Kredit:CC0 Public Domain
Om det blir en attack mot landet, militären mobiliserar. När en naturkatastrof inträffar, återhämtningsplaner träder i kraft. Om en infektionssjukdom börjar spridas, hälsotjänstemän lanserar en inneslutningsstrategi.
Insatsplaner är avgörande för återhämtning i nödsituationer, men när det kommer till cybersäkerhet, en majoritet av branscher är inte uppmärksamma.
"Verkligheten är hur fantastisk du än är med din förebyggande förmåga, du kommer att bli hackad, "sa Mohammad Jalali, en forskningsfakultetsmedlem vid MIT Sloan vars arbete för närvarande är fokuserat på folkhälsa och organisatorisk cybersäkerhet. "Vad ska du göra då? Har du redan en bra responsplan som uppdateras kontinuerligt? Och kommunikationskanaler definieras, och intressenternas ansvar definieras? Vanligtvis är svaret i de flesta organisationer nej. "
För att hjälpa till att åtgärda cybersäkerhetssvagheter i organisationer, Jalali och andra forskare Bethany Russell, Sabina Razak, och William Gordon, byggt upp ett åtta aggregerade svarsstrategieram. De kallar det EARS.
Jalali och hans team granskade 13 tidskriftsartiklar som involverade cybersäkerhet och hälsovård för att utveckla EARS. Även om fallen är relaterade till hälsovårdsorganisationer, strategierna kan tillämpas på en mängd olika branscher.
EARS-ramverket är uppdelat i två halvor:pre-incident och post-incident.
Före incidenten:
1—Konstruktion av en incidentresponsplan:Denna plan bör innehålla steg för upptäckt, undersökning, inneslutning, utrotning, och återhämtning.
"En av de vanliga svagheterna som organisationer har är att de har satt ihop en incidentresponsplan, men problemet är att dokumentationen vanligtvis är väldigt generisk, det är inte specifikt för organisationen, "Jalali sa. "Det är inget klart, specifika, handlingsbar lista över objekt."
Se till att alla i organisationen känner till planen, inte bara de anställda på IT-avdelningen. Ställ tydliga kommunikationskanaler, och när du tilldelar ansvar, se till att de är tydligt definierade.
2 - Konstruktion av en informationssäkerhetspolicy för att fungera avskräckande:Tydligt definierade säkerhetssteg fastställer och uppmuntrar efterlevnad.
"Många företag tror att efterlevnad är säkerhet, "Jalali sa. "[Det] om du bara följer informationen kommer du att bli omhändertagen."
Sätt inte ribban så lågt att organisationen inte är säker. Regler bör säkerställa en förståelse för cyberhot. Upprätta motiverande skäl för svarsteamen att följa rapporteringspolicyer. Efterlevnad bör gå hand i hand med ständiga förbättringar.
3—Involvering av nyckelpersoner inom organisationen:Oavsett storleken på en organisation, nyckelledare måste utbildas om vikten av cybersäkerhet och vara redo att agera enligt insatsplanen.
Ledare behöver inte vara cybersäkerhetsexperter, men de måste förstå vilken inverkan en incident kommer att ha på deras organisation. Ju mer informerade de är, ju mer involverade de kan vara i en svarsplan.
4—Regelbundna skentester av återhämtningsplaner:Återhämtningsövningar hjälper organisationer att stresstesta planer och utbilda anställda i korrekta svarsprotokoll.
Om organisationen bara testar sin återhämtningsplan under en verklig nödsituation, det kommer sannolikt att stöta på allvarliga problem, vilket kan öka mängden skador som orsakats av cyberincidenten.
Skiftet från en reaktiv till proaktiv hållning kan hjälpa en organisation att identifiera svagheter eller luckor i sin återhämtningsplan, och ta itu med dem innan en incident inträffar.
Efter incidenten:
5 – Inneslutning av incidenten:Inneslutning innebär både proaktiva och reaktiva åtgärder.
Det är lättare att stänga av infekterade enheter från ett nätverk om de redan är segmenterade från andra enheter och anslutningar, före en incident.
Forskarna medger att det inte alltid är möjligt att segmentera nätverk, inte heller att omedelbart koppla bort den från hela systemet. Åtminstonde, rapportera omedelbart den infekterade enheten till organisationens IT-team för att begränsa incidenten.
6 — Inbäddad etik och engagemang från andra utanför organisationen:Det är viktigt att komma ihåg att alla organisationens intressenter kan påverkas av en cyberincident.
Meddela omedelbart juridisk rådgivare och relevanta tillsyns- och brottsbekämpande myndigheter. Överväg hjälp från externa resurser och dela information om cyberhotet.
7—Utredning och dokumentation av incidenten:Var aktuell och noggrann; varje steg i reaktionen före och efter incidenten bör dokumenteras.
Utredningen bör syfta till att hitta den grundläggande tekniska orsaken till problemet, samt svagheter som kan förhindra framtida attacker. Korrekt dokumentation är en nödvändighet för denna analys.
8—Konstruktion av en skadebedömnings- och återvinningsalgoritm:Organisationer bör självutvärdera efter incidenten.
Medan datorer är där cyberattacker sker, de kan också användas för att hjälpa till med återhämtning. Organisationer kan utnyttja datorernas kraft, särskilt artificiell intelligens, för realtidsdetektering och inneslutning av incidenter.
"De vanliga ramarna för incidenthanteringsstrategier missar ofta detta viktiga steg, "Jalali sa, "även om det redan finns AI-baserade produkter för just detta ändamål."