Группа экспертов по безопасности Computer Weekly рассматривает меры реагирования на инциденты после июльского инцидента с CrowdStrike, делясь своими взглядами на то, что CrowdStrike сделала неправильно, что сделала правильно и каковы дальнейшие шаги.
Компании, занимающиеся кибербезопасностью, недавно попали в заголовки мировых СМИ из-за серии серьёзных инцидентов, которые привели к масштабным сбоям в работе. Согласно анализу Parametrix, инцидент с CrowdStrike обошёлся компаниям из списка Fortune 500 в 5,4 млрд долларов. Утечка данных Okta и уязвимости в виртуальной частной сети (VPN) Ivanti вызывают аналогичные опасения по поводу последствий инцидентов, связанных с кибербезопасностью, в глобальном масштабе.
Специалисты и организации по кибербезопасности испытывают значительное давление в связи с быстро меняющимся ландшафтом угроз, увеличением угроз со стороны субъектов, спонсируемых национальными государствами, агрессивной ролью, которую ИИ может играть в кибератаках, и возросшей доступностью наборов кибер-эксплойтов. Отчасти проблема заключается в том, что ежедневное обнаружение и предотвращение кибератак не попадает в заголовки газет, но вносит значительный вклад в производительность и устойчивость клиентов и мировой экономики.
Чтобы справиться с этими проблемами, компаниям, занимающимся кибербезопасностью, необходим передовой опыт в области крупных инцидентов.
Привлекайте специалистов по связям с общественностью для защиты репутации и поддержания доверия
Организации по связям с общественностью специализируются на управлении коммуникациями со СМИ, заинтересованными сторонами и общественностью во время кризиса. Они имеют все возможности для разработки плана антикризисных коммуникаций, тесно сотрудничая с экспертами по управлению киберинцидентами, чтобы обеспечить готовность организации по кибербезопасности к различным неожиданностям. Управление коммуникациями по широкому спектру каналов еще больше усложняет ситуацию, поскольку социальные сети и другие цифровые каналы часто распространяют спекулятивные мнения или даже дезинформацию о причинах инцидента. Создание выделенного канала связи гарантирует наличие надежного источника информации во время кризиса. Скорость и точность сообщений во время инцидента имеют решающее значение для поддержания доверия и защиты репутации организаций.
В качестве упреждающей меры специалисты по связям с общественностью могут подчеркнуть положительный вклад организации по кибербезопасности, продемонстрировав количество предотвращенных и смягченных последствий атак. В более широком смысле нам как профессии необходимо сообщать о положительных преимуществах, которые киберпрофессионалы и киберинструменты приносят мировой экономике. Использование сложной терминологии и сокращений в области кибербезопасности может запутать обмен сообщениями. Необходимо предоставлять индивидуальные сообщения различным аудиториям, таким как широкая общественность, руководители высшего звена, специализированная пресса и средства массовой информации.
Разработайте бизнес-модели, включающие страхование и компенсацию
Растущая сложность киберзащиты действительно означает, что инциденты будут происходить либо из-за человеческой ошибки, либо из-за обнаружения новых уязвимостей в программном обеспечении, либо из-за множества других факторов. Организациям, занимающимся кибербезопасностью, необходимо продумать бизнес-модели, которые вселят в клиентов уверенность в том, что, если произойдет худшее, будет какая-то компенсация. Киберстрахование может покрыть расходы на прерывание бизнеса, судебные расследования и расходы на уведомление сторон, пострадавших в результате утечки данных. Предложение киберстрахования дает клиентам возможность приобретать дополнительные услуги помимо стандартного продукта.
Альтернативные модели могут включать в себя сервисные кредиты или периоды бесплатного использования для компенсации потерь. Однако вряд ли они обеспечат достаточную компенсацию за отключение с серьезными последствиями. Неадекватный уровень компенсации может привести к дальнейшему ущербу бренду и репутации.
Инновационные линии защиты
Основной причиной многих киберинцидентов является человеческая ошибка. По данным Всемирного экономического форума, “95% проблем кибербезопасности можно объяснить человеческой ошибкой, а внутренние угрозы (преднамеренные или случайные) составляют 43% всех нарушений”. Задачи с высоким уровнем риска и изменения в системах кибербезопасности часто подвергаются той или иной форме двойного контроля или оценке на вторичном уровне, чтобы помочь снизить риск человеческой ошибки.
Быстрое развитие технологий искусственного интеллекта означает, что могут быть разработаны агенты для выявления потенциальных человеческих ошибок, проверки соответствия требованиям организационной политики и выявления ошибок в изменениях конфигурации, вносимых в программное обеспечение или облачные платформы.
Цифровые двойники играют определенную роль в моделировании потенциальных последствий киберинцидентов. Хотя оценка рисков часто может выявить непосредственные последствия, сложная сеть зависимостей и каскадирование рисков требуют более сложного инструментария для моделирования потенциального воздействия на клиентов и целые секторы. Использование данных о прошлых атаках и отключениях повышает реалистичность моделирования. Эта стратегия становится еще более важной, когда организация по кибербезопасности доминирует на рынке.
Моделирование, вероятно, приведёт к необходимости дальнейших мер по смягчению последствий, таких как поэтапное развёртывание программного обеспечения, создание изолированных сред для предварительного тестирования, разделение и сегментация сетей, пользователей и систем, чтобы избежать крупномасштабных глобальных последствий.
Организации, занимающиеся кибербезопасностью, должны взять на себя ведущую роль в проведении учений по реагированию на инциденты с участием крупных клиентов в конкретных отраслях. Совместный подход к отработке планов реагирования на кризисные ситуации и инциденты позволит выявить недостатки и возможности для повышения скорости реагирования.
Уделяя приоритетное внимание лучшим практикам антикризисного управления в мире с гиперсвязью, организации, занимающиеся кибербезопасностью, могут минимизировать репутационный ущерб от инцидентов и поддерживать доверие к своим решениям. Без этого подхода существует риск того, что все положительные выгоды для мировой экономики от организаций, занимающихся кибербезопасностью, будут потеряны в потоке негативных заголовков.