"V poslu načrtujemo uspeh. Na področju kibernetske varnosti moramo načrtovati neuspeh," so besede enega izmed direktorjev, ki so se prebili na seznam Fortune 500.
Kibernetski napad lahko povzroči nepredstavljivo škodo pri poslovanju podjetja, prodaji, ugledu podjetja, ceni delnic. Poleg povzročene materialne škode se lahko zaključi tudi uspešna kariera direktorja podjetja in ostalih na vodilnih položajih.
Allianz Risk Barometer 2020 - največja raziskava o tveganjih na svetu, je prepoznala kritične prekinitve poslovanja, ki jih povzročijo kršitve kibernetske varnosti, za najhujša tveganja za podjetja in organizacije.
Glede na to, da ne moremo napovedati, kdaj nas bo doletela kriza kibernetske varnosti, si lahko vseeno kupimo čas z oblikovanjem dobro izpopolnjenega in učinkovitega načrta kibernetske odpornosti, ki je bistvenega pomena za ublažitev najhujših učinkov napada, hkrati pa omogoča neprekinjeno poslovanje podjetja. Vse to postaja kar precej vroča tema za vodstva podjetij, saj si, glede na vedno bolj pogoste napade, nihče ne želi prekinitve poslovanja podjetij.
Dobra priprava na kibernetsko krizo je polovica bitke. Da bi lahko hitro reagirali in se izognili dolgoročni škodi, je potrebno v podjetjih simulirati kibernetske napade, saj lahko na ta način ugotovimo, kje so kakšne vrzeli ali težave s tehnologijo.
Kljub vsem pripravam in načrtom pa velja, da lahko tudi najbolje pripravljene kibernetska kriza prizadane kadar koli. Kako naj bi vodje podjetij reagirali na to?
1. pravilo: Prevzemite kontrolo.
Zavihajte rokave. Samo prenašanje dela na IT ekipo med kibernetskimi kršitvami je lahko nevarno za podjetje. Mnogi direktorji velikih podjetij po svetu so se tega naučili na grd način, saj kibernetsko tveganje ne vpliva samo na informacijski sistem podjetja, ampak na celotno podjetje.
Motnje pri delovanju lahko takoj vplivajo na ugled podjetja, zaposleni in lastniki podjetja pa bodo takoj pričeli z iskanjem krivca, oziroma odgovornega za nastalo situacijo. Če gre za delniške družbe, pa bodo zaradi padca ugleda podjetja osebno prizadeti tudi vsi delničarji. Učinkovito upravljanje s kibernetsko krizo naj torej prevzame celotno vodstvo podjetij.
2. pravilo: Komunicirajte!
Nihče ne želi biti v novicah in javno izpostavljen, ko se zgodi kibernetski napad. Hitro pride do neljubih vprašanj, kdo je kriv in zakaj se za takšne stvari ni skrbelo že prej. Gre tudi za razumevanje celotnega obsega podatkov, ki niso več zaupni. Vedno pa je prisoten tudi strah, ali so še kje kakšne luknje v varnosti, ki bi lahko povzročile nov napad.
Kibernetska kriza je skoraj vedno zelo zapletena. Da bi lahko odgovorili na vsa vprašanja, lahko traja več mesecev in let. S pravo komunikacijsko strategijo pa lahko določimo odziv in oceno javnosti, kako profesionalno smo obvladali incident. Torej, transparentnost, tajnost, ali nekaj vmes?
Koliko večjih podjetij poskuša prikriti krizo, verjetno ne bomo nikoli izvedeli, je pa res, da tista podjetja, ki so molčala o kibernetskih napadih in bila kasneje razkrinkana, niso ravno pridobila na ugledu.
Sodelovati je potrebno tudi z vsemi notranjimi interesnimi skupinami in kupci, saj je potrebno upoštevati morebitne predpise za obvezna poročila. Nekatera podjetja lahko zahtevajo obveščanje o kritičnih stvareh v nekaj minutah.
Pregledno obravnavanje kibernetske krize prinese koristi, kot je recimo javna podpora oblasti, raziskovalcev in strank. Seveda pa je potrebno prevzeti pritiske v komunikaciji in izvedbi.
3. pravilo: Strokovno znanje o kibernetski varnosti
Dosti podjetij zaposluje strokovnjake, ki so zadolženi za varnost informacijskih sistemov. Vendar pa se je potrebno vprašati, ali so ti zaposleni že kdaj izkusili kibernetsko krizo od začetka do konca? Brez izkušenj na tem področju je v primeru krize za pomoč pametno prositi še koga od zunaj.
Strokovnjaki za kibernetsko varnost: Poročila o krizi in tehnične analize verjetno učinkoviteje izvajajo zunanja podjetja, ki so se že soočala s podobnimi situacijami.
Ponudniki varnostnih storitev: Veliko podjetij se boji, da bi ponudnike varnostnih storitev obravnavali kot partnerje. Vendar pa so, glede na izkušnje, to morda najboljši partnerji podjetij, ki vam bodo pomagali ublažiti grožnje glede na njihove izkušnje.
Organi kazenskega pregona: V dosti državah je sodelovanje s policijo zgolj nuja zaradi uradnega zapisnika. V nekaterih državah pa organi kazenskega pregona ne samo preiskujejo varnostne incidente, pač pa se vključijo in pomagajo pri zaščiti informacijskih sistemov. V vsakem primeru pa je pri kibernetskih napadih vedno potrebno obvestiti policijo oz. primerno službo.
4. pravilo: Zavarujte se, naj vam ne bo žal.
Kako je kibernetska kriza vplivala na vaše podjetje z uglednega, pravnega, finančnega in tehničnega vidika? Kakšni stroški so nastali, ker zadnjih 20 ur niste mogli zagnati strežnika?
Ocenite skupne stroške napada. Koliko bi izgubili, če bi izgubili čas za delo na pomembnih projektih? Takšna analiza je potrebna v vsakem primeru, pomagala bo izpeljati naložbe, ki jih potrebujete za povečanje informacijske varnosti.
Kljub vsej preventivi, ki jo podjetja izvajajo, je vedno tako, da podjetja, ki so doživela takšno krizo, znatno povečajo naložbe v informacijsko varnost.
Osredotočenost na načela, kot je Zero Trust, izboljšanje kibernetske higiene in poenostavitev varnostnih postopkov in tehnologij, so nekatere izmed najpomembnejših in osnovnih stvari, ki jih je potrebno storiti.
Odpornost na kratko.
Ne glede na panogo podjetja, ustrezen načrt za kibernetsko odpornost je potreben, če želite biti pripravljeni na najslabši scenarij. Zmanjšanje obsega škode, ki jo povzroči kibernetski napad, je glavni cilj načrta kibernetske odpornosti. Poskus zaščite omrežja je ena stvar. Če pa v primeru napada aktivirate dobro premišljen in preizkušen načrt neprekinjenega poslovanja v primeru napada, lahko podjetju prihranite ogromno denarja in časa. Torej, bodite dobro pripravljeni.
Ker so napadi zadnje čase precej pogosti, bi bilo dobro, da preverite delovanje vašega informacijskega sistema. V kolikor niste prepričani kako se tega lotiti, smo tu vrhunski strokovnjaki za informacijsko varnost GOV-IS d.o.o., da pregledamo vaša IT omrežja in vam svetujemo, kako jih optimizirati. Pokličite nas ali nam pišite.
Prijavite se na E-NOVICE in ne zamudite naslednje objave.