10 نصائح للاستجابة للحوادث السيبرانية من الناجين من الهجمات الإلكترونية من Equifax وMandiant
سان فرانسيسكو – مؤتمر RSA – شارك قادة الأمن السيبراني الذين شاهدوا هجومًا إلكترونيًا من الداخل أفضل النصائح والحكايات التحذيرية هنا يوم الاثنين. لم يكن لتوصياتهم أي علاقة بالتكنولوجيا – ولم تكن هناك اقتراحات حول أحدث الميزات المتوفرة في قاعة المعرض – وكانت لها علاقة كبيرة بالاتصالات أثناء الأزمات، وتوثيق العمليات، والصداقة.
قامت باتريشيا تيتوس، كبير مسؤولي أمن المعلومات (CISO) في شركة Brooking Holdings Inc.، بإدارة جلسة نقاش بعنوان “الحياة بعد الخرق: دليل الناجي”. وكان من بين أعضاء اللجنة تيم كروثرز، رئيس أمناء أمن المعلومات في شركة Mandiant؛ وروس أيريس، نائب الرئيس الأول ونائب رئيس قسم تكنولوجيا المعلومات في مكتب الائتمان Equifax؛ وجون كارلين، شريك في شركة Paul, Weiss.
يتمتع أعضاء اللجنة بخبرة واسعة في التعامل مع آثار الحوادث السيبرانية. في السابق، عمل Crothers لدى Target، وانضم إليه في عام 2014 للمساعدة في إعادة بناء سمعته الأمنية بعد وقت قصير من خرق البيانات الأسطوري في عام 2013. كان أيريس يعمل مع شركة Equifax أثناء اختراق البيانات عام 2017، والذي كشف معلومات التعريف الشخصية لـ 143 مليون مستهلك أمريكي و240.000 رقم بطاقة ائتمان للمستهلك الأمريكي. عملت كارلين في وزارة العدل الأمريكية كنائبة للمدعي العام بالإنابة، حيث قامت بتطوير فريق عمل برامج الفدية التابع لوزارة العدل، والمساهمة في الاستجابة للحوادث التي وقعت في SolarWinds وColonial Pipeline.
فيما يلي بعض النصائح الأساسية التي قدموها إلى CISOs وغيرهم من قادة تكنولوجيا المعلومات الذين قد يجدون أنفسهم يعيشون أسوأ أيامهم على الإطلاق:
1. ما يبدو مضحكًا اليوم… ليس كذلك
جون كارلين: “ستعمل أنت وفريقك على مدار الساعة طوال أيام الأسبوع. وهذا هو الوقت الذي يصبح فيه الناس متوترين. ستستخدم كل هذه الاتصالات في الوقت الفعلي – سيتم الحفاظ عليها، ويجب الحفاظ عليها قانونيًا. تأكد من القيام بذلك دروس تنشيطية حول “الاتصالات الذكية” لتذكير الجميع: ما يبدو مضحكًا الآن، لن يبدو مضحكًا بعد عامين من الآن عندما تكون في جلسة استماع أو في الكونجرس. هذا التذكير الصغير يمكن أن يوفر عليك وعلى شركتك الكثير من الألم.
2. إنشاء “اتصالات مميزة” مع المستجيبين للحوادث
تيم كروذرز: “إذا كنت رئيسًا لأمن المعلومات، فيجب أن يكون المستشار العام هو أفضل صديق لك.”
كارلين :”تعتقد في البداية أن الأمر سيكون حادثًا صغيرًا، لذلك تقوم بإحضار المستجيب للحادث بدونه [legal] امتياز. ويتحول إلى فوضى كبيرة. والآن تريد حماية بعض تلك الاتصالات المبكرة، لكنك لم تقم بإحضارها في الأصل [legal] المحامي، لذلك لا يمكنك حماية تلك الاتصالات.”
3. لديك صديق في مجال الأمن السيبراني
روس أيريس: “سوف تعتقد أنك على الأرجح لن تتمكن من اجتياز هذا الأمر. أول شيء يجب مراعاته هو: لديك أصدقاء في هذه المجموعة. هذه المجموعة عبارة عن مجتمع متماسك للغاية. تواصل مع مجتمعك .. الحقيقة هي أنك إذا تواصلت مع شخص ما، فقد مر بذلك من قبل وسيحصل على كل الإجابات التي تحتاجها وسيقدم لك كل المساعدة التي تحتاجها.
4. تعرف على اتصالات الأزمات الخاصة بك الآن
كروثرز: “لماذا تعتبر الاتصالات مهمة؟ لأن الجميع يريد أن يعرف ما إذا كنت تحت السيطرة.”
كارلين: “فكر في من هي شركة اتصالات الأزمات التابعة للطرف الثالث التي سنقوم بإحضارها. فلنقابلهم مسبقًا حتى يعرفوا قيمنا ونتأكد من أنهم ليسوا نفس الأشخاص الذين نذهب إليهم في أيام الأخبار الجيدة.”
