Tehát tudja, mit kell tennie. Bevezette az irányelveket, és a szervezetben mindenkit kioktatott a legjobb gyakorlatokra. Még ennyi kemény munka mellett is nagyon valószínű, hogy valami végül rosszul sül el. Történnek dolgok. Ilyenkor elengedhetetlen, hogy rendelkezzünk egy incidens-elhárítási tervvel. Az incidensre adott válasz kulcsfontosságú, és gyakran alulértékelt része a szervezet biztonsági tervének, mert ez lehet a különbség aközött, hogy egy támadás tönkreteszi a szervezet hírnevét, vagy egy kellemetlen zökkenő az úton.
Ne feledje, hogy csak akkor tud reagálni egy eseményre, ha tud róla. Nagyon fontos az erős szervezeti biztonsági kultúra megléte és a személyzet ösztönzése a problémák bejelentésére. Ez az oka annak, hogy jobb megjutalmazni a helyes biztonsági magatartást, mint büntetni a biztonsági hibákat. Szintén fontos az empátia kifejezése és a személyzet jóllétének ellenőrzése, amikor incidenst jelentenek. Azt szeretné, ha az alkalmazottak azonnal jelentenék az adathalász üzenetben szereplő linkre való kattintást, egy ellopott telefont vagy egy feltört közösségi média fiókot – és ne féljenek a megtorlástól, vagy a támogatás hiányától. Végtére is az incidensekre való reagálás, csakúgy, mint a Kézikönyv más részeiben említett mérséklési stratégiák, az egész szervezetre kiterjedő erőfeszítés.
Szóval mire kell terveznie? Röviden, bármire, ami némileg valószínűsíthető. Ez minden szervezetnél másként fog kinézni, de a gyakori kérdések, amelyeket az incidensre adott választerv segít megválaszolni, a következők:
- Mit tegyünk, ha fiókjainkat vagy weboldalainkat feltörik?
- Mit tegyünk, ha valaki egy adathalász e-mailre kattint, vagy ha egy eszköz gyanúsan viselkedik?
- Mit tegyünk, ha e-mailjeinket vagy legérzékenyebb dokumentumainkat ellopják és kiszivárogtatják?
- Mit tegyünk, ha egyik alkalmazottunkat fizikai veszélybe sodorják vagy letartóztatják? Vagy ha stresszesek és szorongással küzdenek az ilyen fenyegetések miatt?
- Mit tegyünk, ha tűz, árvíz vagy természeti katasztrófa következtében megsérül az irodánk?
- Mit tegyünk, ha egy alkalmazott számítógépe vagy telefonja elveszett vagy ellopták?
Az ezekre és a többi kérdésre adott válaszok szervezetenként eltérőek, de fontos, hogy ezeket együtt gondoljuk végig, és világosan megfogalmazzuk és megosszuk a tervet, hogy szervezetében mindenki készen álljon azonnali lépésekre a károk korlátozása érdekében.
A Tactical Tech Holistic Security Guide című dokumentumából kölcsönözve jó kiindulópont az incidensreagálási terv elkészítéséhez, ha meghatároz egy eseményt vagy vészhelyzetet a szervezet kontextusában. Döntse el, hogy mi a „vészhelyzet” – vagyis az a pont, ahol el kell kezdenünk a tervezett cselekvések és vészhelyzeti intézkedések végrehajtását. Ez azért fontos, mert néha nem egyértelmű – ha elképzel egy olyan forgatókönyvet, mint a kapcsolat elvesztése egy helyszíni küldetésben lévő kollégájával; meddig várna a vészhelyzet kihirdetésével? Nem akarunk túl korán ugrani, de a túl hosszú várakozás bizonyos körülmények között katasztrofális lehet.
Szintén fontos végiggondolni aműveleti lépéseket. Rendeljen hozzá minden személyhez egy világos szerepet, amellyel tisztában van, és amelyben előzetesen megállapodott – ez csökkenti a szervezetlenséget és a pánikot egy incidens esetén. Minden egyes fenyegetés esetén vegye figyelembe a különböző szerepeket, amelyeket esetleg fel kell töltenie, és a vészhelyzetre való reagálás gyakorlati szempontjait. Ezen a vészhelyzetekre vonatkozó fontos stratégián belül egy támogató hálózat aktiválása szerepel – a szövetségesek széles hálózata, amely magában foglalhat barátokat és családot, közösséget, helyi szövetségeseket, kormányzati forrásokat és nemzeti vagy nemzetközi szövetségeseket, például civil szervezeteket és újságírókat. Hogyan támogathatják a szövetségesei? Előzetesen fel kell vennie velük a kapcsolatot, hogy megbizonyosodjon arról, hogy készek lesznek-e segíteni vészhelyzetben, és tudassa velük, mit vár el tőlük.
