Topic Sections

Topics

Šta da radite kad stvari krenu po zlu

Responding to Incidents

Dakle, znate šta treba da radite. Formulisali ste politike i sve u organizaciji obučili o najboljim praksama. Čak i uz sav taj trud, vrlo je verovatno da će nešto u nekom trenutku poći po zlu. Takav vam je život. Kad se to desi, od suštinske je važnosti da imate plan za slučaj incidenata. Mere za slučaj incidenta predstavljaju ključni, a često zanemareni, deo bezbednosnog plana vaše organizacije pošto one mogu da presude da li će neki napad uništiti reputaciju vaše organizacije ili biti samo manja prepreka na putu.

Imajte na umu da na incident možete da reagujete samo ako znate da je do njega došlo. Vrlo je važno da stvorite robusnu bezbednosnu kulturu na nivou cele organizacije i podstaknete osoblje da prijavljuje probleme. Zato je bolje da nagrađujete dobro ponašanje na polju bezbednosti nego da kažnjavate propuste ili greške. Takođe je važno da pokažete empatiju i proverite kako se član osoblja oseća nakon što prijavi incident. Želite da vaše osoblje odmah prijavi ako su kliknuli na pecarošku (phishing) poruku, ako su im ukrali telefon ili hakovali nalog na društvenim mrežama, a ne da oklevaju jer se boje kazne ili da im niko neće pružiti podršku. Naposletku, mere za slučaj incidenata, upravo kao strategije ublažavanja posledica pomenute u drugim odeljcima pruručnika, predstavljaju nešto čime treba da se bavi cela organizacija.

Dakle, šta vaši planovi treba da obuhvate? Ukratko, bilo šta što bi verovatno moglo da se desi. Ovo će se razlikovati od organizacije do organizacije, ali neka generalna pitanja na koje bi plan reagovanja u slučaju incidenta trebalo da odgovori su:

  • Šta da radimo ako neko hakuje naše naloge ili naš sajt?
  • Šta da radimo ako neko klikne na pecaroški (phishing) mejl ili se neki uređaj sumnjivo ponaša? 
  • Šta da uradimo ako neko ukrade i objavi naše mejlove ili osetljive informacije?
  • Šta da radimo ako se neko od našeg osoblja nađe u opasnoj situaciji ili bude uhapšen/a? Ili ako se bore sa stresom i anksiopznošću zbog takvih pretnji?
  • Šta da radimo ako naša kancelarija nastrada u požaru, poplavi ili elementarnoj nepogodi?
  • Šta da radimo ako član osoblja izgubi kompjuter ili telefon ili mu iste ukradu?

Odgovori na ova i druga pitanja će se razlikovati od organizacije do organizacije, ali važno je zajednički ih promisliti, jasno artikulisati i podeliti plan kako bi svi u vašoj organizaciji bili spremni da momentalno preduzmu korake za ograničavanje potencijalne štete.

Kao što je navedneo u Holistic Security Guide (Holističkom bezbednosnom vodiču) organizacije Tactital Tech, jedan od najboljih načina da se započne rad na planu za reagovanje u slučaju incidenta  jeste da definišete incident ili hitnu situaciju u kontekstu vaše organizacije. Odlulčite šta je zapravo “hitna situacija”, tj. u kom momentu treba da primenite planirane korake i mere. Ovo je bitno jer je situacija ponekad nejasna. Zamislite slučaj gde izgubite kontakt sa kolegom na terenskom zadatku - koliko ćete čekati pre nego što to proglasite za hitnu situaciju? Ne želite da prenaglite, ali ako predugo čekate u određenim okolnostima posledice mogu biti katastrofalne. 

Takođe je bitno da dobro razmislite i o potencijalnim operativnim koracima. Svakoj osobi dodelite jasnu ulogu koje su svesni i na koju su unapred pristali – to će smanjiti dezorganizovanost i paniku u slučaju hitne situacije. Razmotrite različite uloge koje ćete morati da preuzmete u pogledu bilo koje pretnje, kao i praktične aspekte reagovanja na hitnu situaciju. Ova bitna strategija za reagovanje u hitnim situacijama treba da obuhvata i kreiranje mreže podrške – široke mreže saveznika u koje mogu spadati porodica i prijatelji, vaša zajednica, lokalni saveznici, državni resursi kao i nacionalni i međunarodni saveznici poput NVOa i novinara. Kako vaši saveznici mogu da vas podrže? Da li bi trebalo da ih unapred kontaktirate kako bi vam potvrdili da su voljni da vam pomognu u hitnoj situaciji i kako biste im preneli šta očekujete od njih? 

