اگر یک نفوذ یا حمله باجافزاری در سازمانتان رخ دهد، آیا تیم امنیت سایبری شما آمادگی لازم برای واکنش به آن را خواهد داشت؟ شاید مدیران ارشد امنیت اطلاعات حس کنند که کارمندانشان همواره مهارت و آموزشهای لازم را در اختیار دارند. بنا به گفته Bec McKeown مدیر علوم انسانی در یک شرکت ارائهدهنده پلتفرم آموزش امنیت سایبری: «کارمندان در برخورد با حوادث واقعی معمولاً سردرگم و مبهوت میشوند».
McKeown که روانشناس هم است و با انجام تحقیقات گسترده در صنایع پر مخاطره، با واکنش انسانها در شرایط بحرانی آشنایی دارد، در این زمینه میگوید: «شاید یک راهنما برای برخورد با بحران و سیاستهای مشخصی برای چنین شرایطی تنظیم کنید و فرض کنید که در هنگام وقوع حادثه ابتدا باید از این ابزارها استفاده کنید اما همواره این طور نیست چون مغز افراد شما فقط بر اساس غریزه طبیعی جنگ یا گریز کار نمیکند بلکه احتمال متوقف شدن هم در این شرایط وجود دارد. بارها شنیدهام که افراد میگویند با وجود آگاهی از نحوه واکنش در زمانهای بحرانی، پس از قرار گرفتن در چنین شرایطی، دست و پای خود را گم کرده و نمیدانستیم که دقیقاً چه کاری باید انجام دهیم».
مدیران ارشد امنیت اطلاعات هم بارها شاهد بودهاند که تیمها در واکنش به حوادث واقعی، کارایی لازم را ندارند. از جمله تیمهایی که مانورهای آمادگی برای چنین رویدادهایی را طی کردهاند.
با فلج شدن تیم، مشکلات دو چندان میشوند
تأخیر در واکنش حتی در حد چند ساعت هم به مهاجمان فرصت میدهد تا سطح آسیب و زمان لازم برای بازیابی را افزایش دهند. همچنین باعث افزایش هزینههای واکنش، جریمههای قانونی و آسیب به کسبوکار میشود. با توجه به احتمال بروز چنین واکنشهایی، McKeown، تحلیلگران و مدیران باسابقه امنیت اطلاعات معتقدند که مدیران امنیت سایبری باید این فلج شدن در واکنش به حوادث را پیشبینی کنند و با استفاده از روشهای مناسب، احتمال وقوع آن را به حداقل رسانده و استراتژیهای لازم در هنگام وقوع حوادث واقعی را تدوین کنند.
McKeown میگوید: «باید با واکنش مناسب در این زمانهای بحرانی آشنا شوید. میتوانید مهارتهای لازم را در افراد پرورش دهید تا آنها را چابکتر کرده و به آنها کمک کنید تا وقتی آگاهی وضعیتی لازم را ندارند، واکنش مناسبی نشان دهند. این یک نوع آمادگی روانی است».
تیمها چرا و چگونه فلج میشوند؟
مدیران ارشد امنیت اطلاعات نباید از اینکه حتی آمادهترین تیمها هم در زمانها و شرایط بحرانی فلج میشوند، شگفت زده شوند. بنا به گفته McKeown: «گاهی اوقات ممکن است افراد در واکنش به حادثه دچار محدودیت شناختی شوند یعنی آنقدر بر آنچه پیش رویشان قرار دارد متمرکز شوند که کل شرایط را در نظر نگیرند؛ این تجربه میتواند حتی تفکر عادی افراد را هم مختل کند».
Niel Harper مدیر ارشد امنیت اطلاعات که در انجمن ISACA نقش مدیر هیئت اجرایی را دارد، در اولین روز کارش به عنوان مشاور در یک شرکت، شاهد بود که چطور حمله باجافزاری میتواند باعث فلج شدن افراد شود. به گفته او: «حتی افراد با تجربه در زمینه واکنش به حادثه هم واقعاً نمیدانستند که باید چه کار کنند».
Harper شاهد شرایط دیگری هم بوده که در آنها موانعی برای واکنش ایجاد شده در نتیجه در واکنش به حادثه تأخیر به وجود آمده است. در برخی مواقع، تیمها از این میترسیدند که اقدامشان افراطی به نظر برسد. گاهی اوقات هم ترس از سرزنش افراد را فلج کرده و حوادثی نیز وجود داشته که در آنها هیچ فرد کارآمدی که تجربه حضور در رویدادهای واقعی را داشته در تیم نبوده؛ در نتیجه افراد اعتماد به نفس لازم برای رسیدگی به شرایط را نداشتند. Harper میگوید: «همه این مسائل به تنهایی یا در ترکیب با هم میتوانند باعث از کارافتادگی کسبوکار سازمانی شوند».
