Итак, вы знаете, как правильно поступить. Вы разработали политику и обучили всех в парламенте лучшим практикам. Но даже при такой напряженной работе вполне вероятно, что в конце концов что-то пойдет не так. Всякое случается. Для таких случаев нужен план реагирования на инциденты. Реагирование на инциденты является важнейшей и часто недооцениваемой частью плана безопасности вашего парламента, потому что произойти может что угодно: и атака, разрушающая вашу репутацию, и незначительная неприятность.
Помните, что отреагировать на инцидент можно только в том случае, если о нем известно. Очень важно иметь сильную культуру безопасности и поощрять членов парламента и персонал за информацию о проблемах. Вот почему лучше вознаграждать за надлежащее поведение в области безопасности, чем наказывать за упущения или ошибки, допущенные в этом отношении. Также важно проявлять сочувствие и проверять самочувствие сотрудников, когда они сообщают об инциденте. Вы же хотите, чтобы сотрудники незамедлительно сообщали о переходе по ссылке в фишинговом сообщении, об украденном телефоне или взломанной учетной записи в социальной сети немедленное и не опасаясь, что их накажут или не захотят поддержать? В конце концов, реагирование на инциденты, как и стратегии смягчения последствий, упомянутые в других разделах Пособия, является работой всего парламента.
К чему стоит приготовиться? Если коротко, то ко всему, что может произойти. Это будет выглядеть по-разному для каждого парламента, но общие вопросы, на которые поможет ответить план реагирования на инциденты, включают:
- Что делать, если наши учетные записи или веб-сайты взломали?
- Что делать, если кто-то перешел по ссылке в фишинговом электронном письме или если устройство ведет себя подозрительно?
- Что делать в случае кражи или утечки электронных писем или наиболее конфиденциальных документов?
- Что мы делаем, если один из наших сотрудников подвергается физической опасности? Или страдает от стресса или беспокойства вследствие таких угроз?
- Что делать, если офис пострадал в результате пожара, наводнения или стихийного бедствия?
- Что мы делаем, если компьютер или телефон члена парламента потеряны или украдены?
Ответы на эти и другие вопросы будут различаться в зависимости от парламента, но важно продумать их вместе, четко сформулировать и поделиться планом, чтобы все были готовы немедленно принять меры для ограничения ущерба.
Заимствуя рекомендацию из Holistic Security Guide компании Tactical Tech, хорошим началом для плана реагирования на инциденты является определение инцидента или чрезвычайной ситуации в контексте вашего парламента. Решите, что такое «чрезвычайная ситуация», т. е. момент, когда необходимо начать осуществлять запланированные действия и меры на случай непредвиденных обстоятельств. Это важно, поскольку иногда с этим бывают неясности. Представим конкретный сценарий: допустим, потеряна связь с коллегой в ходе полевой миссии; как долго следует ждать, прежде чем объявить чрезвычайную ситуацию? Не хочется преждевременно паниковать, однако слишком долгое ожидание в некоторых обстоятельствах может иметь катастрофические последствия.
Также важно продумать все этапы операции. Определите для каждого сотрудника четкие обязанности, которые им будут известны и согласованы заранее — это уменьшит дезорганизацию и панику в случае инцидента. Рассмотрите различные обязанности, которые вам, возможно, придется взять на себя, и практические аспекты реагирования на чрезвычайную ситуацию на случай каждой потенциальной угрозы. В рамках этой важной стратегии действий в чрезвычайных ситуациях необходимо активизировать сеть поддержки — широкую сеть союзников, которая может включать различные ветви власти вашего собственного правительства, правительства других дружественных стран, технологические компании, поставщиков услуг безопасности, многосторонние институты и т. д., и это лишь несколько примеров. Чем могут помочь союзники? Следует ли вам связаться с ними заранее, чтобы убедиться в их готовности прийти на помощь в чрезвычайной ситуации и уточнить, чего вы от них ожидаете?
Эффективные коммуникации играют важнейшую роль в реагировании на инциденты. Выберите наиболее безопасное и эффективное средство связи с каждым участником для различных сценариев и определите резервные средства. Имейте в виду, что в чрезвычайных ситуациях крайне полезно располагать четкими указаниями о том, что следует (и чего не следует) сообщать, когда сообщать, какие коммуникационные каналы использовать и к кому обращаться. Кроме того, примите во внимание влияние инцидента на репутацию вашего парламента и будьте готовы отреагировать соответствующим образом. Убедитесь, что руководитель парламента по связям с общественностью знает об инциденте и может следить за социальными сетями или другими средствами массовой информации на предмет возможных последствий. Также необходимо быть готовым ответить на возможные запросы общественности или СМИ об инциденте, если это уместно. Это особенно важно для упреждения любых потенциальных негативных историй или репутационного ущерба. Хотя все инциденты и обстоятельства отличаются друг от друга, честные и прозрачные коммуникации часто помогают укрепить доверие после инцидента.