Egy eseményre való reagálás során a hatékony kommunikáció egyre fontosabbá válik. Döntse el, hogy az egyes szereplőkkel való kommunikációnak melyik a legbiztonságosabb és leghatékonyabb módja a különböző forgatókönyvekben, és határozzon meg egy tartalék eszközt is. Legyen tudatában annak, hogy vészhelyzet esetén hasznos lehet egyértelmű iránymutatás arra vonatkozóan, hogy mit (és mit ne) kommunikáljunk, mikor kommunikáljunk, milyen csatornákat használjunk a kommunikációhoz, és kivel kommunikáljunk. Vegye figyelembe azt is, hogy egy incidens milyen hatással van a szervezetére gyakorolt hírnévre, és készüljön fel a megfelelő reagálásra. Győződjön meg arról, hogy a szervezet kommunikációs vezetője (egyes szervezetekben csak az lehet, aki a Facebook-oldalt vagy a Twitter-fiókot kezeli) tisztában van az incidenssel, és figyelheti a közösségi médiát vagy más médiát a lehetséges hatások miatt. Fel kell készülnie arra is, hogy adott esetben nyilvános, vagy médiamegkereséseket tegyen egy incidenssel kapcsolatban. Ez különösen fontos az esetleges negatív történetek vagy a hírnévkárosodás megelőzéséhez. Bár minden incidens és kontextus más és más, az őszinte és átlátható kommunikáció gyakran segít a bizalom kiépítésében az incidensek következményeivel kapcsolatban.
Creating an Early Alert and Response System
Consider establishing an Early Alert and Response System. Such a system sounds fancy, but it is essentially just a centralized document (electronic or otherwise) to be opened in the event of an emergency. In the document, you should record all the details about the security indicators and incidents which have occurred on a timeline, provide a clear description of the actions and sequence for the planned response, and indicate what needs to be achieved to signify that the risk has once again decreased. It should also include actions to be taken after an incident in order to protect those involved from further harm and help them to recover physically and emotionally. An Early Alert and Response System can provide useful documentation for sharing with law enforcement (if applicable), subsequent analysis of what has happened, and guidance on how to improve your prevention tactics and responses to threats in the future.
In addition to these important incident response concepts, your parliament should also prepare for any specific technical response. In some cases a technical response can be managed by internal IT staff or system administrators. For example, if an email account appears to have been hacked, your account administrator should be prepared and able to shut down or disable the impacted account. Some technical incidents, however, might require expertise that you do not have within your parliament. For situations like these, it is important to identify a trusted list of external technical experts who can assist you in your incident response. In some cases, you may want to pre-negotiate terms with service providers (such as your website host or an IT security firm) to ensure that they are available (and would not charge extra) for such technical incident response.
Last but certainly not least, you should consider legal steps. Understanding the legal protections you might have, as well as the legal obligations or consequences your parliament might face as a result of a data breach or other security incident, is important. As a parliament, you are in a position of particular power and prominence when it comes to both understanding and respecting local data security and privacy regulations. Take some time to review possible incidents with relevant legal counsel if necessary and make a plan for what you would do in response. It is a good idea to make an agreement with this trusted counsel to represent you and your interests if needed in the aftermath of an incident. As part of this legal preparation, make sure that you understand the legal obligations of any vendors or partners. Are they required to notify you in the case of their own data breach? What support (if any) are they required to provide you in the case of an incident? As you develop contracts and agreements with external vendors, keep the possibility of a data breach or other incident in mind.
While there is no one-size-fits-all approach to incident response, having clear operational, communications, technical, and legal plans in place is essential. As you put together your incident response plan, we strongly encourage you to make use of some excellent existing resources, designed to help organizations navigate incident response. Although not all of these resources are designed specifically for parliaments, their content is still very relevant. These resources include the Digital First Aid Kit developed by RareNet and CiviCERT, PEN America’s Online Harassment Field Manual, the Belfer Center’s Cybersecurity Campaign Playbook and Cyber Incident Communications Plan Template, and Access Now’s Digital Security Helpline.
- Develop a parliamentary incident response plan, and practice it.
- Brainstorm possible incidents and prepare for your response before it happens.
- Ensure everyone across parliament is aware of how you will communicate and what technical steps will be taken in the case of an incident.
- Take time to understand your legal protections and obligations.
- Be prepared to provide members and staff the emotional and social support they need in the aftermath of an incident.