هنگام وقوع حمله سایبری، تیم واکنش به حادثه شما چه عکس‌العملی خواهد داشت؟

اگر یک نفوذ یا حمله باج‌افزاری در سازمان‌تان رخ دهد، آیا تیم امنیت سایبری شما آمادگی لازم برای واکنش به آن را خواهد داشت؟ شاید مدیران ارشد امنیت اطلاعات حس کنند که کارمندانشان همواره مهارت و آموزش‌های لازم را در اختیار دارند. بنا به گفته Bec McKeown مدیر علوم انسانی در یک شرکت ارائه‌دهنده پلتفرم آموزش امنیت سایبری: «کارمندان در برخورد با حوادث واقعی معمولاً سردرگم و مبهوت می‌شوند».

McKeown که روانشناس هم است و با انجام تحقیقات گسترده در صنایع پر مخاطره، با واکنش انسان‌ها در شرایط بحرانی آشنایی دارد، در این زمینه  می‌گوید: «شاید یک راهنما برای برخورد با بحران و سیاست‌های مشخصی برای چنین شرایطی تنظیم کنید و فرض کنید که در هنگام وقوع حادثه ابتدا باید از این ابزارها استفاده کنید اما همواره این طور نیست چون مغز افراد شما فقط بر اساس غریزه طبیعی جنگ یا گریز کار نمی‌کند بلکه احتمال متوقف شدن هم در این شرایط وجود دارد. بارها شنیده‌ام که افراد می‌گویند با وجود آگاهی از نحوه واکنش در زمان‌های بحرانی، پس از قرار گرفتن در چنین شرایطی، دست و پای خود را گم کرده و نمی‌دانستیم که دقیقاً چه کاری باید انجام دهیم».

مدیران ارشد امنیت اطلاعات هم بارها شاهد بوده‌اند که تیم‌ها در واکنش به حوادث واقعی، کارایی لازم را ندارند. از جمله تیم‌هایی که مانورهای آمادگی برای چنین رویدادهایی را طی کرده‌اند.

با فلج شدن تیم، مشکلات دو چندان می‌شوند

تأخیر در واکنش حتی در حد چند ساعت هم به مهاجمان فرصت می‌دهد تا سطح آسیب و زمان لازم برای بازیابی را افزایش دهند. همچنین باعث افزایش هزینه‌های واکنش، جریمه‌های قانونی و آسیب به کسب‌وکار می‌شود. با توجه به احتمال بروز چنین واکنش‌هایی، McKeown، تحلیلگران و مدیران باسابقه امنیت اطلاعات معتقدند که مدیران امنیت سایبری باید این فلج شدن در واکنش به حوادث را پیش‌بینی کنند و با استفاده از روش‌های مناسب، احتمال وقوع آن را به حداقل رسانده و استراتژی‌های لازم در هنگام وقوع حوادث واقعی را تدوین کنند.

McKeown می‌گوید: «باید با واکنش مناسب در این زمان‌های بحرانی آشنا شوید. می‌توانید مهارت‌های لازم را در افراد پرورش دهید تا آنها را چابک‌تر کرده و به آنها کمک کنید تا وقتی آگاهی وضعیتی لازم را ندارند، واکنش مناسبی نشان دهند. این یک نوع آمادگی روانی است».

تیم‌ها چرا و چگونه فلج می‌شوند؟

مدیران ارشد امنیت اطلاعات نباید از اینکه حتی آماده‌ترین تیم‌ها هم در زمان‌ها و شرایط بحرانی فلج می‌شوند، شگفت زده شوند. بنا به گفته McKeown: «گاهی اوقات ممکن است افراد در واکنش به حادثه دچار محدودیت شناختی شوند یعنی آنقدر بر آنچه پیش رویشان قرار دارد متمرکز شوند که کل شرایط را در نظر نگیرند؛ این تجربه می‌تواند حتی تفکر عادی افراد را هم مختل کند».

Niel Harper مدیر ارشد امنیت اطلاعات که در انجمن ISACA نقش مدیر هیئت اجرایی را دارد، در اولین روز کارش به عنوان مشاور در یک شرکت، شاهد بود که چطور حمله باج‌افزاری می‌تواند باعث فلج شدن افراد شود. به گفته او: «حتی افراد با تجربه در زمینه واکنش به حادثه هم واقعاً نمی‌دانستند که باید چه کار کنند».

Harper شاهد شرایط دیگری هم بوده که در آنها موانعی برای واکنش ایجاد شده در نتیجه در واکنش به حادثه تأخیر به وجود آمده است. در برخی مواقع، تیم‌ها از این می‌ترسیدند که اقدام‌شان افراطی به نظر برسد. گاهی اوقات هم ترس از سرزنش افراد را فلج کرده و حوادثی نیز وجود داشته که در آنها هیچ فرد کارآمدی که تجربه حضور در رویدادهای واقعی را داشته در تیم نبوده؛ در نتیجه افراد اعتماد به نفس لازم برای رسیدگی به شرایط را نداشتند. Harper می‌گوید: «همه این مسائل به تنهایی یا در ترکیب با هم می‌توانند باعث از کارافتادگی کسب‌وکار سازمانی شوند».

