A biztonsági szakemberek általában belátják ennek a megközelítésnek a létjogosultságát, de az üzleti vezetők a legtöbbször nem akarnak hasonló fejjel gondolkodni. Ők szeretnék inkább elkerülni a negatív híreket, a megszokott mederben tartani az üzletmenetet, és a lehető legkevesebbet költeni a biztonságra. Nem szívesen hallanak arról, hogy ha hackertámadásról van szó, akkor már nem is az a kérdés, megtörténik-e egyáltalán a vállalattal, sokkal inkább az, hogy mikor.
Fontos lenne azonban az üzleti döntéshozóknak is végiggondolniuk, hogy mivel járhat, ha már betörtek a rendszerükbe, és ennek megfelelően sorra venniük a biztonsági kérdéseket.
Ha a vállalatot valóban megtámadják, az nem csupán az informatikai csapattól kíván reakciót. Ilyenkor aktív közreműködésre van szükség a többi részlegtől is, éppen ezért a válaszlépések kidolgozásához szükség van az üzleti vezetők és a többi osztály bevonására is.
Tervezzük meg az incidensek kezelését!
Elsődlegesen az IT-biztonsági csapat feladata a megfelelő védelmi vonalak kiépítése, százszázalékos védelem azonban nem létezik, ezért fel kell készülni minden eshetőségre.
Jól csökkenthetők ugyan a kockázatok többek között fejlett SIEM (biztonsági információ- és eseménykezelő) eszközökkel és hozzáférés-irányítással, minden veszély ellen azonban ezek sem védenek. Rendkívül nehezen akadályozhatná meg például egy IT-biztonsági szakember azt, hogy egy rosszindulatú alkalmazott kiszivárogtassa a birtokában lévő adatokat.
A visszaélések és behatolások különféle biztonsági szinteken történhetnek, és a reakciót is ennek megfelelően kell megtervezni. Például nem igényel felsővezetői beavatkozást egy olyan eset, amely nem érinti közvetlenül a szervezet ügyfeleit.
Ha azonban a cég az újságok címlapjára kerül egy komoly adatszivárgási probléma miatt, akkor már szükség van az ügyvezető és a teljes menedzsment csapat munkájára. Többek között a sajtónak kommunikálható üzenetek összeállításához vagy a részvényesek tájékoztatásához, illetve az esetleges érintettek kompenzálásának megtervezéséhez.
Célszerű ezeket a terveket pontosan részletezve összeállítani, majd rendszeresen tesztelni is. Sok nagyvállalatnál „piros csapatot” alakítanak ki erre a feladatra, amelynek tagjaira rábízhatják a fiktív ellenfél szerepét.
Ez a csapat állhat belső munkatársakból vagy külsős szakértőkből, egyes cégek pedig hibavadász (bug bounty) programot hirdetnek, és pénzzel jutalmazzák azokat a szemfüles felhasználókat és amatőr vagy profi szakembereket, akik megtalálják az esetleges sebezhetőségeket a vállalat termékeiben. Az így feltárt gyenge pontok megerősítésével tovább csökkenthetők a kockázatok, és egy esetleges vészhelyzetet is felkészültebben kezelhet a vállalat.
Tervezzünk a károk elhárítására!
A jó biztonsági csapatok általában már rendelkeznek forgatókönyvekkel bizonyos esetekre, például pontosan tudják, hogyan kell biztonsági mentésekből visszaállítani az adatokat.
Ugyanakkor nem csak a technikai feladatokat kell figyelembe venni. Az olyan különféle rendeletek, mint például a GDPR nagyon pontosan előírják például, hogy a szervezetek mennyi időn belül kötelesek értesíteni azokat a személyeket, akiknek az adatai érintettek egy incidensben.
Eközben a cég jogászainak is célszerű felkészülniük az esetleges perekre. Bűntény esetén pedig az is fontos, hogy a bűnügyi helyszínelőknek még azelőtt összegyűjtsék a bizonyítékokat, mielőtt azok megsemmisülnének a biztonsági mentés visszaállításával.
A cégeknek azt is muszáj rangsorolniuk, hogy kár esetén melyik szolgáltatásokat kell először visszaállítaniuk. Ha például egy zsarolóvírus több szolgáltatást is megbénít, melyikre van nagyobb szükség közülük? A vállalatoknak célszerű előzetesen összeállítaniuk az üzleti hatásanalízis (Business Impact Analysis – BIA) dokumentumokat, amelyek segítenek az ilyen döntésekben.