создание системы раннего оповещения и реагирования
Рассмотрите возможность создания системы раннего оповещения и реагирования. Такая система звучит красиво, но по сути это всего лишь централизованный документ (электронный или иной), который нужно открыть в случае чрезвычайной ситуации. В таком документе следует изложить во временной шкале все подробные данные об индикаторах безопасности и произошедших инцидентах, предоставить четкое описание действий и последовательности запланированных мер реагирования, а также указать, какие показатели будут свидетельствовать о снижении рисков. Кроме того, в таком документе должны быть изложены действия, которые необходимо предпринять после инцидента, чтобы защитить участников от дальнейшего вреда и помочь им восстановиться физически и эмоционально. Наличие системы раннего оповещения и реагирования позволяет получить полезную документацию для передачи в правоохранительные органы (если применимо), последующего анализа произошедшего и разработки рекомендаций по улучшению тактики предотвращения и реагирования на угрозы в будущем.
Помимо этих важных концепций реагирования на инциденты, ваш парламент также должен подготовиться к любому конкретному техническому реагированию. В некоторых случаях техническим реагированием могут управлять ИТ-специалисты или системные администраторы организации. Например, при наличии подозрения о взломе учетной записи администратор должен быть готов и иметь возможность закрыть или отключить затронутую учетную запись. Однако некоторые технические инциденты могут потребовать опыта, которого у вас нет в вашем парламенте. Для подобных ситуаций необходимо иметь список надежных внешних технических экспертов, которые смогут помочь в реагировании на инциденты. В некоторых случаях вы можете предварительно согласовать условия с поставщиками услуг (например, с хостингом вашего веб-сайта или фирмой, занимающейся ИТ-безопасностью), чтобы убедиться, что они доступны (и не будут взимать дополнительную плату) за реагирование на такие технические инциденты.
И последнее, но не менее важное: вам следует подумать о правовых мерах. Важно понимать, какие средства правовой защиты у вас могут быть, а также юридические обязательства или последствия, с которыми может столкнуться ваш парламент в результате утечки данных или другого инцидента, связанного с безопасностью. Как парламент, вы обладаете особой властью и авторитетом, когда речь идет о понимании и соблюдении местных правил безопасности и конфиденциальности данных. Найдите время, чтобы обсудить возможные инциденты с соответствующим юристом, если это необходимо, и составьте план того, что вы будете делать в качестве реагирования. Кроме того, рекомендуется заключить соглашение с этим юрисконсультом, чтобы он мог в случае необходимости представлять вас и ваши интересы после инцидента. В процессе правовой подготовки убедитесь, что имеете четкое представление о правовых обязательствах всех поставщиков или партнеров. Должны ли они уведомлять вас об утечке своих данных? Какую поддержку (если предусмотрено) они должны оказать вам в случае инцидента? Заключая контракты и соглашения с внешними поставщиками, помните о возможности утечки данных или других инцидентов.
Хотя не существует универсального подхода к реагированию на инциденты, крайне важно иметь четкие оперативные, коммуникационные, технические и юридические планы. При составлении плана реагирования на инциденты мы настоятельно рекомендуем вам воспользоваться некоторыми отличными существующими ресурсами, призванными помочь организациям сориентироваться в вопросах реагирования на инциденты. Хотя не все эти ресурсы предназначены специально для парламентов, их содержание по-прежнему очень актуально. К этим ресурсам относятся: Digital First Aid Kit (Цифровая аптечка первой помощи), разработанная Rarenet и CiviCERT, Online Harassment Field Manual (Полевое руководство по онлайн-преследованиям, составленное PEN America, Cybersecurity Campaign Playbook (Руководство по проведению кампании по кибербезопасности) Белферского центра, Cyber Incident Communications Plan Template (Шаблон плана коммуникации при кибер-инцидентах), а также Digital Security Helpline (Горячая линия цифровой безопасности) компании Access Now.
- Разработайте парламентский план реагирования на инциденты и применяйте его на практике.
- Проанализируйте возможные инциденты и разработайте меры реагирования до того, как инциденты произойдут.
- Убедитесь, что все в парламенте осведомлены о том, как вы будете общаться и какие технические шаги будут предприняты в случае инцидента.
- Разберитесь в средствах правовой защиты и правовых обязательствах.
- Будьте готовы предоставить членам и персоналу эмоциональную и социальную поддержку, в которой они нуждаются после инцидента.