Chris Hughes استادیار دانشکده فناوری اطلاعات و امنیت سایبری هم تجربه حضور در چنین شرایطی را داشته است. او هم با یک تیم امنیت سایبری در یک مؤسسه دولتی همکاری داشته که ترافیک مشکوک را شناسایی کرده، مخرب بودن آن را تأیید و سپس به مانعی برخورد کردند که باعث توقف‌شان شده است.

اثر تماشاچی

Hughes می‌گوید: «در چنین شرایطی به نوعی شاهد پدیده اثر تماشاچی هستیم. افراد فرض می‌کنند یا امیدوارند که یکی از اعضای تیم دست به کار شده و کنترل امور را در دست بگیرد اما هیچکس عکس‌العملی نشان نمی‌دهد. در این شرایط باید یک مدیر ارشد وارد عمل شده و آنها را از شوک خارج کند».

از طرفی، گاهی اوقات مدیران مجرب امنیت سایبری شاهد فلج شدن مدیران ارشد سازمان هستند که واقعیت را انکار می‌کنند و باور نمی‌کنند که چنین اتفاقی برایشان رخ داده است. Ed Skoudis رئیس مؤسسه فناوری SANS می‌گوید: «این لحظات فلج شدن وقتی ترس از میزان وخامت اوضاع و آسیبی که ممکن است به سازمان وارد شود و تردید زیادی وجود داشته باشد هم رخ می‌دهد. در این شرایط همواره اطلاعات جدیدی به دست می‌رسد اما تیم‌ها نمی‌توانند قضاوت کنند که کدامیک درست یا غلط هستند و بهترین انتخاب چیست. در این زمان وقتی ترس، تردید، عدم قطعیت یا هر سه آنها با هم وجود دارد، افراد فلج می‌شوند. چنین شرایطی زیاد رخ می‌دهد و باعث می‌شود که افراد در انتخاب مسیر صحیح دچار تردید شوند».

Norman Kromberg مدیر ارشد شرکت خدمات امنیت سایبری NetSPI شاهد رسیدن یک تیم به نقطه‌ای بوده که همه چیز در آن متوقف شده است. او مدیر ارشد شرکتی بوده که پس از شناسایی فعالیت‌های مخرب داخلی، اعلام حادثه کرده بود. تیم او باید برای حدود دو هفته با سرعت کامل و تمام قوا در واکنش به حادثه کار می‌کرد در حالی که تیم‌های اعمال قانون، کارشناسان جرم‌یابی، حسابداران و شرکت بیمه هم وارد عمل شده بودند. سپس تیم او به یک مانع برخورد کرد و کاملاً متوقف شد.

او می‌گوید: «در تماس‌های اعلام وضعیت می‌شندیم که افراد با پرخاشگری با یکدیگر صحبت می‌کردند». Kromberg معتقد است که خستگی و فشار این شرایط باعث توقف تیم شده طوری که امکان پیش بردن فرایند بازیابی وجود نداشت.

چگونه از فلج شدن جلوگیری کنیم؟

وقتی تیم Kromberg متوقف شد، او پس از بررسی دلایل از همه خواست که به خانه بروند. Kromberg می‌گوید: «به نقطه‌ای رسیدیم که تصمیم گرفتیم آخر هفته را تعطیل کنیم و این تعطیلی علاوه بر تیم خود ما، فروشنده‌ها، تیم حقوقی و گروه اعمال قانون را هم شامل می‌شد. پس از این تعطیلات، هفته را با نیروی تازه شروع کردیم». او می‌گوید: «این تعطیلی باعث پیشروی سریع افراد شد». Kromberg می‌گوید: «تجربه به من درس داده که در آینده برای چنین لحظاتی برنامه‌ریزی کنم. ما معتقدیم که مدیران ارشد امنیت اطلاعات باید این روش را در پیش بگیرند و با استفاده از مانورهای مختلف، احتمال فلج شدن تیم را به حداقل برسانند».

پیش از هر چیز به اصول مقدماتی بپردازید. بنا به گفته Philip Chan استادیار دانشکده فناوری اطلاعات و امنیت سایبری: «مدیران ارشد امنیت اطلاعات می‌توانند با تدوین طرح‌های واکنش به حادثه، آموزش تیم‌های واکنش به حادثه، شبیه‌سازی منظم حوادث، ترویج گفتگوی آزاد، داشتن زنجیره‌ای شفاف از فرمان‌ها و یک استراتژی دقیق مدیریت ریسک و حادثه، از فلج شدن افراد جلوگیری کنند». کارشناسان امنیت سایبری می‌گویند: «پس از این مرحله مدیران ارشد امنیت اطلاعات باید مانورها را بررسی کنند و آنها را به صورت منظم اجرا کنند)؛ سپس باید عناصر لازم را به این مانورها اضافه کنند تا افراد را برای حوادث واقعی آماده کنند».

