План восстановления после кибератаки: подготовьте его, пока не стало слишком поздно

Опубликовано: 31 Марта, 2023
План восстановления после кибератаки: подготовьте его, пока не стало слишком поздно

Adobe. Yahoo. eBay. Эквифакс. LinkedIn. Когда вы впервые увидите эти имена, вам будет прощено подумать, что это своего рода список почета. Это одни из самых узнаваемых брендов в мире. Но они в этом списке, потому что они также стали жертвой одной из крупнейших утечек данных в 21 веке. И эти пять — лишь малая часть многих мировых брендов, подвергшихся кибератаке. Сообщение здесь ясно. Никто не в безопасности. Никто не застрахован. Каждая организация должна признать (или, по крайней мере, предположить), что она находится под прицелом одного или нескольких киберпреступников. Некоторые кибератаки трудно предотвратить из-за их масштаба и сложности. Что, однако, находится в пределах контроля целевой организации, так это то, как она восстанавливается после таких атак. Поэтому необходим план восстановления после кибератаки. Вот взгляд на некоторые области, которые он должен охватывать.

1. Руководитель группы восстановления

Ситуации с большей вероятностью могут выйти из-под контроля, когда существует неясность в отношении того, кто несет ответственность за руководство реагированием. Эффективное выполнение плана восстановления после кибератаки зависит от наличия назначенного лидера. Они будут отвечать за реализацию плана, как только будет подтверждено нападение.

Их точное название не так важно, как их назначение. Их можно назвать руководителем группы восстановления после кибератаки, координатором плана восстановления, руководителем плана восстановления, ведущим специалистом по восстановлению, менеджером по восстановлению и так далее. Руководитель группы должен быть знаком со всеми аспектами плана. У них должен быть заместитель на тот случай, если они будут недоступны или недоступны после подтверждения атаки.

2. Команда восстановления

Лидер группы восстановления возглавит группу людей, которые помогают лидеру в достижении цели. Реагирование на кибератаки по своей сути многогранно, и различные действия по реагированию должны выполняться быстро и одновременно. Команда должна быть готова работать вместе в течение нескольких недель, если это необходимо, поскольку они сосредоточены на восстановлении операций после атаки.

В группу по планированию восстановления после кибератаки должны входить как внутренние, так и внешние представители. В число потенциальных членов команды входят высшее руководство, эксперты по ИТ-безопасности, судебные ИТ-эксперты, опытные юристы, специализирующиеся на кибератаках, эксперты по киберстрахованию и специалисты по связям с общественностью.

3. Идентификация цели

Изображение 274
Шаттерсток

Восстановление должно начинаться с выявления проблемы, так как это начало решения. Если у вас нет четкого представления о характере и цели кибератаки, вы рискуете направить усилия по восстановлению в неверном направлении.

Конечно, иногда атака слишком сложна для того, чтобы внутренние специалисты по ИТ-безопасности могли ее полностью спланировать. Вот тут-то и придут внешние консультанты по кибербезопасности, у которых есть опыт такой работы. Они могут помочь вам определить, что произошло, когда, с кем и как долго.

4. Сдерживание

Вооружившись знанием проблемы, ваш следующий шаг — сдерживание. В зависимости от характера кибератаки это может повлечь за собой отключение систем, отключение сетевых сегментов, запуск сканирования на наличие вредоносных программ, закрытие проблемных портов и т. д.

Чем быстрее атака будет диагностирована и локализована, тем меньший ущерб она нанесет. Сдерживанием кибератаки лучше всего занимаются технические члены группы по планированию восстановления после кибератаки, включая штатных сотрудников по ИТ-безопасности и внешних экспертов по кибербезопасности.

6. Расследование

Выявление и локализация проблемы должны дать ориентиры, которые станут исходной основой для расследования. Расследованием займутся киберкриминалисты. Это потребует понимания того, как возник инцидент и какие пробелы позволили ему произойти.

Это важно для планирования дальнейших действий, работы с правоохранительными органами и освобождения вашей организации или ее сотрудников от ответственности.

7. Общение

Представитель по связям с общественностью в группе планирования восстановления после кибератаки может не обладать техническими знаниями других членов команды. Однако потеря мяча при общении может сделать всю техническую работу, проделанную для восстановления после атаки, бесполезной. Коммуникация влияет на долгосрочную репутацию бренда организации, доверие клиентов и соблюдение законодательства.

Как минимум, бизнес обязан как можно скорее информировать своих клиентов, сотрудников, регулирующие органы и правоохранительные органы. Часто со временем появляются новые сведения о кибератаке. Таким образом, общение не является разовым событием. Это происходит повсюду, поскольку предприятие стремится информировать все заинтересованные стороны.

8. Предотвращение будущих кибератак

План восстановления после кибератак Предотвращение будущих кибератак будет иметь краткосрочные, среднесрочные и долгосрочные компоненты. В краткосрочной перспективе уязвимости, ответственные за атаку, должны быть немедленно устранены. Это могут быть открытые порты, гостевые учетные записи, устаревшее программное обеспечение и многие другие направления атак.

В среднесрочной перспективе потребуются более обширные испытания и анализ киберзащиты организации, чтобы предотвратить атаки, которые могут произойти из еще не обнаруженных брешей. В долгосрочной перспективе организации, возможно, придется пересмотреть свою всеобъемлющую стратегию кибербезопасности для более глубоко укоренившихся проблем (таких как корпоративная культура), которые могли способствовать взлому.

9. Альтернативная технологическая среда

Кибератака может сделать производственную среду зараженной вредоносным ПО и сделать ее непригодной для использования. Также в первые несколько часов и дней недостаточно информации об истинном масштабе атаки.

Организации может потребоваться временно перейти на альтернативную технологическую среду, чтобы сохранить бизнес в рабочем состоянии. Это особенно касается разрушительных, всеобъемлющих атак, таких как программы-вымогатели.

10. Киберстрахование

Киберстрахование не защитит организацию от атаки. Однако впоследствии это может обеспечить мягкую посадку, чтобы защитить финансы бизнеса.

По сравнению с другими формами страхования, киберстрахование все еще находится в зачаточном состоянии и развивается. Тем не менее, полис киберстрахования может покрывать расходы на судебно-медицинское расследование, приостановку бизнеса, уведомление об утечке данных, судебные иски, урегулирование споров, штрафы регулирующих органов, вымогательство и репутационный ущерб.

Заблаговременно создайте план восстановления после кибератаки

План восстановления после кибератаки должен быть разработан задолго до того, как произойдет кибератака. Он должен регулярно подвергаться учениям, испытаниям и тренировкам, чтобы каждый знал, что от него ожидается после атаки.