Radzenie sobie w sytuacjach kryzysowych staje się coraz ważniejsze, a przypadki naruszenia danych oraz przestojów w funkcjonowaniu, spędzają sen z powiek coraz większej liczbie firm. Ponadto postępowanie w sytuacjach kryzysowych często nie jest wystarczająco skuteczne, czy efektywne. W niniejszym artykule przedstawimy korzyści wynikające ze stosowania odpowiedniej strategii postępowania w sytuacjach kryzysowych oraz rozważymy kilka kwestii, od których należałoby rozpocząć działania w tym zakresie.
Definicja postępowania w sytuacji kryzysowej zakłada przemyślenie kroków, jakie należy podjąć, gdy wydarzy się coś złego. Takie działanie samo w sobie jest “niewygodne” i zakłada również opuszczenie własnej strefy komfortu. Szczególnie w małych firmach uważa się, że „Nic nam się nie stanie” oraz „Nikt nie będzie sobie nami zawracał głowy”. Mówi się jednak, że istnieją dwa typy firm: te, które zdają sobie sprawę, że doszło do naruszenia ich danych oraz te, które jeszcze o tym nie wiedzą. Jako że w tej kwestii nie jesteśmy w stanie uzyskać stuprocentowej pewności, możemy całkowicie odrzucić stwierdzenie, że firmy dzielą się na te, które są przygotowane na ataki i na te, które przygotowane nie są.
W praktyce bycie osobą odpowiedzialną za działania w sytuacjach kryzysowych bardzo przypomina pracę strażaka wezwanego do pożaru. Czasami otrzymuje on wyłącznie minimalną ilość informacji („Pali się pod adresem X.)” i oczekuje się od niego, że pojawi się na miejscu w rekordowo krótkim czasie, by zapobiec powstaniu dodatkowych szkód czy stratom w ludziach z jego ekipy bądź spośród osób przebywających w zajętym przez ogień budynku ( a pożar nadal jest i trzeba go ugasić). W związku z tym, najcenniejszym, co w danej sytuacji posiada strażak jest dostęp do informacji. Dzieci uczy się, że gdy będą musiały zadzwonić po straż pożarną, powinny udzielić dyspozytorowi możliwie najdokładniejszej odpowiedzi na następujące pytania:
- „Co się stało?”
- „Gdzie do tego doszło?” (na tym etapie ekipy gaśnicze wsiadają już do wozów)
- „Co się pali?” (np. Drewno, substancje chemiczne, plastiki, metale itp.)
- „Ile osób ucierpiało?”
- „Czy ktoś nadal przebywa w budynku?”
- „Kto dokonuje zgłoszenia?” (To jest dla ratowników akurat najmniej istotna z informacji)
Rozpoznawanie ryzyka i scenariusze
Istnieje jedno kluczowe pytanie, na które firma powinna znaleźć odpowiedź: Co jest dla niej ryzykowne, a więc na jakie zagrożenia stara się przygotować? Ponadto, w jakich sytuacjach potencjalny atakujący (działający wewnątrz firmy lub osoba z zewnątrz) będzie miał sprzyjające warunki do przysporzenia firmie strat?
Próba zmierzenia się z wszelkiego typu zagrożeniami na raz może zniechęcić, a więc doprowadzić do niepełnego rozpatrzenia problemu lub wręcz do porzucenia pracy nad projektem z powodu kosztów, które wydają się wymykać spod kontroli. Poniżej opiszemy ekstremalną sytuację. Załóżmy, że firma chce upewnić się, czy jej centrum danych jest odpowiednio chronione przed skutkami błędów ludzkich lub klęsk żywiołowych, a jednocześnie chce też zabezpieczyć się przed zagrożeniami wewnętrznymi. Mamy więc do czynienia z kilkoma projektami, które same w sobie stanowią wyzwanie, a gdy je połączymy, dochodzimy wręcz do takiego stopnia skomplikowania, jaki może przerosnąć możliwości danej firmy. Należy położyć większy nacisk na te zagrożenia, które stanowią bezpośrednie niebezpieczeństwo dla danych firmy oraz jej zdolności do dostarczania swoich produktów i usług. Trzęsienie ziemi czy meteoryt mogą faktycznie skutkować tymi samymi problemami, jednak gdy przyjrzymy się obszarowi, na którym się znajdujemy, na podstawie danych historycznych możemy wysnuć wniosek, że taki scenariusz to w danej chwili jedynie odległe zagrożenie w porównaniu z prawdopodobieństwem naruszenia bezpieczeństwa danych czy zagrożeniem innego typu. Należy przeanalizować również inne dane liczbowe – w przypadku ataku na firmę osoby zaangażowane w jego przeprowadzenie stawiają sobie inne cele. Dla zdecydowanej większości atakujących minęły już czasy, gdy chciano uzyskać dostęp do systemu wyłącznie z czystej ciekawości. Dlatego (w większości przypadków) celem ataku jest pozyskanie korzyści strategicznych, taktycznych bądź finansowych. Tu pojawia się pytanie „cui bono?” – kto zyska, jeśli twoja firma zostanie w konkretny sposób zaatakowana?