Chris Hughes استادیار دانشکده فناوری اطلاعات و امنیت سایبری هم تجربه حضور در چنین شرایطی را داشته است. او هم با یک تیم امنیت سایبری در یک مؤسسه دولتی همکاری داشته که ترافیک مشکوک را شناسایی کرده، مخرب بودن آن را تأیید و سپس به مانعی برخورد کردند که باعث توقفشان شده است.
اثر تماشاچی
Hughes میگوید: «در چنین شرایطی به نوعی شاهد پدیده اثر تماشاچی هستیم. افراد فرض میکنند یا امیدوارند که یکی از اعضای تیم دست به کار شده و کنترل امور را در دست بگیرد اما هیچکس عکسالعملی نشان نمیدهد. در این شرایط باید یک مدیر ارشد وارد عمل شده و آنها را از شوک خارج کند».
از طرفی، گاهی اوقات مدیران مجرب امنیت سایبری شاهد فلج شدن مدیران ارشد سازمان هستند که واقعیت را انکار میکنند و باور نمیکنند که چنین اتفاقی برایشان رخ داده است. Ed Skoudis رئیس مؤسسه فناوری SANS میگوید: «این لحظات فلج شدن وقتی ترس از میزان وخامت اوضاع و آسیبی که ممکن است به سازمان وارد شود و تردید زیادی وجود داشته باشد هم رخ میدهد. در این شرایط همواره اطلاعات جدیدی به دست میرسد اما تیمها نمیتوانند قضاوت کنند که کدامیک درست یا غلط هستند و بهترین انتخاب چیست. در این زمان وقتی ترس، تردید، عدم قطعیت یا هر سه آنها با هم وجود دارد، افراد فلج میشوند. چنین شرایطی زیاد رخ میدهد و باعث میشود که افراد در انتخاب مسیر صحیح دچار تردید شوند».
Norman Kromberg مدیر ارشد شرکت خدمات امنیت سایبری NetSPI شاهد رسیدن یک تیم به نقطهای بوده که همه چیز در آن متوقف شده است. او مدیر ارشد شرکتی بوده که پس از شناسایی فعالیتهای مخرب داخلی، اعلام حادثه کرده بود. تیم او باید برای حدود دو هفته با سرعت کامل و تمام قوا در واکنش به حادثه کار میکرد در حالی که تیمهای اعمال قانون، کارشناسان جرمیابی، حسابداران و شرکت بیمه هم وارد عمل شده بودند. سپس تیم او به یک مانع برخورد کرد و کاملاً متوقف شد.
او میگوید: «در تماسهای اعلام وضعیت میشندیم که افراد با پرخاشگری با یکدیگر صحبت میکردند». Kromberg معتقد است که خستگی و فشار این شرایط باعث توقف تیم شده طوری که امکان پیش بردن فرایند بازیابی وجود نداشت.
چگونه از فلج شدن جلوگیری کنیم؟
وقتی تیم Kromberg متوقف شد، او پس از بررسی دلایل از همه خواست که به خانه بروند. Kromberg میگوید: «به نقطهای رسیدیم که تصمیم گرفتیم آخر هفته را تعطیل کنیم و این تعطیلی علاوه بر تیم خود ما، فروشندهها، تیم حقوقی و گروه اعمال قانون را هم شامل میشد. پس از این تعطیلات، هفته را با نیروی تازه شروع کردیم». او میگوید: «این تعطیلی باعث پیشروی سریع افراد شد». Kromberg میگوید: «تجربه به من درس داده که در آینده برای چنین لحظاتی برنامهریزی کنم. ما معتقدیم که مدیران ارشد امنیت اطلاعات باید این روش را در پیش بگیرند و با استفاده از مانورهای مختلف، احتمال فلج شدن تیم را به حداقل برسانند».
پیش از هر چیز به اصول مقدماتی بپردازید. بنا به گفته Philip Chan استادیار دانشکده فناوری اطلاعات و امنیت سایبری: «مدیران ارشد امنیت اطلاعات میتوانند با تدوین طرحهای واکنش به حادثه، آموزش تیمهای واکنش به حادثه، شبیهسازی منظم حوادث، ترویج گفتگوی آزاد، داشتن زنجیرهای شفاف از فرمانها و یک استراتژی دقیق مدیریت ریسک و حادثه، از فلج شدن افراد جلوگیری کنند». کارشناسان امنیت سایبری میگویند: «پس از این مرحله مدیران ارشد امنیت اطلاعات باید مانورها را بررسی کنند و آنها را به صورت منظم اجرا کنند)؛ سپس باید عناصر لازم را به این مانورها اضافه کنند تا افراد را برای حوادث واقعی آماده کنند».
