Отже, ви знаєте, як і що треба робити. Ви запровадили політику та навчили всіх у парламенті найкращим практикам. Навіть попри всю цю важку роботу дуже ймовірно, що щось піде не так. Всяке трапляється. Коли відбувається щось не те, важливо мати план реагування на інцидент. Реагування на інциденти є важливою, і часто недооцінюваною, частиною плану безпеки вашого парламенту, оскільки це може бути різницею між нападом, який знищить вашу репутацію, або стане неприємною перешкодою на дорозі.
Майте на увазі, що ви можете відреагувати на інцидент, лише якщо знаєте про нього. Дуже важливо мати сильну культуру безпеки та заохочувати депутатів і співробітників повідомляти про проблеми. Ось чому краще винагороджувати за належне втілення заходів із безпеки, а не карати за прогалини або помилки, пов’язані з безпекою. Також важливо висловлювати співчуття та переконатися у доброму самопочутті співробітників, коли вони повідомляють про інцидент. Співробітники мають негайно повідомляти про натиснуте посилання у фішинговому повідомленні, викрадений телефон або зламаний обліковий запис у соціальних мережах, — а не зволікати, боячись покарання чи відсутності підтримки. Зрештою, реагування на інциденти, як і стратегії пом’якшення наслідків, згадані в інших розділах Довідника, запроваджуються у всій організації.
Що саме потрібно включити до плану? Коротко кажучи, все, що може ймовірно статися. Ризики є різними для кожної організації, але типові запитання, на які допоможе відповісти план реагування на інциденти, включають такі:
- Що ми будемо робити, якщо наші облікові записи або веб-сайти буде зламано?
- Що ми будемо робити, якщо хтось натисне посилання у фішинговому електронному листі або якщо пристрій веде себе підозріло?
- Що ми будемо робити, якщо наші електронні листи чи найбільш конфіденційні документи викрадено та стався витік даних?
- Що ми робимо, якщо одному з наших співробітників загрожує фізична небезпека? Або якщо вони потерпають через стрес і тривогу внаслідок таких загроз?
- Що ми будемо робити, якщо наш офіс постраждає від пожежі, повені чи стихійного лиха?
- Що ми робимо, якщо комп’ютер або телефон учасника загублено чи вкрадено?
Відповіді на ці та інші питання залежатимуть від парламенту, але важливо продумати їх разом і чітко сформулювати та поділитися планом, щоб кожен був готовий негайно вжити заходів для обмеження шкоди.
Цитуючи Комплексний посібник із безпеки від Tactical Tech, під час розробки плану реагування на інциденти добре буде почати з визначення інциденту або надзвичайної ситуації в контексті вашої організації. Вирішіть, що таке «надзвичайна ситуація», тобто момент, коли ви повинні почати впроваджувати заплановані дії та заходи із реагування на інцидент. Це важливо, оскільки іноді буває незрозуміло: наприклад, у такому сценарії, як втрата контакту з колегою під час виконання операції на місці; як довго треба чекати, перш ніж визнати ситуацію екстреною? Не хочеться панікувати занадто рано, але надто довге очікування за деяких обставин може бути катастрофічним.
Також важливо продумати етапи операції. Призначте кожній людині чітку роль, яку вона знає і приймає заздалегідь — це зменшить дезорганізацію та паніку в разі інциденту. Для кожної загрози розгляньте різні ролі, які вам, можливо, доведеться взяти на себе, і практичні аспекти реагування на надзвичайну ситуацію. Ця важлива стратегія для надзвичайних ситуацій передбачає активацію мережі підтримки — широкої мережі союзників, яка може включати різні гілки вашого власного уряду, інші дружні уряди, технологічні компанії, постачальників засобів безпеки та багатосторонні установи, щоб назвати лише кілька прикладів. Як ваші союзники можуть підтримати вас? Чи варто зв'язатися з ними заздалегідь, щоб переконатися, що вони готові допомогти вам у надзвичайних ситуаціях, і повідомити їм, чого ви від них очікуєте?
Під час реагування на інцидент ефективна комунікація стає дедалі важливішою. Вирішіть, що є найбільш безпечним і ефективним засобом комунікації з кожним учасником у різних сценаріях, і також визначте резервний засіб. Майте на увазі, що в надзвичайних ситуаціях може бути корисним мати чіткі вказівки щодо того, що саме передавати (а що ні), коли спілкуватися, які канали використовувати для спілкування та з ким слід спілкуватися. Також врахуйте репутаційний вплив інциденту на ваш парламент і будьте готові відповідним чином відреагувати. Переконайтеся, що керівник комунікацій парламенту знає про інцидент і може стежити за соціальними мережами чи іншими засобами масової інформації для потенційного впливу. Ця особа також повинна бути готова до можливих запитів громадськості чи ЗМІ щодо інциденту, у відповідних випадках. Це особливо важливо для того, щоб випередити потенційні негативні історії та запобігти репутаційній шкоді. Хоча всі інциденти та контексти різні, чесна та прозора комунікація часто допомагає зміцнити довіру після інциденту.
