Sviđalo se to nama ili ne, svaki put kada dođe do sigurnosnog incidenta, pokreće se proces žaljenja. No, žaljenje nije nužno loša stvar – to je način na koji obrađujemo emocionalne reakcije i nastavljamo dalje. Upravo to trebaju raditi sigurnosni timovi nakon cyber incidenta. Zanimljivo je kako se faze odgovora na incidente gotovo savršeno poklapaju s poznatih “pet faza žaljenja”.
Počevši od poricanja, pa kroz ljutnju, pregovaranje, depresiju i na kraju prihvatanje, sigurnosni stručnjaci mogu naučiti mnogo iz ovog procesa:
Negiranje (analiza)
Negiranje je često najteža faza žaljenja. Kao IT ili sigurnosni stručnjak, može biti teško prihvatiti da je napadač možda probio vaše odbrambene mehanizme i infiltrirao se u sistem. Kada prvi put vidite dokaze o incidentu, možda ćete tražiti drugačija objašnjenja. Je li lažna uzbuna? Možda je zaposlenik slučajno otvorio pogrešnu aplikaciju? Možda se radi o grešci automatizovanog procesa ili pogrešnoj konfiguraciji? Prirodno je željeti istražiti sve mogućnosti prije nego što zaključite najgore.
Ipak, duboko u sebi znate istinu – 100% zaštita ne postoji, i incidenti će se desiti. Prvi korak ka izlasku iz negiranja jeste prikupljanje informacija – gdje se incident događa, šta se tačno dešava i koji su mogući ciljevi napadača. Kada prihvatite da je sigurnosni incident u toku, možete preći na njegovo rješavanje.
Ljutnja (suzbijanje širenja napada)
Ljutnja i frustracija su prirodne reakcije na incident, ali sigurnosni lideri moraju usmjeriti te emocije u akciju. Kada potvrdite da nije riječ o lažnoj uzbuni i da napadač zaista radi unutar vašeg sistema, vaša prva misao može biti: “Ovo će mi uzeti dane, sedmice ili čak mjesece života.” Možda ćete biti ljuti na određeni tim zbog nepoštovanja sigurnosnih pravila ili zanemarivanja procedura. Ako je napad ozbiljan, trebat će vremena da se situacija sanira – i to može izazvati još više frustracije.
Ključno je iskoristiti tu ljutnju za brzo suzbijanje incidenta. Kada je napadač već u sistemu, faza negiranja je prošla, a sada je cilj smanjiti obim štete i spriječiti njegovo daljnje širenje. To može značiti isključivanje određenih sistema, izolaciju mrežnih segmenata ili blokiranje sumnjivih korisničkih naloga.
Iako niko ne želi doživjeti incident, postoje i pozitivni aspekti – često se u ovim situacijama ruše komunikacione barijere između timova, pa odjeli koji su ranije imali nesuglasice sada rade zajedno protiv zajedničkog neprijatelja.
Takođe, kod incidenata s curenjem podataka, važno je smanjiti njihovu vrijednost na nulu. Ako su, na primjer, ukradene lozinke iz baze podataka, prisiljavanje korisnika na njihovu promjenu i dodatna autentifikacija mogu učiniti ukradene podatke beskorisnim napadačima.
Pregovaranje (uklanjanje prijetnje)
Nakon što je incident suzbijen, sljedeći korak je potpuno uklanjanje prijetnje i osiguravanje da se ne može ponovo pojaviti. Ovo može biti izazovan proces – možda ćete morati prihvatiti da su određeni podaci šifrovani ili ukradeni, ili da su neki sistemi nepovratno kompromitovani. Obnova će biti jednostavna za neke sisteme, dok će za druge biti dugotrajan proces.
Ovo je faza kada se sigurnosni timovi počinju pitati: “Da smo samo instalirali dodatni sigurnosni agent, ovo se ne bi dogodilo.” Ili: “Da nam prošle godine nisu odbili budžet za dodatne resurse, sada bismo imali bolju zaštitu.”
No, sada nije vrijeme za žaljenje. Ključno je sarađivati s ključnim dionicima i donositi ispravne odluke u pravo vrijeme. Iako je važno učiti iz prošlih grešaka, fokus mora ostati na trenutnom uklanjanju prijetnje.
Depresija (oporavak)
Incident je potvrđen, prijetnja je uklonjena, ali sada dolazi teži dio – vraćanje sistema u normalno stanje.
- Koji sistemi moraju biti obnovljeni iz backup-a?
- Koliko dugo će to trajati?
- Da li se neki sistemi mogu odmah pokrenuti ili je potrebna dodatna sigurnosna provjera?
- Da li su potrebni vanjski konsultanti ili partneri?
- Kako će incident biti komuniciran kupcima, regulatorima i internim timovima?
- Ako vraćamo sistem iz backup-a, koliko podataka gubimo i kako će to uticati na poslovne procese?
Takođe, ovo je trenutak za pravilnu kriznu komunikaciju – informisanje uprave, regulatornih tijela i korisnika. Dobra vijest je da danas postoji sve veće razumijevanje da su cyber incidenti neminovni. Kupci i partneri cijene transparentnost, pa ako se incident pravilno riješi i komunicira, većina će cijeniti iskrenost i preduzete mjere.
Prihvatanje (postmortem analiza)
Na kraju dolazimo do prihvatanja. Sistem se oporavlja, a sada je vrijeme za analizu onoga što se desilo i kako spriječiti buduće incidente.
- Koji je bio tačan put napada?
- Koje ranjivosti su iskorištene?
- Kako je napadač uspio izbjeći detekciju?
- Da li su sigurnosni alati i procesi radili kako je očekivano?
- Gdje su bile slijepe tačke?
- Da li su potrebne dodatne kontrole ili prilagođavanje regulatornim standardima?
- Kako poboljšati incident response plan?
Prihvatanje da se napadi mogu dogoditi ne znači pomiriti se s njima. Naprotiv, to znači iskoristiti naučene lekcije kako bi se poboljšala odbrana i osiguralo da se isti napad ne ponovi.
Prevođenje žalovanja u akciju
Žaljenje je univerzalno iskustvo, ali je ujedno i alat za učenje. Sigurnosni timovi mogu koristiti ove faze kao vodič za efikasno upravljanje incidentima – umjesto da budu preplavljeni emocijama, mogu ih usmjeriti u konkretne akcije za jačanje sigurnosti.
Faze poput ljutnje i depresije su neizbježne, ali umjesto da ih doživite kao prepreke, koristite ih kao motivaciju za izgradnju sigurnijeg okruženja.
Izvor:Help Net Security