Instrukcja przeciwpożarowa dla sieci
Gdy powstaje nowy budynek, jego konstrukcja musi z reguły zgodnie z lokalnymi przepisami zostać sprawdzona przez inspektora przeciwpożarowego przed dopuszczeniem budynku do zamieszkania. Zauważmy, że inspektor przeciwpożarowy musi posiadać praktyczne doświadczenie z zakresu pożarnictwa. Mimo tego wzywa się go, chociaż nic się nie pali (dlatego że taki obowiązek ciąży na właścicielu budynku). Z kolei firmy tworzące nowe sieci lub przebudowujące te już istniejące z reguły niechętnie wzywają do siebie specjalistów od działania w sytuacjach kryzysowych w celu przeprowadzenia ekspertyzy. Tak samo, jak strażacy potrzebują planu budynku, by wiedzieć, z czym mają do czynienia, tak i osoby odpowiedzialne za sytuacje kryzysowe w branży IT muszą wiedzieć, jak zbudowana jest sieć. Bez tej wiedzy jest im bardzo ciężko ustalić, od czego i w jaki sposób rozpocząć działania oraz jak zabezpieczyć otoczenie przed rozprzestrzenianiem się zagrożenia na dotąd niezainfekowane rejony sieci.
Z tego powodu należy prowadzić szczegółową dokumentację dotyczącą budowy sieci, wzajemnych połączeń, współzależności, kluczowych komponentów i usług. Trzeba umożliwić odcięcie określonych sektorów sieci w sytuacji zagrożenia tak, by utrzymać dostęp do kluczowych funkcjonalności sieci. W budynkach możemy to osiągnąć dzięki drzwiom przeciwpożarowym i specjalnym konstrukcjom ścian; sieci VLAN oraz zapory sieciowe to jeden ze sposobów na uzyskania takiego samego efektu w przypadku sieci. Tak jak odpowiednia konstrukcja budynku umożliwia ograniczenie strat w razie pożaru, tak i opracowanie strategii działania w sytuacjach kryzysowych oraz dbanie o odzyskiwalność danych od samego początku mogą w ogromnym stopniu przyczynić się do ograniczenia przestoju i kosztów związanych z przypadkiem naruszenia zabezpieczeń sieci IT.
Kosztorys i zyski
Oczywistym jest, że zewnętrzne wsparcie kosztuje. Jesteśmy więc w stanie zrozumieć, że korzystanie z drogich usług specjalistycznych może nie spotkać się z aprobatą kadry kierowniczej. Z drugiej strony, mądrzej jest zainwestować pieniądze na tym etapie niż ponosić koszty, gdy dojdzie do incydentu. Powód jest bardzo prosty i sprowadza się do kwestii finansowych, jak i praktycznych. O to, jakich informacji potrzebuje specjalista od sytuacji kryzysowych w branży IT jeśli spełni się najgorszy scenariusz najlepiej pytać jego samego. Poza tym to on jest w stanie wykryć potencjalne problemy i doradzić, jak postępować, gdyby doszło do incydentu, który do tej pory nie został zidentyfikowany przy danych ustawieniach sieciowych. W całym tym procesie niezbędna jest współpraca wszystkich zaangażowanych osób i wspólne podejmowanie decyzji.