5. جهز الشخص الثاني في القيادة
باتريشيا تيتوس: “ماذا يحدث في حالة عدم توفر كبير مسؤولي الأمن أو كبير مسؤولي أمن المعلومات لديك؟ هل تتدرب للتأكد من أن موظفيك من الدرجة الثانية والثالثة والرابعة لديهم الكفاءة اللازمة لتولي زمام الأمور في حالة حدوث ذلك؟”
ايريس: “أنت تنظر إلى وضعنا [before the Equifax breach]، غادر الرئيس التنفيذي، وغادر مدير تكنولوجيا المعلومات، وغادر مدير تكنولوجيا المعلومات … وفي الوقت نفسه، كان ثلاثة من قادة أعمالنا محبوسين في قضية [Securities and Exchange Commission] سؤال. … لقد رحل ستة من قادتنا الرئيسيين الذين كنت ستعتمد عليهم في المناورات. … عليك أن تفكر في الثواني الخاصة بك.
6. إعادة بناء الثقة تستغرق وقتًا أطول مما تعتقد
كروثرز: “إن أكبر شيء ربما لن تتوقعه هو مجرد الافتقار المطلق للثقة. لذلك، في حالة حدوث انتهاك كبير، إذا لم تتعامل مع الاتصالات بشكل جيد، و/أو لديك علامة تجارية محبوبة جيدًا ويشعر الناس لقد تعرضت للخيانة (لأنك مرة أخرى لم تتعامل مع الاتصالات أيضًا) لديك بشكل أساسي كل هذه المنظمات التي يتعين عليك التعامل معها – المدققين، وما إلى ذلك – الذين لا يصدقونك حقًا … أحد الأشياء التي، قبل التعامل مع هذه الانتهاكات، لم أكن أتوقع حجم العمل الذي ستستثمره لاستعادة تلك الثقة، واستعادة تلك المصداقية لتلك المنظمة، من أجل إدارة الأعمال فقط.”
7. اجعل المناورات واقعية
كروثرز: “على جبهة المناورات، افعل ذلك بدون مدير أمن المعلومات الخاص بك… أنت على متن طائرة من باريس إلى مينيابوليس، لذلك في الساعات العشر الأولى من الحادث، يجب عليهم الذهاب بدونك، ورؤية كيف ستتكشف الأمور.”
كارلين: “لا تملك الإجابات. قم بإجراء تمرين يسألك فيه: “كم من الوقت سيستغرق الأمر للنهوض مرة أخرى؟” “لا أعرف” “كيف حدث هذا؟” “لا أعرف، وربما لا أعرف لأسابيع، وربما أشهر، وربما على الإطلاق”.
8. قم بتوثيق قرارات المخاطر الخاصة بك
كارلين: “باعتبارهم الجهة التنظيمية، والمحامي، والشخص الذي يحقق في الحدث، فإنهم يميلون إلى عمل السلسلة بشكل عكسي. وسوف يتساءلون ما هو هذا النظام، ومن كان مسؤولاً عن السيطرة على هذا النظام؟ وفي كثير من الأحيان، في الأحداث الكبرى التي استجبت لها، كانت شيئًا خارج نطاق اختصاص رئيس أمن المعلومات، لذا لأي سبب من الأسباب، قامت الشركة بعمل استثناء، أو لم يتم جردها بشكل صحيح، وهذا ما حدث وكانت المفاجأة.
“…”نعم، ولكن هذا النظام كان استثناءً، أو أننا استحوذنا للتو على هذا النظام، أو كان هذا نظامًا يحتاج أحد كبار المسؤولين التنفيذيين في مجال الأعمال إلى استخدامه في ذلك الوقت، أو كان لدينا ديون تقنية.” هذه قضايا حقيقية ولكن المشكلة هي أنه لم يتم إحياء ذكرى المشكلة بطريقة ما من خلال سجل المخاطر، مع التحكم التعويضي حيث يمكنك إظهار أنك فكرت في هذه القضية وكان ذلك خيارًا واعيًا في ذلك الوقت.
9. توقع ما هو غير متوقع
كارلين: “لقد وجدنا أن المناورات الحربية فعالة للغاية لدرجة أن رئيس الولايات المتحدة ومجلس الوزراء شارك فيها … لقد قمنا بتدريبات حربية لسنوات حول الشكل الذي ستبدو عليه إذا هاجمت دولة مارقة مسلحة نوويًا الولايات المتحدة عبر الوسائل السيبرانية. لا أعرف إذا كنت تتذكر ما هو الهجوم الأول – اعتقدنا أنه سيكون كهربائيًا أو شبكة مياه – ولكن لا، كان فيلمًا عن مجموعة من الصحفيين الذين يدخنون الحشيش”. (كارلين، في إشارة إلى الهجوم الذي ترعاه الدولة الكورية الشمالية على شركة سوني بيكتشرز إنترتينمنت، ردًا على فيلم “المقابلة”)
10. العودة إلى الأساسيات
ايريس: “اعرف ما تريد تصحيحه، وعدد المرات. … افحص ما تتوقعه. لا أستطيع أن أخبرك بعدد الأشياء التي كانت تعمل للتو والتي اعتقدنا أنها تعمل، ولكن عندما تبحث فيها، فإنها لا تعمل مثل كنت أعتقد.”