Kybernetické incidenty dnes nepředstavují otázku „jestli“, ale „kdy“. Přesto řada organizací stále nemá jasno v tom, jak postupovat ve chvíli, kdy k útoku skutečně dojde. Zatímco technické zabezpečení bývá často na solidní úrovni, největší slabiny se objevují v krizovém řízení, komunikaci a připravenosti lidí reagovat pod tlakem.
Když dojde k bezpečnostnímu incidentu, technické problémy bývají často jen špičkou ledovce. Ten pravý chaos nastává v krizovém řízení a komunikaci. Ve své praxi už jsem viděl plány na zvládání incidentů, které sice vyplnily tlusté kožené šanony, ale v reálu byly k ničemu. Buď řešily zbytečné detaily, nebo byly tak obecné, aby jen formálně prošly u auditora.
V článku se dozvíte:
- Proč o rozsahu škod často rozhodují první minuty po incidentu
- Jak nastavit incident response plán, který funguje i v praxi
- Jakou roli hraje komunikace se zaměstnanci, zákazníky a partnery
- Proč je důležité sdílet know-how napříč organizací
- Jak udržet připravenost i ve chvílích, kdy se zdá, že žádné riziko nehrozí
- Jak mohou bezpečnostní procesy podpořit důvěru zákazníků i obchodní růst
Čím dřív začnete jednat, tím méně dat ztratíte
Většina útoků začíná úplně obyčejně jedním e-mailem nebo zprávou na WhatsApp. Dnešní podvody jsou navíc tak dobře maskované, že jsou pro běžného uživatele často nerozpoznatelné od reálné komunikace. Pokud někdo otevře to, co nemá, v tu chvíli se rozjíždí scénář, který nemusí mít happy end, pokud se o problému firma nedozví včas.
Čím dříve organizace zareaguje, tím více dat může ochránit a tím menší bývají finanční, provozní i reputační dopady. Proto je důležité vytvářet prostředí, ve kterém zaměstnanci neváhají upozornit na podezřelou aktivitu nebo možné pochybení. Pokud lidé vědí, že prioritou je rychlé vyřešení situace a minimalizace dopadů, mají větší tendenci problém nahlásit včas. To organizaci poskytuje cenný čas pro efektivní reakci.
Proces místo paniky
Přirozená reakce lidí na kybernetický incident se velmi liší. Zatímco někteří mají tendenci situaci zpočátku podcenit nebo odložit její řešení, jiní reagují velmi emotivně a snaží se problém vyřešit co nejrychleji.
Funkční krizový plán by neměl existovat jen na papíře. Musí být srozumitelný, aktuální a známý všem, kteří se budou podílet na řešení incidentu. V kritické situaci pak poskytuje jasný rámec pro rozhodování, komunikaci i koordinaci dalších kroků.
Místo paniky tak nastoupí proces. Díky tomu se organizace může opřít o předem definované postupy namísto improvizace. Pokud jsou role jasně nastavené, zaměstnanci proškolení a plán pravidelně aktualizovaný, každý ví, jaké jsou jeho odpovědnosti a co v dané chvíli dělat. Postupy je ale potřeba pravidelně ověřovat v praxi, aktualizovat a seznamovat s nimi všechny relevantní zaměstnance.
Klienti očekávají odpovědný přístup
Jedna věc mě na incidentech u klientů překvapila víc než technická vynalézavost útočníků: firmy často nejsou zběhlé v tom, jak o problému informovat své zákazníky a partnery. Komunikační strategie v krizových plánech většinou úplně chybí nebo těžce pokulhává.
Zákazníkům ve výsledku ani tolik nevadí, že vznikl problém, pokud s nimi komunikujete narovinu a vědí, že se o situaci umíte postarat. Potřebují vědět, že organizace situaci řeší, rozumí jejím dopadům a podniká konkrétní kroky k jejich minimalizaci. Včasná, transparentní a věcná komunikace pomáhá předcházet spekulacím a umožňuje udržet důvěru i v období, kdy organizace čelí mimořádné situaci.
Role experta a síla sdíleného know-how
Když dojde k průšvihu, nastupuje externí konzultant nebo CISO. Nejsme tu od toho, abychom vařili podle kuchařky, kde je vše navážené na gram přesně. Reálný incident se totiž vždycky trochu liší od teorie. Pokud u klienta působím jako externista, pomáhám jet podle plánu a zároveň si píšu poznámky, kde to drhne, abychom se z toho v rámci Lessons learned poučili.
V mnoha týmech se ale stává, že firma spoléhá na jednoho nejzkušenějšího člověka, který má všechno v hlavě. Jenže co když tam ten kolega zrovna nebude? Aby firma nebyla závislá na paměti jednotlivce, musí si budovat takzvanou znalostní bázi. Představte si to jako digitální Wikipedii vaší firmy. V té jsou sepsané postupy, návody a zkušenosti z minulých incidentů. Když je know-how takto dostupné všem, lidé vědí, co a kdy se od nich očekává, a důležité informace zůstávají bezpečně uvnitř firmy.
Jakmile nebezpečí zmizí, máme tendenci polevit
Nepsaným pravidlem bývá, že jakmile hrozba zmizí, firmy se postupně začnou vracet do starých kolejí. Už to sice není úplně laxní přístup, ale ostražitost opadá. Ubyde testování, plány se neaktualizují a za rok už zase neodpovídají realitě firmy.
Investice do bezpečnosti sice nepřinese nové zakázky jako marketingová kampaň, ale chrání ty stávající. V mnoha případech vám ale naopak dveře k novým zakázkám otevře. Například v automotive je dnes naprostou nezbytností plnit přísné požadavky standardu TISAX a větší firmy nebo korporace stále častěji vyžadují od svých dodavatelů certifikaci ISO 27001 jako podmínku pro spolupráci. Je to podobné jako pojištění. Dokud se nic neděje, může se zdát, že jde o vyhozené peníze. Ve chvíli incidentu se ale právě tato připravenost vrací nejrychleji.
Lepší být připraven než překvapen
I menší firmy bez obřího IT týmu mají své možnosti. Buď se do tvorby plánů pustí samy, nebo se spojí s externím partnerem, který jim pomůže nastavit procesy na míru. V dnešním propojeném světě se bezpečnost týká každého, protože útoky budou přicházet, o tom není pochyb. Rozdíl je jen v tom, zda se firma s krizí bude těžce potýkat a následně se z ní dlouze vzpamatovávat, nebo ji díky otestovanému plánu dokáže ustát. S oblibou proto říkám, že připravenost už se mnohokrát vyplatila. Škody byly díky ní menší a nakonec i vedení firem uznalo, že má své opodstatnění.
Chcete vědět, jak dobře je vaše organizace připravená na bezpečnostní incident?
Security Reality Check vám pomůže získat rychlý přehled o stavu bezpečnosti, procesech i potenciálních rizicích.
