjiškos programinės įrangos atakos arba bendri saugumo ir duomenų apsaugos pažeidimai. Paprastai tokie planai yra orientuoti į technologijas ir juose pateikiamas atsako į incidentus procesas – tam tikra veiksmų eiga įmonei patyrus kibernetinio saugumo incidentą. Taip pat svarbu pažymėti, kad atsako į incidentus planuose dėmesys turėtų būti skiriamas ne tik IT skyriui, bet ir kitoms komandoms. Geras planas apima finansų, klientų aptarnavimo, ryšių su visuomene, žmogiškųjų išteklių, teisės ir kitas sritis.
Rengdami atsako į kibernetinio saugumo incidentą planą, pasirūpinkite, kad jis būtų kuo konkretesnis. Jis turėtų būti pritaikytas specialiai jūsų organizacijai ir jame turėtų būti aiškiai nurodyta, kas, ką ir kada turėtų daryti, jei įmonė patirtų kibernetinę ataką. Kad atsako į incidentą procesas būtų sėkmingas ir atitiktų jūsų įmonės poreikius, reikia įvertinti daugybę aplinkybių. Kai kurios įmonės nežino, nuo ko pradėti, jau nekalbant apie tai, kam teikti pirmenybę. Norint atkreipti dėmesį į šią opią problemą, pateikiame keletą svarbiausių dalykų, į kuriuos reikėtų atsižvelgti rengiant kibernetinio saugumo atsako planą.
Atsako į incidentus metodika
Sprendžiant kibernetinio saugumo incidentus organizacijoms gali būti naudingi struktūriniai metodai, kuriuos siūlo NIST ir SANS.
NIST keturių etapų procesas apima toliau pateiktus nuoseklius veiksmus.
Pasiruošimas: kibernetinio saugumo rizikos valdymo pagrindų kūrimas.
Aptikimas ir analizė: incidento specifikos nustatymas ir įvertinimas.
Sulaikymas, naikinimas ir atkūrimas: incidentų šalinimas ir neutralizavimas, po to – sistemos atkūrimas.
Veikla po incidento: incidento analizė saugumui sustiprinti.
Ši sisteminė strategija pabrėžia nuolatinio tobulinimo ciklą, užtikrinantį plačią atsako į incidentus operacijų aprėptį. NIST keturių etapų procese nuosekliai išdėstoma, kaip suburti komandą, apibrėžti vaidmenis, nustatyti komunikacijos protokolus. Šios gairės yra universalios ir lengvai pritaikomos įvairioms pramonės šakoms.
Kita vertus, SANS pristato šešių etapų procesą, kuriame daugiausia dėmesio skiriama:
Pasiruošimas: komandos parengimas veiksmingai reaguoti į saugumo incidentus.
Identifikavimui: galimų saugumo incidentų aptikimas.
Sulaikymas: plitimo ar eskalavimo ribojimas.
Naikinimas: grėsmių pašalinimas.
Atkūrimas: sistemos funkcionalumo atkūrimas ir patvirtinimas.
Išmoktos pamokos: įžvalgos būsimiems atsakams sustiprinti.
SANS šešių etapų proceso sistemoje labiau gilinamasi į techninius incidentų valdymo aspektus, skatinant praktinį požiūrį į kibernetinio saugumo įvykių valdymą. SANS pasitelkia bendruomenės patirtį ir siūlo dinamišką požiūrį į incidentų suvaldymą. Numatomi efektyvūs veiksmai ir išsamios procedūros, kurios gali padėti organizacijoms tinkamai pasiruošti atsakui.
Suburkite vidinę reagavimo komandą
Apsvarstykite galimybę suburti vidinę komandą, kuri būtų atsakinga už atsako į kibernetinio saugumo incidentus plano parengimą ir jo vykdymą kritiniu atveju. Komandos dydis priklauso nuo įmonės išteklių, tačiau ją turėtų sudaryti IT ir kibernetinio saugumo specialistai, žmogiškųjų išteklių specialistas, komunikacijos vadovai ir teisės specialistas. Jei jūsų organizacijoje įvyktų saugumo incidentas, vidinė komanda gali būti labai naudinga, nes joje dirbantys žmonės būtų gerai susipažinę su tuo, kaip turėtų būti vykdomas atsako į incidentą planas.
