Brytyjskie Narodowe Centrum Cyberbezpieczeństwa (NCSC) opublikowało raport wytyczne mające na celu pomoc dyrektorom generalnym w sektorze prywatnym i publicznym rozumieją, jak najlepiej zarządzać incydentami związanymi z bezpieczeństwem cybernetycznym i reagować na nie.
Wytyczne, które zostały zaprojektowane jako uzupełnienie istniejący pakiet wsparcia Board Toolkitmają służyć jako nietechniczny przewodnik mający pomóc liderom biznesowym w wyborze różnych kierunków działań, które będą musieli podjąć, gdy ich zespoły ds. IT i bezpieczeństwa będą ciężko pracować.
„Jeśli Twoja organizacja stanie się ofiarą poważnego cyberataku, jego bezpośrednie następstwa będą trudne” – stwierdziło NCSC. „Może się okazać, że w niektórych obszarach jest dużo informacji, a w innych żadnych. Aby chronić swoje operacje, będziesz musiał podjąć trudne decyzje oparte na ryzyku. Twoim celem będzie ograniczenie wpływu na Twoją firmę, klientów i pracowników w nadchodzących tygodniach i miesiącach”.
Biorąc pod uwagę, że reagowanie na incydenty obejmuje znacznie więcej niż tylko bezpieczeństwo i obejmuje praktyki ciągłości działania, komunikację wewnętrzną i zewnętrzną oraz potencjalnie zespoły finansowe i prawne, coraz ważniejsze jest, aby organizacje posiadały proporcjonalne i skuteczne zarządzanie, stwierdziło NCSC.
Dlatego pierwszym krokiem powinno być mianowanie dedykowanego starszego oficera odpowiedzialnego (SRO) lub wdrożenie szerszej struktury dowodzenia – wielu decyduje się na adaptację dobrze znanej trójstopniowej struktury dowodzenia z brązu, srebra i złota, stosowanej w sytuacji nadzwyczajnej w Wielkiej Brytanii usługi.
Dyrektorzy generalni powinni także nadzorować wdrażanie struktur, które pomogą ich zespołom w podejmowaniu skutecznych decyzji, uwzględniając pełny wpływ incydentu na wszystkie części organizacji, ułatwiając współpracę między osobami zarządzającymi reakcją i zapewniając większe uprawnienia decydentów wyższego szczebla poprzez jaśniejsze przedstawianie sytuacji jak i dlaczego bardziej techniczne aspekty incydentu cybernetycznego będą miały na nie wpływ w praktyce.
Wreszcie nie mogą bać się umożliwienia zdecydowanej reakcji na różne wymagania związane z incydentem, obejmującej takie aspekty, jak komunikacja z zarządem, klientami lub użytkownikami, mediami i innymi zainteresowanymi stronami, takimi jak organy regulacyjne i firmy ubezpieczeniowe.
Wsparcie zewnętrzne konieczne
Możliwość szybkiego skorzystania z zewnętrznych zasobów w celu uzyskania wskazówek i wsparcia podczas incydentu cybernetycznego jest również koniecznością, dlatego struktury te należy utworzyć, gdy jeszcze świeci słońce. Dyrektorzy generalni powinni otaczać swoje zespoły specjalistyczną wiedzą cybernetyczną stron trzecich; Osoby, które są w stanie cofnąć się i obiektywnie przemyśleć sprawę, mogą drastycznie poprawić jakość procesu decyzyjnego w najciemniejszych godzinach i dniach zdarzenia oraz pomóc ofiarom lepiej radzić sobie ze względami prawnymi, technicznymi, operacyjnymi i komunikacyjnymi.
Samo NCSC rekomenduje i zapewnia, że szereg firm zajmujących się reagowaniem na incydenty cybernetyczne można z nich korzystać, ale w wytycznych wskazano również, że dostawcy ubezpieczeń cybernetycznych mogą chcieć wdrożyć własne, wewnętrzne lub preferowane podmioty reagujące na incydenty, dlatego należy ich na bieżąco informować.