Mimo że zatrudnienie zewnętrznego specjalisty może wydawać się poważnym wydatkiem, którego korzyści ciężko namacalnie określić, na dłuższą metę takie postępowanie zapewni firmie duże oszczędności. Dużo taniej jest zatrudnić konsultanta zawczasu, by mógł na spokojnie zebrać informacje i opracować plan działania, niż gdy musimy znaleźć kogoś natychmiast, jeśli do incydentu już doszło i osoba ta może dopiero rozpocząć opracowywanie planu działania. Dostępne są dane liczbowe pokazujące średnie straty finansowe, jakie firma ponosi w przypadku incydentu związanego z bezpieczeństwem z zakresu IT w zależności od miejsca swojej siedziby. Na przykład w Niemczech średnia strata dla jednej firmy z sektora MŚP to 41.000 euro (ok. 44.000 dolarów). Mając to na uwadze, szanse na zaakceptowanie wydatku na projekt opracowania strategii działania w sytuacji kryzysowej wyraźnie się zwiększają.
Ogólnie rzecz biorąc osoby decyzyjne w firmach powinny w kwestii inwestowania w zabezpieczenia odejść od podejścia opartego na analizowaniu współczynnika zwrotu kosztów inwestycji. Dla wielu wszelkie zagadnienia związane z sektorem IT, a w szczególności z zabezpieczeniami to nadal głównie źródło kosztów, w żaden sposób niezwiązane z generowaniem przez firmę zysków. Wiele firm musi spełnić pewne wymagania prawne oraz jakościowe, w których również zawarto element związany z bezpieczeństwem. Wytyczne jakościowe mogą do pewnego stopnia przyczynić się do opracowania podstawowych standardów bezpieczeństwa, jednak rzadko są one kompletne. Firmy zazwyczaj ograniczają się do minimum niezbędnego do spełnienia norm. Takie podejście może dotyczyć wszelkich podstaw prawnych, nadal jednak zostawiamy atakującym pełne pole do popisu, co w efekcie może skutkować upadłością firmy. Możliwe, że tego typu postępowanie stało się przyczyną niedawnych szeroko dyskutowanych naruszeń bezpieczeństwa danych. Normy zostały spełnione, a mimo to doszło do incydentów. Spełnienie szeregu różnych wymogów i bycie ofiarą ataku nie wykluczają się wzajemnie. Nie należy pytać „Jaki zysk osiągniemy z tej inwestycji?”, ale raczej „Ile zysku utracimy, jeśli nie zainwestujemy, a dojdzie do incydentu?”. W tym miejscu ostrzegamy: przygotujcie się na zaciekłą walkę o współczynnik zwrotu kosztów inwestycji. Spór jest w tej kwestii szczególnie trudny i czasochłonny. Jednak coraz większa liczba firm przeszła na własnym przykładzie bolesną lekcję i przekonała się, że bez odpowiedniego zabezpieczenia danych może dojść do całkowitego przestoju w działalności. Przy braku jakiegokolwiek zabezpieczenia danych skutki mogą, ale nie muszą okazać się katastrofalne; trudno tu o wiarygodne szacunki.
Czas na przegląd
Przygotowywanie strategii działania na wypadek sytuacji kryzysowej to doskonała możliwość przyjrzenia się infrastrukturze sieci oraz niektórym procesom z nią związanym. Słabe punkty pojawiają się w szczególności w tych sieciach, które rozrastały się przez wiele lat. Rozwiązania wykorzystywane do tej pory jako tymczasowe antidotum na problem, który pojawił się w pewnym momencie w przeszłości mogą zostać teraz wykorzystane jako stały środek zaradczy. Najgorszy z możliwych scenariuszy nie zakłada w tym wypadku nawet działania zewnętrznego czynnika powodującego incydent. Banalne „włamanie” może przerodzić się w katastrofę zakrojoną na szeroką skalę, czasem nawet z kilkuletnim opóźnieniem: Wyobraźmy sobie, że wspomniany środek zaradczy zastosował ktoś, kto już od dawna nie pracuje w firmie – mówi Robert Dziemianko z firmy G DATA. Sytuacja może wyglądać następująco: przypadkowo dochodzi do awarii kluczowej usługi, a nikt nie wie, dlaczego tak się dzieje. Później okazuje się, że były administrator stworzył cron joba lub skrypt, który automatycznie restartuje usługę, gdy pojawia się awaria. Nigdy więc nie odkryto przyczyny problemu, ale żeby zapewnić ciągłość operacji, stworzono szybki środek zaradczy, co oczywiście ma sens. A potem urządzenie, na którym ten skrypt działał, ulega awarii.