آمادگی برای شرایط غیرمنتظره

McKeown می‌گوید: «عناصر جدیدی را اضافه کنید که در برنامه اصلی شما وجود نداشتند». مثلاً از یک کارمند بخواهید حین مانور عمداً یک حرکت اشتباه مثل خاموش کردن یک سیستم حیاتی را انجام دهد تا تیم، تجربه کار در شرایط غیرمنتظره را پیدا کند. به گفته او چنین اقداماتی باعث ترویج چابکی و کار گروهی شده و به مقابله با اتهام‌زنی و بحث‌هایی که حین بحران شکل می‌گیرد و مانع پیشرفت گروه می‌شود، کمک می‌کنند. Kromberg یک بار پس از جشن مختصری که وسط روز برگزار شد، یک مانور اعلام نشده را شروع کرد. او می‌دانست که هکرها حملات‌شان را در زمان‌هایی که سازمان‌ها دارای بیشترین آسیب‌پذیری هستند، اجرا می‌کنند. در نتیجه سعی کرد تیم خود را برای رویارویی با چنین شرایطی آماده کند. افراد او باید یاد می‌گرفتند که چگونه به سرعت تغییر رویکرد داده و کارها را بدون حضور افراد کلیدی پیش ببرند.

McKeown، Kromberg و سایرین معتقدند که در چنین مانورهایی که به حوادث واقعی نزدیک هستند، حافظه مدیران ارشد امنیت اطلاعات و تیم‌های آنها تقویت می‌شود چون باید همه کارها (مثل اعلام هشدارهای اولیه) را از اول شروع کنند و سناریوهای لازم را با تمرین‌های مشابه‌سازی شده، اجرا کنند (نه با تمرین‌های آموزشی و نظری). Hughes ‌بنیانگذار و مدیر ارشد امنیت اطلاعات شرکت Aquia که در زمینه ارائه خدمات حرفه‌ای امنیت سایبری و ابر تخصص دارد در این زمینه می‌گوید: «وقتی واقعاً دست به کار می‌شوید و باید اقدام کنید، شرایط بسیار متفاوت و ملموس‌تر می‌شود».

استفاده از شمارش معکوس در مانورها

Skoudis می‌گوید: «در مانورها از شمارش معکوس استفاده می‌کند. این کار باعث می‌شود تیم او به کار کردن تحت فشار شدیدی که در حوادث واقعی حس می‌شود، عادت کنند. بنا به گفته او: «فعالیت در چنین شرایطی ناخوشایند است اما به تقویت حافظه شما کمک می‌کند». به مدیران ارشد امنیت اطلاعات توصیه می‌شود که حدالامکان مدیران اجرایی سازمان، سایر بخش‌ها و افرادی که با تیم امنیت، فناوری اطلاعات و واکنش به حادثه همکاری دارند را در این تمرین‌ها سهیم کنید تا مشخص شود که آیا احتمال فلج شدن آنها هم وجود دارد یا خیر. Kromberg می‌گوید: «ممکن است در بخش‌های دیگر هم این فلج شدن رخ دهد. مثلاً احتمال دارد که مدیرعامل درباره انتخاب اطلاعات مالی که هنگام حادثه به آنها نیاز دارد، نتواند تصمیم درستی بگیرد».

به گفته Thomas Randall مشاور ارشد شرکت Info-Tech Research و بخش بازبینی‌های نرم‌افزاری آن: «مدیران ارشد امنیت اطلاعات باید به این فکر کنند که در شرایط بحرانی چه کانال‌های ارتباطی را می‌توان ایجاد کرد که به پیش بردن راه‌حل‌ها کمک کنند». Randall می‌گوید: «واکنش انسان‌ها به بحران‌ها فقط شامل نبرد یا گریز نیست بلکه تملق (زمانی که افراد بیش از حد یاری‌رسان می‌شوند) را هم شامل می‌شود. این تملق می‌تواند باعث افزایش آرامش و ایجاد راهکارهای خلاقانه شود». Randall توصیه می‌کند که مطمئن شوید که همکاران شما حتی در شرایط پرفشار هم آرامش لازم برای پیشنهاد راهکار صحیح را دارند.

فراهم کردن امکان ارائه راهکارهای خلاقانه

ممکن است در شرایط بحرانی واقعی، افراد زمان زیادی برای ایده‌پردازی نداشته باشند اما همچنان لازم است مجراهایی برای پیشنهاد و ارزیابی شرایط وجود داشته باشد چون ممکن است همین راهکارها به غلبه بر موانع کمک کنند.

راهکار بعدی برای مقابله با توقف پیشرفت تیم در واکنش به حادثه، استخدام کارمندانی است که تجربه برخورد با رخنه‌ها و هک‌های واقعی را داشته یا همکاری با تیم‌های واکنش به حادثه خارجی که به طور منظم این کار را انجام می‌دهند.

Harper معتقد است مدیران امنیت نباید ارزش چنین تجربیاتی را دست کم بگیرند. او می‌گوید: «افرادی با تجربه کار در شرایط بحرانی، ذهنی آماده‌تر دارند که به آنها برای حفظ آرامش خودشان و هدایت دیگران در شرایط دشوار کمک می‌کند».

منبع: csoonline