Većina ljudi negoduje pri pomisli na obuku iz oblasti sigurnosti. Obično se provodi putem dosadnih online videa ili neinspirativnih vježbi koje ne uspijevaju prenijeti stvarnu hitnost situacije.
Da bi se zaista napravila razlika u spremnosti za cyber krize, osoblje mora imati priliku da testira svoje sposobnosti u kriznoj situaciji, kako bi izgradili memoriju mišića i vještine donošenja odluka koje će biti presudne kada dođe do pravog napada.
Tu na scenu stupaju cyber simulacije – one omogućavaju testiranje sposobnosti prisjećanja znanja i donošenja odluka pod pritiskom stvarne krize.
Međutim, izgradnja efikasne cyber simulacije nije jednostavan proces. Nepravilna implementacija može dovesti do toga da simulacija postane još jedna formalnost ili čak izazove negativne posljedice – zaposlenici mogu steći utisak da su uzalud potrošili vrijeme na vježbu iz koje ništa nisu naučili niti postigli.
Šta organizacije trebaju učiniti da ove simulacije budu što realističnije i korisnije?
Korak 1: Definisanje cilja
Da bi simulacija imala vrijednost i ne postala samo još jedna vježba usklađenosti s propisima, razvoj vještina mora imati jasan cilj.
Određivanje fokusa i sprovođenje programa obično je odgovornost CISO-a (Chief Information Security Officer) ili rukovodioca za otpornost na incidente. Međutim, simulacija treba biti rezultat saradnje između timova za sigurnost, oporavak od katastrofa i drugih relevantnih odjela.
Da bi simulacija imala stvarni učinak, pristup mora biti vođen prijetnjama. Identifikujte najrelevantnije prijetnje vašoj kompaniji na osnovu njene jedinstvene strukture, industrije i regulatornog okvira.
Važno je precizno definisati koje vještine i procese želite testirati – to mogu biti tehničke sposobnosti, donošenje odluka na izvršnom nivou, koordinacija između timova ili kombinacija ovih faktora.
Simulacije moraju otkrivati stvarne slabosti i tačke stresa, a ne samo potvrđivati postojeće snage radi audita. Bez ovoga, vježbe će postati formalnost koja ne doprinosi stvarnom poboljšanju vještina zaposlenika niti pripremi za cyber incidente.
Regulatori poput EU i britanske Finansijske uprave sve više zahtijevaju obrazloženje odabranih scenarija. Zašto ste odabrali baš tu vrstu napada? Zašto baš takvu simulaciju? Jeste li testirali svoju organizaciju u dovoljnoj mjeri, i kako dokazujete da ste se suočili s realnim izazovima, a ne samo prošli kroz formalni proces?
Korak 2: Kreiranje realističnog, ali izazovnog scenarija
Nakon što je definisana svrha, potrebno je osmisliti konkretan scenarij. Ključno je postići ravnotežu između realizma i složenosti. Scenarij koji je previše jednostavan neće donijeti mnogo koristi, dok previše složen scenarij može izazvati konfuziju umjesto učenja.
Razmislite o načinu na koji treniraju sportisti. Mnogo vremena provode ponavljajući iste vježbe kako bi izgradili memoriju mišića, ali istovremeno se moraju izazivati kako bi napredovali.
Osigurajte da su osnovne kompetencije na mjestu za ozbiljne, ali realne prijetnje – i zatim ih dodatno otežajte.
Koji bi katastrofalni „black swan” događaj mogao pogoditi vašu kompaniju? Upravo tu počinje pravo učenje.
Takođe je važno redovno ažurirati simulacije kako bi odražavale promjenjive prijetnje, umjesto da se ponavljaju stare vježbe. Ubacivanje neočekivanih novih izazova može pomoći da učesnici ostanu angažovani i spremni.
Korak 3: Postavljanje tehničkog okruženja
Sljedeći korak je kreiranje što realističnijeg iskustva simulacije, ali bez korištenja produkcijskih sistema – uvijek koristite testne mreže. Takođe je važno osigurati da svi učesnici znaju da se radi o testu. Cilj je staviti ih pod pritisak, ali bez nepotrebnog stresa.
Loše izvedena vježba može izazvati negativne posljedice, otkrivajući loše donošenje odluka na način koji nekoga osramoti, umjesto da edukuje i poboljša procese. Ovo može biti skupo ne samo u pogledu resursa i vremena, već i u stvaranju prave kulture u kompaniji.
Najbolji pristup je unaprijed izgrađen cyber poligon (cyber range) prilagođen stvarnom okruženju vaše kompanije. Što više funkcionalnosti ima, to će iskustvo biti bolje. Ovo uključuje strukturu mreže i očekivani mrežni saobraćaj.
Akcije koje se preduzmu tokom simulacije trebale bi imati realan uticaj na poslovanje kompanije.
Na primjer, tim može zaustaviti ransomware napad, ali po cijenu obaranja korporativne web stranice na jedan dan. Koliko bi to bilo štetno za kompaniju? Koliki bi bio trošak? Kakav je plan za rješavanje prekida i komunikaciju sa klijentima i dionicima?
Unaprijed skriptiran napad može biti lakši za organizaciju i manje resursno zahtjevan, ali korištenje pravih sajber stručnjaka može povećati realizam i pružiti mogućnost angažmana crvenog tima (red team).
Korak 4: Uključivanje pravih ljudi
Osim detalja samog programa simulacije, ključno je uključiti prave ljude.
SOC timovi i IT stručnjaci su prva linija odbrane kompanije, pa su oni ključni učesnici.
Također, izvršni menadžeri i donosioci odluka su važni jer će oni biti ti koji donose odluke o, na primjer, plaćanju otkupnine za ransomware napad ili strategiji komunikacije sa dionicima u kriznoj situaciji.
Međutim, cyber sigurnost odavno nije samo IT problem – ona utiče na cijelo poslovanje. Zato je ključna međusektorska saradnja, uključujući predstavnike odjela kao što su ljudski resursi, pravna služba i odnosi s javnošću.
Vrijedi redovno rotirati učesnike kako bi se izbjegao „zamor od vježbi”, gdje isti ljudi stalno prolaze iste uloge bez učenja nečeg novog.
Takođe je korisno povremeno zamijeniti uloge i dati mlađim zaposlenicima priliku da preuzmu ključne pozicije. Šta ako dođe do incidenta dok su CEO i CISO na letu s konferencije? Neko mora biti spreman da preuzme odgovornost.
Korak 5: Mjerenje rezultata i unapređenje strategija
Nakon završetka simulacije, analiza rezultata je jednako važna kao i sama vježba.
Treba se fokusirati na konkretne metrike uspjeha, poput vremena odgovora i kvaliteta donošenja odluka pod pritiskom.
Nalazi bi trebali dovesti do konkretnih poboljšanja – od individualnih planova razvoja zaposlenika do novih sigurnosnih politika i rješenja za identificirane slabosti.
Prava spremnost za cyber krize
Simulacije cyber sigurnosti nisu samo vježba usklađenosti – one grade stvarnu otpornost.
Pravo vrijeme za otkrivanje slabosti u vještinama i procesima je tokom sigurne simulacije, a ne usred pravog napada.
Izvor:Help Net Security