Skorzystaj z możliwości i pozbądź się tych starych i byle jakich rozwiązań. Ich udokumentowanie odgrywa kluczową rolę – jeśli nie jesteś w stanie tak łatwo się ich pozbyć, upewnij się chociaż, że są one udokumentowane. Jeśli posiadasz środowiska testowe albo bazy danych wychodzące na zewnątrz, przyjrzyj się im dokładnie i sprawdź, czy są odpowiednio chronione. Często zdarza się, że nieuprawnione osoby prywatne zyskują dostęp do niezabezpieczonych baz danych wychodzących na zewnątrz (otwarte, udostępnione porty). Wyniki takiego przeglądu mogą przelać czarę goryczy. Jeśli pokaże on, że kluczowe usługi lub informacje poufne są zapisane na sprzęcie, który nie posiada zapasowego zabezpieczenia, jest dostępny za pośrednictwem sieci lub można się do niego dostać bez pozwolenia w jakikolwiek inny sposób, należy rozważyć relokację i konsolidację tych komponentów.
Uzyskanie wsparcia z zewnątrz
Kolejne pytanie, na które należałoby odpowiedzieć dotyczy uzyskania zewnętrznego wsparcia dla części działań podejmowanych w sytuacji awaryjnej. Przekazanie tych obowiązków zewnętrznym specjalistom ma spory sens, szczególnie w mniejszych firmach. W tego typu przypadkach zatrudnienie dodatkowych pracowników może się nie opłacać, nie mówiąc już o zatrudnianiu eksperta zajmującego się wyłącznie sytuacjami kryzysowymi. Rozważmy następujący przykład: lokalny dealer samochodów powinien przemyśleć, co należy zrobić, jeśli z jego systemem informatycznym coś się stanie; nie znaczy to jednak, że od razu postanowi zatrudnić analityka od złośliwego oprogramowania czy wykwalifikowanego specjalistę od sytuacji kryzysowych. Większe firmy z kolei mogą potrzebować swojego własnego wykwalifikowanego specjalisty w tym zakresie z uwagi na stopień skomplikowania ich środowiska informatycznego oraz konieczność bardzo szybkiej reakcji; nadal jednak w grę może wchodzić zaangażowanie dodatkowych zasobów zewnętrznych.
Kwestia angażowania dodatkowych zasobów zewnętrznych to w niektórych firmach bardzo delikatny temat. Przekazanie części obowiązków osobom z zewnątrz może sprawić, że stali pracownicy działu IT zaczną martwić się o swoje posady. Z tego powodu prawdopodobny jest pewnego rodzaju opór lub nawet bunt z ich strony. W całym tym projekcie nie chodzi przecież jednak o konkretną osobę czy jej dotychczasową pracę – celem jest utrzymanie firmy przy życiu, jeśli spełni się najczarniejszy scenariusz.
Strategii postępowania w sytuacjach kryzysowych nie stosuje się na co dzień. Najlepsze procedury to nadal te, które nigdy nie będą musiały zostać wdrożone. Jako że z natury obawiamy się nagany za uchybienia, które możliwe, że się pojawiły, próbujemy przekazywać przefiltrowaną wersję rzeczywistości. Takie postępowanie na pewno jednak odbije się na nas w późniejszym czasie.
Zrobienie pierwszego kroku w całym procesie zapewnienia odpowiedniego poziomu zabezpieczeń nie przysporzy ci kosztów: porozmawiaj z ludźmi, skontaktuj się z ekspertami, którzy przedstawią Ci więcej szczegółów.
