За кого е наменет овој прирачник?
Овој прирачник е напишан со едноставна цел: да му помогне на вашиот парламент да изготви разбирлив и спроведлив план за кибернетска безбедност. Како што светот е сè поприсутен на интернет, кибернетската безбедност не е само модерна фраза, туку концепт кој е од клучно значење за успехот на парламентите, а безбедноста на информациите (на интернет и надвор од интернет) е предизвик кој изискува фокус, инвестиции и внимание.
Вашиот парламент, најверојатно, ќе стане – ако веќе не е – цел на кибернетски напад. Намерата на ова не е да предизвика паника, туку тоа е реалност дури и за парламентите за коишто не се смета дека претставуваат одредена цел.
Во една просечна година Центарот за стратегиски и меѓународни студии, кој води тековна листа на она што тие го нарекуваат „Значајни кибернетски инциденти“, каталогизира стотици сериозни кибернетски напади, од кои повеќето се насочени кон десетици, ако не и стотици, организации одеднаш. Покрај ваквите пријавени напади, веројатно има стотици други помали напади секоја година кои остануваат неоткриени или непријавени, а многу од нив се насочени кон владини институции, законодавни тела и кон политички организации.
Ваквите кибернетски напади имаат значителни последици. Без разлика дали целта на таквите закани е да го нарушат работењето на парламентот, да ѝ нанесат штета на вашата репутација, па дури и да украдат информации кои може да доведат до психичка или физичка повреда на вашите членови или вработени, тие треба да се сфатат сериозно.
Добрата работа е во тоа што не мора да станете програмер или експерт за технологија за да се одбраните себеси и вашиот парламент од вообичаените закани. Сепак, треба да бидете подготвени да вложите напор, енергија и време за изработување и спроведување цврст парламентарен план за безбедност.
Ако никогаш не сте размислувале за кибернетската безбедност на вашиот парламент, не сте имале време да се фокусирате на тоа или имате некои основни познавање за темата, но сметате дека вашиот парламент би можел да ја подобри својата кибернетска безбедност, овој прирачник е за вас. Без оглед на тоа од каде сте, овој прирачник има цел да му ги даде на вашиот парламент суштинските информации што му се потребни за да воспостави еден цврст план за безбедност – план кој не е само едноставно ставање зборови на хартија, туку ви овозможува да ги спроведете најдобрите практики на дело.
Кој управува со кибернетската безбедност на парламентот?
За ефикасен и безбеден парламент се потребни вработени со вештини и соодветно овластување за спроведување на препораките содржани во овој прирачник. Имајќи го тоа предвид, одговорните лица за кибернетската безбедност во парламентите можат многу да се разликуваат и не постои еден вистински модел за тоа кој треба да управува со кибернетската безбедност. Во некои случаи тоа може да биде назначен тим за кибернетска безбедност во рамките на вашата служба за ИТ, а во други група од различен административен кадар и членови. Во секој случај, имајте предвид дека, иако е важно да имате добар тим задолжен за кибернетската безбедност на вашиот парламент, одговорност на сите во парламентот и околу него е да ги следат политиките и процедурите што се неопходни за парламентот да биде безбеден. Подолу се дадени неколку примери на различни модели на кадар за управување со кибернетската безбедност на парламентот:
Претставнички дом на Соединетите Американски Држави
Во Претставничкиот дом на Соединетите Американски Држави некои поединечни служби ангажираат системски администратор кој е одговорен за управување со сите компјутерски хардверски и софтверски системи што ги користи службата – вклучително и за управување со согледувањата за кибернетската безбедност – и ги обучува вработените за најдобрите практики. На институционално ниво, главниот административен директор на Претставничкиот дом има тим за информациски ресурси, кој вклучува сектор посветен на безбедноста на информациите.
Национално собрание на Замбија
Националното собрание на Замбија смета на својот Сектор за информациска и комуникациска технологија (ИКТ) за различни функции, вклучително и управување со софтверот, хардверот и информатичката инфраструктура на парламентот, обука на пратениците и на вработените за технолошките системи и обезбедување на информациската инфраструктура на парламентот од внатрешни и надворешни закани за кибернетската безбедност.
Парламент на Малезија
Во Парламентот на Малезија одделот за информатичка технологија се наоѓа под главниот администратор на парламентот што му овозможува да ги опслужува двата дома на парламентот. Во овој оддел има конкретна позиција за безбедност на мрежи, која му овозможува да осигури дека мрежните системи, податочните центри и инфраструктурата за ИКТ се ажурирани и што е можно побезбедни.
Што претставува планот за безбедност и зошто секој парламент треба да има таков план?
Планот за безбедност е збир на пишани политики, процедури и упатства со кои вашиот парламент се согласил за да го постигнете нивото на безбедност кое вие и вашиот тим сметате дека е соодветно за да ги заштитите вашите луѓе, партнери и информации.
Добро изработен и ажуриран план за организациска безбедност може да ве заштити и да ве направи поефективни со тоа што ќе ви даде чувство на смиреност кое ви е потребно за да се фокусирате на важната секојдневна работа на вашиот парламент. Без детално размислување за еден сеопфатен план, многу е лесно несвесно да се занемарат некои видови закани, фокусирајќи се премногу на еден ризик или игнорирајќи ја кибернетската безбедност додека не се случи криза.