Żądania ransomware
W przypadku ataków ransomware liderzy biznesowi będą musieli również wziąć pod uwagę ryzyko związane z dokonaniem płatności w celu odzyskania swoich danych i systemów. Cyberprzestępcy często wyznaczają napięte terminy, działają agresywnie i kłamią, aby wyłudzić pieniądze od swoich ofiar, dlatego ważne jest, aby być przygotowanym na radzenie sobie z ich taktyką.
Obecnie nie ma przepisu, który uniemożliwiałby organizacji sektora prywatnego w Wielkiej Brytanii zapłatę okupu – chociaż rośnie presja, aby to zmienić – ale NCSC ani brytyjskie organy ścigania zachęcać, popierać lub akceptować płacenie żądań okupu. Nie ma gwarancji, że po zapłaceniu cyberprzestępcy będą działać w Twoim interesie, a udowodniono, że płacenie wygórowanych żądań zwiększa ryzyko ponownego trafienia.
Zdrowie psychiczne
Dyrektorzy generalni powinni również pamiętać o umieszczeniu morale i dobro swoich pracowników jako wysoki priorytet podczas cyberataku – stres i niepewność w takich momentach mogą mieć ogromny wpływ na reakcję na incydent.
NCSC radzi, że będzie to musiał być proces ciągły – poza początkową falą działań incydenty cybernetyczne często mają bardzo, bardzo długi ogon, a ich skutki utrzymują się miesiącami, a nawet latami, jeśli zaangażują się organy regulacyjne. Zespoły będą musiały podejmować ważne decyzje w trakcie tych procesów, dlatego dobre praktyki związane z dobrym samopoczuciem są niezbędne, aby wesprzeć je w tym procesie, a także mogą pomóc w zatrzymaniu personelu na dłuższą metę.
Poza rozdzielczością
Kiedy minie faza cyberataku „bezgłowego kurczaka”, organizacje będące ofiarami często staną przed nierozstrzygniętymi – wieloma z nich bardzo zniechęcającymi – pytaniami dotyczącymi zagrożeń dla danych klientów i personelu, dlatego ważne jest, aby właściwie poinformować o skutkach każdego takiego naruszenia, zarówno dla osób, których to dotyczy, jak i dla organów ścigania, osób reagujących na incydenty, ubezpieczycieli, organów regulacyjnych i tak dalej.
Szersze wytyczne na ten temat są jak zawsze dostępne w witrynie Biuro Komisarza ds. Informacjiobejmujące takie aspekty jak 72-godzinne ramy zgłaszania naruszeń podlegających zgłoszeniu.
Jednocześnie skuteczne i przejrzyste zewnętrzne public relations uspokoi obu pracowników i pomoże chronić szerszą reputację organizacji. Komunikaty takie powinny być oparte na faktach i jasne, a także dokładać wszelkich starań, aby nigdy nie przedstawiać błędnie ani nie bagatelizować zdarzenia – może to spowodować trudności i w dalszej perspektywie zaszkodzić zaufaniu. Te plany komunikacji oraz to, jakie szczegóły zostaną przekazane komu, to kwestie, które należy opracować z wyprzedzeniem.
Strategia całkowitej przejrzystości może oczywiście nie być dla wszystkich – ale przykład Biblioteki Brytyjskiej, która wcześniej, w marcu 2024 r., opublikowała szczegółowy raport która przedstawiła swoje doświadczenia związane z atakiem ransomware, ustanawia złoty standard dobrych praktyk w zakresie komunikacji o incydentach.
Wreszcie, stwierdził NCSC, dyrektorzy generalni powinni dołożyć wszelkich starań, aby dokonać przeglądu wniosków wyciągniętych z incydentu, przeprowadzając sesje podsumowujące z zaangażowanymi osobami i zadając pytania, co poszło dobrze, co poszło źle i co można było zrobić inaczej lub lepiej. Aby to podejście było skuteczne, konieczna jest autentyczna chęć wyciągnięcia wniosków z doświadczeń i zrozumienia, co do nich doprowadziło, zatem przeglądy te powinny mieć charakter systemowy – i, co najważniejsze, nie ustalać jednej pierwotnej przyczyny ani nie obwiniać jednej osoby .
Celem tego etapu nie jest karanie, ale zapobieganie i przygotowanie, zatem wszyscy zaangażowani muszą zrozumieć różne czynniki związane z incydentem i ich wzajemne powiązania.