Sprawy do rozwiązania i plany awaryjne
W trakcie całego procesu należy zdefiniować wiele czynników: są to między innymi maksymalny tolerowany czas przestoju (MTD) dla danej usługi; pojęcie to ma swoje korzenie w zarządzaniu ryzykiem, a dane pozyskane na jego potrzeby mają bezpośredni wpływ na strategię postępowania w sytuacji kryzysowej. Na przykład w placówce medycznej maksymalny tolerowany czas przestoju dla laboratorium jest bliski zeru, ponieważ takie jednostki, jak na przykład oddział ratunkowy z reguły nie mogą czekać na wyniki badań dłużej niż kilka minut. Dlatego w działaniach kryzysowych zostanie im przyznany priorytet. Z kolei laboratoria współpracujące na przykład z oddziałem onkologii mogą zaakceptować kilkudniowy przestój. Dla obrazowania okołooperacyjnego akceptowalny przestój wynosi od kilku godzin nawet do kilku dni. Na czynnik ten wpływają również inne kwestie, na przykład długość przestoju, która będzie skutkowała spadkiem sprzedaży. To po raz kolejny zależy od typu działalności; kilkugodzinna awaria systemu sklepu internetowego może nie mieć aż tak poważnych skutków, jeśli wydarzy się pewnego wtorkowego wieczoru w lipcu, z kolei to samo zdarzenie w okresie okołoświątecznym może być dużo bardziej odczuwalne. Gdy weźmiemy pod uwagę wszystkie te kwestie, a także przeanalizujemy otrzymane dane liczbowe, możemy sformułować strategię. Firma musi również dokonać przeglądu głównych aktywów oraz swojej struktury.
We wstępnej fazie planowania pojawi się na pewno wiele znaków zapytania. Niektóre pytania mogą wydawać się niewygodne, gdyż będą tworzyły wrażenie, że kwestie IT zostały zaniedbane, nawet jeśli w rzeczywistości mogło wcale tak nie być. Jednak bez wiedzy o tym, jakie usługi oraz jakie urządzenia są kluczowe dla firmy, a więc co za tym idzie które elementy sieci wymagają szczególnej uwagi, żaden plan nie będzie mógł zostać skutecznie wprowadzony w życie.
Atak złośliwego oprogramowania typu ransomware często wprowadza chaos i zamieszanie w codzienne operacje. W wielu środowiskach nowego typu znakomita większość procedur awaryjnych opiera się na technologii komputerowej. W niektórych działach danej firmy istnieje możliwość powrotu do papierowej technologii, by utrzymać płynność najbardziej kluczowych usług, chociaż wszystko zajmuje dużo więcej czasu. Tak właśnie wyglądała sytuacja, gdy systemy w dyspozytorni numeru alarmowego stanu Ohio zostały zaatakowane przez złośliwe oprogramowanie typu ransomware – niemalże z dnia na dzień pracownicy byli zmuszeni cofnąć się o 25 lat. W niektórych przypadkach powrót do epoki papieru i ołówka jest możliwy, aczkolwiek w pozostałych firmach nie wchodzi w grę (np. w magazynach funkcjonujących na zasadzie chaotycznego składowania). Opracowywanie strategii awaryjnych należy koniecznie wziąć pod uwagę przy tworzeniu planów działania w sytuacji kryzysowej.
G DATA radzi: Od czego zacząć?
- Określ rodzaj zagrożenia, na jakie firma chce się przygotować
- Upewnij się, że plan ten uzyskał aprobatę przełożonych. Łatwiej uzyskać poparcie, gdy niedawno odnotowano incydent związany z bezpieczeństwem.
- Oceń, czy istnieją aktualne strategie zabezpieczeń i sprawdź, czy można je zaadaptować.
- Jeśli istniejące systemy bądź procesy mogą być wykorzystywane na potrzeby bieżącego planu możliwe, że zaoszczędzimy. Należy jednak rozważyć, czy takie rozwiązanie będzie satysfakcjonujące i czy opłaci nam się na dłuższą metę.
- Podchodź krytycznie do danych, które do ciebie docierają i, jeśli to konieczne, jasno podkreślić, że wprowadzenie planu w życie nie ma na celu dokonania oceny ich wyników
- Zapoznaj się z ofertami firm specjalizujących się w działaniu i obsłudze w sytuacjach awaryjnych, takich jak na przykład G DATA Advanced Analytics. Wejdź z tym partnerem w relację – na dłuższą metę przyniesie ci to dużą oszczędność czasu.