Incidentų diferencijavimas
Ne visi saugumo incidentai yra vienodi. Todėl, kurdami atsako planą, apsvarstykite galimybę nustatyti skirtingų tipų procedūras skirtingiems incidentams. Labai svarbu įvertinti, kokie saugumo incidentai jūsų įmonėje būtų laikomi nedideliais ir dideliais. Dėl kai kurių pažeidimų gali tekti imtis rimtų atsakomųjų veiksmų, o su kitais galima susidoroti naudojant mažiau išteklių. Be to, atsižvelgiant į pažeidimo svarbą, atsako grupėje gali prireikti įvairių darbuotojų. Incidentų diferencijavimas yra labai svarbus mažesnėms įmonėms dėl ribotų išteklių.
Sukurkite veiksmų eigos kontrolinį sąrašą
Gerai parengtame atsako į kibernetinio saugumo incidentus plane turi būti pateiktas prioritetinių veiksmų, kurie turėtų būti atliekami iš karto po to, kai įmonė sužino apie galimą incidentą, kontrolinis sąrašas. Juk tai ir yra plano esmė. Nors kiekvienos organizacijos kontroliniai sąrašai skirsis priklausomai nuo jos dydžio, veiklos tipo ir kitų veiksnių, pateikiame keletą veiksmų, kurie turėtų būti įtraukti į bet kurį kontrolinį sąrašą:
Įrašykite pažeidimo nustatymo datą ir laiką.
Apibrėžkite saugumo incidento tipą.
Išjunkite galimai pažeistas sistemas, kad išvengtumėte tolesnės neleistinos veiklos.
Apklauskite asmenis, turinčius svarbių žinių apie galimą pažeidimą.
Padarykite pažeistų sistemų kopiją, kad jas būtų galima sutvarkyti nepakenkiant tyrimo procesui.
Komunikuokite viduje.
Parenkite viešąjį pranešimą visuomenei.
Reguliariai peržiūrėkite ir keiskite atsako į incidentus planą
Atsako į kibernetinio saugumo incidentus planas turi būti reguliariai peržiūrimas ir keičiamas atsižvelgiant į didėjančius ar mažėjančius įmonės išteklius ir kibernetinio saugumo tendencijas. Tai reikėtų daryti bent kartą per metus ar net dažniau. Atsaką į incidentus kibernetinio saugumo srityje dažnai reikia optimizuoti pagal organizacinius pokyčius, susijusius su personalu, IT infrastruktūra ir pan.
Įmonių kibernetinis saugumas gali būti itin sudėtingas. Tai susiję su žmogiškuoju faktoriumi ir daugybe kintamųjų. Net ir verslo pasaulio gigantai susiduria su sunkumais dėl griežtėjančių kibernetinio saugumo reikalavimų. O iš tiesų netgi toks sudėtingas dalykas kaip įmonės saugumas prasideda nuo smulkmenų, pavyzdžiui, geros slaptažodžių higienos ar gebėjimo atpažinti apgaulingą el. laišką.
Kaip „NordPass“ gali padėti apsaugoti jūsų verslą?
„NordPass“ puikiai supranta iššūkius, susijusius su jūsų įmonės duomenų apsauga. Mūsų „NordPass Enterprise“ planas skirtas padėti didelėms organizacijoms optimizuoti skaitmeninės prieigos valdymą ir bendrą saugumo būklę. Integruodami „NordPass“ į savo verslą, įgyjate saugaus slaptažodžių valdymo įrankį ir partnerį, skatinantį darbuotojus laikytis tinkamos kibernetinio saugumo praktikos.
„NordPass Enterprise“ siūlo daugybę pažangių ir patogių saugumo funkcijų, kad įmonės galėtų užtikrinti saugumą be didelio vargo. Naudodamos bendrųjų aplankų ir grupių funkcijas, organizacijos gali įdiegti prieigos kontrolę, suderintą su savo vidaus struktūromis ir politika.
Be to, „NordPass“ suteikia puikią galimybę palengvinti darbinę kasdienybę ir sutaupyti laiko, kuris sugaištamas, pavyzdžiui, rankiniu būdu įvedant prisijungimo duomenis. Visa tai – dėl automatinio įvedimo funkcijos, kuri sukurta taip, kad vos keliais spustelėjimais padėtų užpildyti internetines formas. Toks efektyvumas leidžia jūsų komandai susitelkti ties pagrindinėmis užduotimis, o tai labai svarbu įmonėms, norinčioms pagreitinti procesus.
Norite daugiau sužinoti apie atsaką į kibernetinio saugumo incidentus ir apie tai, kaip savo įmonę padaryti atsparesnę? Turime pasiūlymą kaip tik jums. Prieš keletą savaičių „NordPass“ surengė internetinį seminarą šia tema. Pranešėjų sąraše buvo Lisa Forte, „Red Goat Cyber Security“ partnerė, Vilius Benetis, „NRD Cyber Security“ direktorius, ir Andrius Januta, „Nord Security“ kibernetinio saugumo specialistas.