آمادگی برای شرایط غیرمنتظره
McKeown میگوید: «عناصر جدیدی را اضافه کنید که در برنامه اصلی شما وجود نداشتند». مثلاً از یک کارمند بخواهید حین مانور عمداً یک حرکت اشتباه مثل خاموش کردن یک سیستم حیاتی را انجام دهد تا تیم، تجربه کار در شرایط غیرمنتظره را پیدا کند. به گفته او چنین اقداماتی باعث ترویج چابکی و کار گروهی شده و به مقابله با اتهامزنی و بحثهایی که حین بحران شکل میگیرد و مانع پیشرفت گروه میشود، کمک میکنند. Kromberg یک بار پس از جشن مختصری که وسط روز برگزار شد، یک مانور اعلام نشده را شروع کرد. او میدانست که هکرها حملاتشان را در زمانهایی که سازمانها دارای بیشترین آسیبپذیری هستند، اجرا میکنند. در نتیجه سعی کرد تیم خود را برای رویارویی با چنین شرایطی آماده کند. افراد او باید یاد میگرفتند که چگونه به سرعت تغییر رویکرد داده و کارها را بدون حضور افراد کلیدی پیش ببرند.
McKeown، Kromberg و سایرین معتقدند که در چنین مانورهایی که به حوادث واقعی نزدیک هستند، حافظه مدیران ارشد امنیت اطلاعات و تیمهای آنها تقویت میشود چون باید همه کارها (مثل اعلام هشدارهای اولیه) را از اول شروع کنند و سناریوهای لازم را با تمرینهای مشابهسازی شده، اجرا کنند (نه با تمرینهای آموزشی و نظری). Hughes بنیانگذار و مدیر ارشد امنیت اطلاعات شرکت Aquia که در زمینه ارائه خدمات حرفهای امنیت سایبری و ابر تخصص دارد در این زمینه میگوید: «وقتی واقعاً دست به کار میشوید و باید اقدام کنید، شرایط بسیار متفاوت و ملموستر میشود».
استفاده از شمارش معکوس در مانورها
Skoudis میگوید: «در مانورها از شمارش معکوس استفاده میکند. این کار باعث میشود تیم او به کار کردن تحت فشار شدیدی که در حوادث واقعی حس میشود، عادت کنند. بنا به گفته او: «فعالیت در چنین شرایطی ناخوشایند است اما به تقویت حافظه شما کمک میکند». به مدیران ارشد امنیت اطلاعات توصیه میشود که حدالامکان مدیران اجرایی سازمان، سایر بخشها و افرادی که با تیم امنیت، فناوری اطلاعات و واکنش به حادثه همکاری دارند را در این تمرینها سهیم کنید تا مشخص شود که آیا احتمال فلج شدن آنها هم وجود دارد یا خیر. Kromberg میگوید: «ممکن است در بخشهای دیگر هم این فلج شدن رخ دهد. مثلاً احتمال دارد که مدیرعامل درباره انتخاب اطلاعات مالی که هنگام حادثه به آنها نیاز دارد، نتواند تصمیم درستی بگیرد».
به گفته Thomas Randall مشاور ارشد شرکت Info-Tech Research و بخش بازبینیهای نرمافزاری آن: «مدیران ارشد امنیت اطلاعات باید به این فکر کنند که در شرایط بحرانی چه کانالهای ارتباطی را میتوان ایجاد کرد که به پیش بردن راهحلها کمک کنند». Randall میگوید: «واکنش انسانها به بحرانها فقط شامل نبرد یا گریز نیست بلکه تملق (زمانی که افراد بیش از حد یاریرسان میشوند) را هم شامل میشود. این تملق میتواند باعث افزایش آرامش و ایجاد راهکارهای خلاقانه شود». Randall توصیه میکند که مطمئن شوید که همکاران شما حتی در شرایط پرفشار هم آرامش لازم برای پیشنهاد راهکار صحیح را دارند.
فراهم کردن امکان ارائه راهکارهای خلاقانه
ممکن است در شرایط بحرانی واقعی، افراد زمان زیادی برای ایدهپردازی نداشته باشند اما همچنان لازم است مجراهایی برای پیشنهاد و ارزیابی شرایط وجود داشته باشد چون ممکن است همین راهکارها به غلبه بر موانع کمک کنند.
راهکار بعدی برای مقابله با توقف پیشرفت تیم در واکنش به حادثه، استخدام کارمندانی است که تجربه برخورد با رخنهها و هکهای واقعی را داشته یا همکاری با تیمهای واکنش به حادثه خارجی که به طور منظم این کار را انجام میدهند.
Harper معتقد است مدیران امنیت نباید ارزش چنین تجربیاتی را دست کم بگیرند. او میگوید: «افرادی با تجربه کار در شرایط بحرانی، ذهنی آمادهتر دارند که به آنها برای حفظ آرامش خودشان و هدایت دیگران در شرایط دشوار کمک میکند».
منبع: csoonline