آموزش بهینه تعاملات سازمانی به تیم امنیتی، طی حملهی سایبری
آن روز را به خاطر دارم؛ انگار همین دیروز بود: مدیر عامل اجراییمان مرا به دفترش خواند و از من خواهش کرد تا لپتاپ و اسمارتفونم را روی میزم بگذارم. خیلی رک و راست گفت: «ما هک شدیم. بررسیها همچنان ادامه داره اما میشه تا اینجای کار تأیید کرد که تو محیط داخلی شرکت یک مهاجم نفوذیِ فعال، به شدت سرسخت و پیچیده، تحت حمایت دولت داریم».
روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ راستش را بخواهید، خیلی هم غیرمنتظره نبود. متخصصین ما چند وقتی میشد که داشتند با نقض امنیتیِ کلاینتهایمان دست و پنجه نرم میکردند و البته شرکت ما که اساساً شرکتی فعال در حوزهی امنیتی است اصلیترین هدف بود. با این حال، غافلگیریِ بدی بود: کسی بیاید و امنیت اطلاعات لایههای دفاعی شرکت را مورد تجاوز قرار دهد. در ادامه با ما همراه شوید تا به سوالی که فوراً در ذهن ایجاد میشود بپردازیم: «چطور میشود با چنین حادثهای کنار آمد؟»
5 مرحلهی اطلاعرسانی در مورد مسئله: انکار، خشم، چانهزنی، افسردگی و پذیرش.
این حقیقت است -هرچند شاید غافلگیرکننده باشد- که پیش از GDPR هر سازمانی انتخاب میکرد حادثهی پیشآمده را همگانی و علنی کند و یا همچنان آن را باور نکرده و انکارش کند. کسپرسکی اما اهل انکار نیست؛ این شرکت امنیت سایبری عادت دارد بیپرده و شفافسازیشده برنامههای خود را پیش ببرد. ما مدیران ارشد همگی اتفاق نظر داشتیم تا این مسئله را علنی کنیم؛ که البته کار درستی هم بود، خصوصاً اینکه شاهد بودیم چطور شکاف ژئوپولیتیک داشت عمیقتر میشد و میدانستیم قدرتهای بزرگِ دخیل در این حملهی سایبری آمادهاند تا این نقض را چماغی کنند بر سرمان- تنها چیزی که در موردش مطمئن نبودیم زمان و چگونیاش بود. ما با علنی کردن این حادثه نه تنها آنها را از این فرصت محروم نمودیم، که همچنین این واقعه را به نفع خود نیز تمام کردیم.
گفته میشود دو نوع سازمان داریم- سازمانهایی که هک شدند و سازمانهایی که حتی روحشان هم خبر ندارد هک شدند. در این قلمرو، الگوی سادهای حاکم است: شرکت نباید نقض امنیتیاش را پنهان کند. علنی کردن این موضوع شرف دارد به خدشهدار کردن امنیت سایبری کلی شرکا و مشتری.
خوب بیایید برگردیم به ماجرای خودمان. وقتی طرفهای دخیل در شرکتمان را راه انداختیم –تیمهای حقوقیِ امنیت اطلاعات برای دست و پنجه نرم کردن با بخش ارتباطات، فروش، بازاریابی و پشتیبانی فنی- شروع کردیم به آمادهسازی اطلاعرسانیِ رسمی و Q&A (پرسش و پاسخ)- که کار بسیار خستهکنندهای بود. در آنِ واحد بررسیهای خود را توسط متخصصین تیم GReAT کسپرسکی ادامه دادیم. اعضای تیم دخیل در این ماجرا تمام اطلاعرسانیها را بر روی کانالهای رمزگذاریشده انجام دادند تا حتی یکدرصد هم به این پژوهش دستبرد زده نشود. منتها گذاشتیم تمام بخش پاسخها پوشش داده شود تا بعد آمادهی اعلام علنی شویم.
در پی این اقدام، رسانههای مختلف چیزی حدود 2000 خبر مبنی بر نقض امنیت در کسپرسکی منتشر کردند. بیشتر این خبرها (95 درصد) خنثی بودند و تعداد خبرهای غرضمند و جهتدهی دادهشده به طور قابل ملاحظهای کم بود (کمتر از 3 در صد). تعادل این پوشش خبری قابلدرک است؛ رسانهها موضوع را از سمت ما، شرکای ما و سایر محققین امنیتی که با اطلاعات صحیح سر و کار دارند فهمیدند. من آمار دقیق را ندارم اما از طرز واکنش رسانهها به ماجرای حملهی باجافزاری به نورسک هیدرو -شرکت نروژیِ تولیدکنندهی آلومینیوم- در اوایل سال جاری معلوم بود برخی از پوششهای خبری بیکیفیت و غرضمند بوده است. برای همین شاید خیلی از شرکتها دوست نداشته باشند رازشان را برملا کنند.
عبرت گرفتن و گذر کردن
خبر خوب اینکه ما از حملهی سایبریِ سال 2015 نه تنها توانستیم از قابلیتهای فنی پیشرفتهترین عاملین تهدید سایبری پی ببریم که همچنین یاد گرفتیم چطور باید بدانها واکنش نشان داده و آن را به طور عمومی علنی کنیم.
ما وقت داشتیم تا تماماً این حمله را مورد بررسی قرار دهیم و از آن درس بگیریم. وقت داشتیم از خشممان عبور کنیم و مراحل چانهزنی را از سر بگذرانیم- منظورم همان پذیرش و آمادهسازی برای علنی کردن اتفاق است. و در طول همهی اینها تعاملمان با افراد فعال در بخش امنیت سایبری و متخصصین سازمانی بخش ارتباطات همواره جریان داشت. امروزه، مدت زمان علنی کردن نقض بسیار کوتاه شده است: برای مثال، GDPR همهی شرکتهایی که کارشان با اطلاعات مشتریان است ملزم کرده که نه تنها مقامات را در جریان هر گونه نقض امنیتی بگذارند که همچنین باید این کار را در بازهی زمانی کوتاه 72 ساعت انجام دهند. و شرکتی که مورد حملهی سایبری قرار گرفته میبایست از همان لحظه که به مقامات اطلاع میدهد خودش را برای علنی کردن این ماجرا آماده کند.
« در این خصوص باید با چه افراد درونسازمانیای ارتباط برقرار کرد؟ از چه کانالهایی میشود استفاده کرده و باید از چه چیزهایی خودداری نمود؟ نحوهی اقدام باید چگونه باشد؟» این سوالات و کلی پرسشهای دیگر چیزی بود که ما میبایست در طول بررسیهای خود بدانها پاسخ میدادیم. این اطلاعات چیزی که نیست که براحتی بشود پیدا کرد، ما برای بدست آوردنش زحمت کشیدیم و حالا با افتخار این دادههای ارزشمند و تجربهی گرانبها را در سرویسی به نام Kaspersky Incident Communications Service ارائه دادهایم. این سرویس علاوه بر آموزش استاندارد توسط متخصصین معتبر ارتباطات که بخش استراتژی را پوشش داده و پیامرسانی برونسازمانی را توصیه میکند، همچنین فرصتهایی را در اختیار قرار میدهد تا بتوانید نکاتی از متخصصین GReAT ما بیاموزید. آنها در مورد ابزارها و پروتکلهای ارتباطاتی اطلاعات بسیار به روزی داشته و میتوانند نحوهی واکنشدهی به چنین وضعیتهای بحرانی (نقض اطلاعات و امنیت) را به شما مشاوره دهند.