Кога ќе почнете да подготвувате план за безбедност, треба да си поставите неколку важни прашања кои го формираат процесот наречен процена на ризик. Одговарањето на тие прашања му помага на вашиот парламент да ги разбере уникатните закани со кои се соочувате и ви овозможува да застанете и детално да размислите за тоа што треба да заштитите и од кого треба да го заштитите. Обучени проценувачи со помош на системи, како ревизорската рамка SAFETAG на „Интер њус“ (Internews), можат да помогнат во водењето на вашиот парламент низ еден таков процес. Навистина вреди ако можете да добиете пристап до тоа ниво на професионална експертиза, но дури и ако не можете да направите целосна процена, треба да се сретнете со засегнатите страни во рамките на парламентот за внимателно да ги разгледате овие клучни прашања:
Со какви средства располага вашиот парламент и што сакате да заштитите?
Можете да почнете да одговарате на овие прашања со креирање каталог на сите средства на вашиот парламент. Информациите како пораки, е-пошта, контакти, документи, календари и локации се можни средства. Телефоните, компјутерите и другите уреди може да бидат средства. И луѓето, врските и односите, исто така, можат да бидат средства. Направете список на вашите средства и обидете се да ги каталогизирате според нивната важност за организацијата, каде ги чувате (можеби на повеќе дигитални или физички места) и што ги спречува другите да им пристапат, да ги оштетат или да ги нарушат. Имајте предвид дека не е сè подеднакво важно. Ако некои од податоците на парламентот претставуваат јавна евиденција или информации што веќе ги објавувате, тие не се тајни што треба да ги заштитите.
Кои се вашите противници и кои се нивните способности и мотивации?
„Противник“ е поим кој често се користи во организациската безбедност. Едноставно кажано, противници се актери (поединци или групи) коишто се заинтересирани за вашиот парламент, да ја нарушат вашата работа и да добијат пристап до вашите информации или да ги уништат информациите: лошите момци. Примери на потенцијални противници може да бидат финансиски измамници, непријателски влади или идеолошки или политички мотивирани хакери. Важно е да направите список на вашите противници и да размислите критички за тоа кој би сакал негативно да влијае на вашиот парламент и на вработените. Иако е лесно да се предвидат надворешните актери (како странска влада или одредена политичка група) како противници, имајте предвид дека противници можат да бидат и луѓе што ги познавате, како што се незадоволни вработени, поранешен кадар и членови на семејството или партнери што не ве поддржуваат.
Различни противници претставуваат различни закани и имаат различни ресурси и способности да го нарушат вашето работење и да добијат пристап до вашите информации или да ги уништат. На пример, владите често имаат многу пари и моќни способности, вклучително и да го исклучат интернетот или да користат скапа технологија за надзор; давателите на услуги за мобилни мрежи и интернет веројатно имаат пристап до евиденцијата на повици и претходни пребарувања на интернет; вештите хакери на јавните безжични мрежи имаат способност да пресретнуваат слабо обезбедени комуникации или финансиски трансакции. Можете дури и да станете свој сопствен противник, на пример, со случајно бришење важни датотеки или испраќање приватни пораки на погрешна личност.
Мотивите на противниците, веројатно, ќе се разликуваат и според нивниот капацитет, интереси и стратегии. Дали се заинтересирани да го дискредитираат вашиот парламент? Можеби имаат намера да ја оневозможат вашата порака или да ја нарушат работата на парламентот? Важно е да се разбере мотивацијата на противникот бидејќи тоа може да му помогне на вашиот парламент подобро да ги процени заканите.
Со какви закани се соочува вашиот парламент? Колку тие закани се веројатни и колку е големо нивното влијание?
При идентификувањето на можните закани, најверојатно ќе добиете список кој може да биде огромен. Можеби сметате дека сите напори ќе бидат бесмислени или не знаете од каде да почнете. За да му помогнете на вашиот парламент да зајакне и да преземе продуктивни следни чекори, корисно е да се анализира секоја закана врз основа на два фактора: веројатноста дека заканата ќе се случи и влијанието доколку се случи.
За да ја измерите веројатноста за закана (дали е можеби ниска, средна или висока, врз основа на тоа дали одреден настан веројатно нема да се случи, може да се случи или често се случува), можете да ги искористите информациите што ги знаете во однос на капацитетот и мотивацијата на вашите противници, анализата на минатите безбедносни инциденти, други слични искуства на парламентите и, секако, присуството на какви било постојни стратегии за ублажување што сте ги воспоставиле.
За да го измерите влијанието на заканата, размислете како би изгледал вашиот свет доколку заканата навистина се случи. Поставувајте прашања како, на пример, „Како заканата ни наштети како парламент и како луѓе, физички и психички?“, „Колку долго трае ефектот од заканата?“, „Дали заканата создава други штетни ситуации?“ и „Како ја попречува нашата способност да ги постигнеме нашите цели сега и во иднина?“ Додека одговарате на овие прашања, размислете дали влијанието од заканата е ниско, средно или високо.
За да ви помогне да управувате со овој процес на процена на ризикот, можете да користите работен лист, како овој изработен од фондацијата Електронски граници. Имајте предвид дека информациите што ги креиравте како дел од овој процес (како што е списокот на вашите противници и заканите од нив) може да бидат чувствителни, па затоа е важно да се погрижите да бидат безбедни.
Откако ќе ги категоризирате вашите закани според веројатноста и влијанието, можете да почнете да правите поинформативен план со активности. Со фокусирање на заканите кои најверојатно ќе се случат и ќе имаат значителни негативни влијанија, ќе ги канализирате вашите ограничени ресурси на најефикасен и најефективен можен начин. Вашата цел е секогаш да го ублажите ризикот колку што е можно повеќе, но никој – ниту владата или компанијата со најмногу ресурси на светот – никогаш не може целосно да го елиминира ризикот. И тоа е во ред: Можете да направите многу за да се заштитите себеси, вашите колеги и вашиот парламент со тоа што ќе се погрижите за најголемите закани