Prilikom reagovanja na neki incident, delotvorna komunikacija izuzetno dobija na važnosti.  Izaberite najbezbedniji i najdelotvorniji način komunikacije za svaki različiti scenario i identifikujte i rezervne kanale. Budite svesni da bi u hitnim slučajevima moglo biti korisno da posedujete jasne smernice o tome šta treba (i šta ne treba) saopštavati drugima, kada treba da komunicirate, koje kanale da koristite za to i sa kime bi trebalo da komunicirate. Takođe razmislite o uticaju nekog incidenta na reputaciju vaše organizacije i budite spremni da adekvatno reagujete. Postarajte se da glavna osoba zadužena za komunikacije (u nekim slučajevima to može biti prosto osoba koja upravlja vašim Facebook ili Twitter nalogom) bude svesna incidenta i da može da prati društvene mreže ili druge medije zbog potencijalnog efekta. Takođe bi trebalo da je pripremite da po potrebi odgovori na moguća pitanja javnosti ili predstavnika medija o incidentu. Ovo je naročito bitno kako biste predupredili potencijalne negativne pruče ili štetu po vašu reputaciju. Dok su svaki incident i kontekst drugačiji, iskrena i transparentna komunikacja često potpomaže uspostavljanje poverenja nakon nekog incidenta.

Creating an Early Alert and Response System

Consider establishing an Early Alert and Response System. Such a system sounds fancy, but it is essentially just a centralized document (electronic or otherwise) to be opened in the event of an emergency. In the document, you should record all the details about the security indicators and incidents which have occurred on a timeline, provide a clear description of the actions and sequence for the planned response, and indicate what needs to be achieved to signify that the risk has once again decreased. It should also include actions to be taken after an incident in order to protect those involved from further harm and help them to recover physically and emotionally. An Early Alert and Response System can provide useful documentation for sharing with law enforcement (if applicable), subsequent analysis of what has happened, and guidance on how to improve your prevention tactics and responses to threats in the future.

In addition to these important incident response concepts, your parliament should also prepare for any specific technical response. In some cases a technical response can be managed by internal IT staff or system administrators. For example, if an email account appears to have been hacked, your account administrator should be prepared and able to shut down or disable the impacted account. Some technical incidents, however, might require expertise that you do not have within your parliament. For situations like these, it is important to identify a trusted list of external technical experts who can assist you in your incident response. In some cases, you may want to pre-negotiate terms with service providers (such as your website host or an IT security firm) to ensure that they are available (and would not charge extra) for such technical incident response.

Last but certainly not least, you should consider legal steps. Understanding the legal protections you might have, as well as the legal obligations or consequences your parliament might face as a result of a data breach or other security incident, is important. As a parliament, you are in a position of particular power and prominence when it comes to both understanding and respecting local data security and privacy regulations. Take some time to review possible incidents with relevant legal counsel if necessary and make a plan for what you would do in response. It is a good idea to make an agreement with this trusted counsel to represent you and your interests if needed in the aftermath of an incident. As part of this legal preparation, make sure that you understand the legal obligations of any vendors or partners. Are they required to notify you in the case of their own data breach? What support (if any) are they required to provide you in the case of an incident? As you develop contracts and agreements with external vendors, keep the possibility of a data breach or other incident in mind.  

While there is no one-size-fits-all approach to incident response, having clear operational, communications, technical, and legal plans in place is essential. As you put together your incident response plan, we strongly encourage you to make use of some excellent existing resources, designed to help organizations navigate incident response. Although not all of these resources are designed specifically for parliaments, their content is still very relevant. These resources include the Digital First Aid Kit developed by RareNet and CiviCERT, PEN America’s Online Harassment Field Manual, the Belfer Center’s Cybersecurity Campaign Playbook and Cyber Incident Communications Plan Template, and Access Now’s Digital Security Helpline.

Incident Response

  • Develop a parliamentary incident response plan, and practice it.
    • Brainstorm possible incidents and prepare for your response before it happens.
  • Ensure everyone across parliament is aware of how you will communicate and what technical steps will be taken in the case of an incident.
  • Take time to understand your legal protections and obligations.
  • Be prepared to provide members and staff the emotional and social support they need in the aftermath of an incident.