A vállalati biztonság mindenkitől erőfeszítést követel

A kibertámadások kockázatainak csökkentésére csak akkor állnak rendelkezésre hatékony eszközök, ha a teljes szervezet a biztonság szolgálatába áll.
 

Napjainkban bármely cég könnyen célponttá válhat a legnagyobb vállalatoktól kezdve a legkisebb szervezetekig. A NetIQ szerint ezért a biztonsági és egyéb működési folyamatok kialakítása során nem ördögtől való gondolat azt feltételezni, hogy a kiberbűnözők már betörtek a vállalatunk rendszerébe, és ennek megfelelően kiemelten kell kezelni a válaszlépések megtervezését.

A biztonsági szakemberek általában belátják ennek a megközelítésnek a létjogosultságát, de az üzleti vezetők a legtöbbször nem akarnak hasonló módon gondolkodni. Ők szeretnék inkább elkerülni a negatív híreket, a megszokott mederben tartani az üzletmenetet, és a lehető legkevesebbet költeni a védelemre. Nem szívesen hallanak arról, hogy ha hackertámadásról van szó, akkor már nem is az a kérdés, hogy megtörténik-e, hanem az, hogy mikor.

Fontos lenne azonban az üzleti döntéshozóknak is végig gondolniuk, hogy mivel járhat, ha már támadás érte a rendszert, és ennek megfelelően sorra venniük a biztonsági kérdéseket. Ha a vállalatot valóban megtámadják, az nem csupán az informatikai csapattól kíván reakciót. Ilyenkor aktív közreműködésre van szükség a többi részlegtől is, éppen ezért a válaszlépések kidolgozásához szükség van az üzleti vezetők és a többi osztály bevonására is.

Tervezzük meg az incidensek kezelését!

Ahogyan a katonaságnál is együtt gyakorlatoznak az egységek, a szervezeten belüli, különálló részlegeknek is egy csapatként kell megtervezniük és előkészülniük, hogy miként reagálnának egy esetleges támadásra. Az IT-biztonsági csapat feladata a megfelelő védelmi vonalak kiépítése. Mivel azonban 100 százalékos védelem nem létezik, ezért fel kell készülni minden eshetőségre. 

A visszaélések, behatolások különféle szinteken történhetnek, és a reakciót is ennek megfelelően kell megtervezni. Például nem biztos, hogy igényel felsővezetői beavatkozást egy olyan eset, amely nem érinti közvetlenül a szervezet ügyfeleit. Ha azonban a cég az újságok címlapjára kerül egy komoly adatszivárgási probléma miatt, akkor már szükség van az ügyvezető és a teljes menedzsment munkájára többek között a sajtó felé kommunikálható üzenetek összeállításához, a részvényesek tájékoztatásához, illetve az érintettek kompenzálásának megtervezéséhez.

Egyre több nagyvállalatnál Red teamet alakítanak ki. Ez a csapat állhat belső munkatársakból vagy külsős szakértőkből. Egyes cégek pedig hibavadász (bug bounty) programot hirdetnek, és pénzzel jutalmazzák azokat a szemfüles szakembereket, akik felkutatják a sebezhetőségeket a vállalat termékeiben. Az így feltárt gyenge pontok megerősítésével tovább csökkenthetők a kockázatok.

A jó biztonsági csapatok általában már rendelkeznek forgatókönyvekkel bizonyos esetekre, például pontosan tudják, hogyan kell biztonsági mentésekből visszaállítani az adatokat. Ugyanakkor nemcsak a technikai feladatokat kell figyelembe venni. Egyes jogszabályok, mint például a GDPR nagyon pontosan előírják, hogy a szervezetek mennyi időn belül kötelesek értesíteni azokat a személyeket, akiknek az adatai érintettek egy incidensben. 

A cégeknek azt is muszáj rangsorolniuk, hogy támadás esetén melyik szolgáltatásokat kell először visszaállítaniuk. Ha például egy zsarolóvírus több szolgáltatást is megbénít, akkor melyikre van nagyobb szükség? A vállalatoknak célszerű előzetesen összeállítaniuk az üzleti hatásanalízis (Business Impact Analysis - BIA) dokumentumokat, amelyek segítenek az ilyen kérdések megválaszolásában.