Створення системи раннього оповіщення та реагування
Розгляньте можливість створення системи раннього оповіщення та реагування. Це звучить складно, але, по суті, це просто централізований документ (електронний чи інший), який відкривається в разі надзвичайної ситуації. У документі слід описати всі подробиці про показники безпеки та інциденти, які сталися на часовій шкалі, надати чіткий опис дій і послідовність запланованого реагування, а також вказати, що слід зробити, щоб зменшити ризик повторного виникнення інциденту. Цей документ також має включати дії, яких слід вжити після інциденту, щоб захистити учасників від подальшої шкоди та допомогти їм відновитися фізично й емоційно. Система раннього оповіщення та реагування може надати корисну документацію для передачі правоохоронним органам (за необхідності), проведення подальшого аналізу того, що трапилося, і вказівки щодо вдосконалення вашої тактики запобігання та реагування на загрози в майбутньому.
На додачу до цих важливих концепцій реагування на інциденти ваша організація також має підготуватися до будь-яких конкретних технічних заходів реагування. У деяких випадках технічними заходами реагування може керувати ІТ-персонал або системні адміністратори організації. Наприклад, якщо здається, що обліковий запис електронної пошти було зламано, адміністратор вашого облікового запису має бути готовий і мати можливість закрити або вимкнути ушкоджений обліковий запис. Однак для подолання наслідків деяких технічних інцидентів може знадобитися досвід, якого у вашій організації немає. У подібних ситуаціях важливо визначити надійний список сторонніх технічних експертів, які можуть допомогти вам у реагуванні на інцидент. У деяких випадках ви можете попередньо узгодити умови з постачальниками послуг (наприклад, хостингом вашого веб-сайту чи ІТ-консультантом), щоб переконатися, що вони доступні (і не стягуватимуть додаткової плати) для такого реагування на технічні інциденти.
І останнє, але не менш важливе: ви повинні розглянути правові кроки. Важливо зрозуміти, які можливості правового захисту у вас є, а також юридичні зобов’язання або наслідки, з якими може зіткнутися ваша організація в результаті витоку даних або іншого порушення безпеки. Як парламент, ви маєте особливу владу та значущість, коли справа доходить до розуміння та дотримання місцевих правил безпеки даних і конфіденційності. Знайдіть час, щоб розглянути можливі інциденти з відповідним юридичним консультантом, за необхідності, і складіть план того, як ви будете реагувати на них. Добра ідея укласти угоду з цим довіреним консультантом, який буде представляти вас і ваші інтереси, якщо це знадобиться після інциденту. У рамках цієї правової підготовки переконайтеся, що ви розумієте юридичні зобов’язання постачальників і партнерів. Чи зобов’язані вони повідомляти вас у разі витоку їхніх даних? Яку підтримку (за наявності) вони повинні надати вам у разі інциденту? Коли ви укладаєте контракти й угоди зі сторонніми постачальниками, пам’ятайте про можливість витоку даних або іншого інциденту.
Хоча не існує універсального методу реагування на інциденти, важливо мати чіткі плани операційних, комунікаційних, технічних і правових заходів. Коли ви складаєте свій план реагування на інциденти, ми наполегливо рекомендуємо вам скористатися деякими відмінними наявними ресурсами, розробленими, щоб допомогти організаціям орієнтуватися в реагуванні на інциденти. Хоча не всі ці ресурси розроблені спеціально для парламентів, їх зміст все одно є дуже актуальним. Ці ресурси включають Цифрову аптечку першої допомоги, розроблену RaReNet і CiviCERT, Практичний посібник щодо переслідування в інтернеті від PEN America, Порядок проведення кампанії з кібербезпеки від Belfer Center, Шаблон плану повідомлень про кіберінциденти і Гарячу лінію цифрової безпеки від Access Now.
- Розробіть парламентський план реагування на інциденти та практикуйте його.
- Проведіть мозковий штурм щодо можливих інцидентів і приготуйтеся реагувати до того, як це станеться.
- Переконайтеся, що всі в парламенті знають про те, як ви будете спілкуватися та які технічні кроки будуть вжиті у випадку інциденту.
- Знайдіть час, щоб дізнатися про засоби правового захисту й усвідомити свої зобов’язання.
- Будьте готові надати депутатам і співробітникам необхідну емоційну та соціальну підтримку після інциденту.