آموزش بهینه‌ تعاملات سازمانی به تیم امنیتی، طی حمله‌ی سایبری

آن روز را به خاطر دارم؛ انگار همین دیروز بود: مدیر عامل اجرایی‌مان مرا به دفترش خواند و از من خواهش کرد تا لپ‌تاپ و اسمارت‌فونم را روی میزم بگذارم. خیلی رک و راست گفت: «ما هک شدیم. بررسی‌ها همچنان ادامه داره اما می‌‌شه تا اینجای کار تأیید کرد که تو محیط داخلی شرکت یک مهاجم نفوذیِ فعال، به شدت سرسخت و پیچیده، تحت حمایت دولت داریم».
روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ راستش را بخواهید، خیلی هم غیرمنتظره نبود. متخصصین ما چند وقتی می‌شد که داشتند با نقض امنیتیِ کلاینت‌هایمان دست و پنجه نرم می‌کردند و البته شرکت ما که اساساً شرکتی فعال در حوزه‌ی امنیتی است اصلی‌ترین هدف بود. با این حال، غافلگیریِ بدی بود: کسی بیاید و امنیت اطلاعات لایه‌های دفاعی شرکت را مورد تجاوز قرار دهد. در ادامه با ما همراه شوید تا به سوالی که فوراً در ذهن ایجاد می‌شود بپردازیم: «چطور می‌شود با چنین حادثه‌ای کنار آمد؟»
5 مرحله‌ی اطلاع‌رسانی در مورد مسئله: انکار، خشم، چانه‌زنی، افسردگی و پذیرش.
این حقیقت است -هرچند شاید غافلگیرکننده باشد- که پیش از GDPR هر سازمانی انتخاب می‌کرد حادثه‌ی پیش‌آمده را همگانی و علنی کند و یا همچنان آن را باور نکرده و انکارش کند. کسپرسکی اما اهل انکار نیست؛ این شرکت امنیت سایبری عادت دارد بی‌پرده و شفاف‌سازی‌شده برنامه‌های خود را پیش ببرد. ما مدیران ارشد همگی اتفاق نظر داشتیم تا این مسئله را علنی کنیم؛ که البته کار درستی هم بود، خصوصاً اینکه شاهد بودیم چطور شکاف ژئوپولیتیک داشت عمیق‌تر می‌شد و می‌دانستیم قدرت‌های بزرگِ دخیل در این حمله‌ی سایبری آماده‌اند تا این نقض را چماغی کنند بر سرمان- تنها چیزی که در موردش مطمئن نبودیم زمان و چگونی‌اش بود.  ما با علنی کردن این حادثه نه تنها آن‌ها را از این فرصت محروم نمودیم، که همچنین این واقعه را به نفع خود نیز تمام کردیم.
گفته می‌شود دو نوع سازمان داریم- سازمان‌هایی که هک شدند و سازمان‌هایی که حتی روحشان هم خبر ندارد هک شدند. در این قلمرو، الگوی ساده‌ای حاکم است: شرکت نباید نقض امنیتی‌اش را پنهان کند. علنی کردن این موضوع شرف دارد به خدشه‌دار کردن امنیت سایبری کلی شرکا و مشتری. 
خوب بیایید برگردیم به ماجرای خودمان. وقتی طرف‌های دخیل در شرکت‌مان را راه انداختیم –تیم‌های حقوقیِ امنیت اطلاعات برای دست و پنجه نرم کردن با بخش ارتباطات، فروش، بازاریابی و پشتیبانی فنی- شروع کردیم به آماده‌سازی اطلاع‌رسانیِ رسمی و Q&A (پرسش و پاسخ)- که کار بسیار خسته‌کننده‌ای بود. در آنِ واحد بررسی‌های خود را توسط متخصصین تیم GReAT کسپرسکی ادامه دادیم. اعضای تیم دخیل در این ماجرا تمام اطلاع‌رسانی‌ها را بر روی کانال‌های رمزگذاری‌شده انجام دادند تا حتی یک‌درصد هم به این پژوهش دستبرد زده نشود. منتها گذاشتیم تمام بخش پاسخ‌ها پوشش داده شود تا بعد آماده‌ی اعلام علنی شویم.
در پی این اقدام، رسانه‌های مختلف چیزی حدود 2000 خبر مبنی بر نقض امنیت در کسپرسکی منتشر کردند. بیشتر این خبرها (95 درصد) خنثی بودند و تعداد خبرهای غرض‌مند و جهت‌دهی‌ داده‌‌شده به طور قابل ملاحظه‌ای کم بود (کمتر از 3 در صد). تعادل این پوشش‌ خبری قابل‌درک است؛ رسانه‌ها موضوع را از سمت ما، شرکای ما و سایر محققین امنیتی که با اطلاعات صحیح سر و کار دارند فهمیدند. من آمار دقیق را ندارم اما از طرز واکنش رسانه‌ها به ماجرای حمله‌ی باج‌افزاری به نورسک هیدرو -شرکت نروژیِ تولیدکننده‌ی آلومینیوم- در اوایل سال جاری معلوم بود برخی از پوشش‌های خبری بی‌کیفیت و غرضمند بوده است. برای همین شاید خیلی از شرکت‌ها دوست نداشته باشند رازشان را برملا کنند.
عبرت گرفتن و گذر کردن
خبر خوب اینکه ما از حمله‌ی سایبریِ سال 2015 نه تنها توانستیم از قابلیت‌های فنی پیشرفته‌ترین عاملین تهدید سایبری پی ببریم که همچنین یاد گرفتیم چطور باید بدان‌ها واکنش نشان داده و آن را به طور عمومی علنی کنیم. 
ما وقت داشتیم تا تماماً این حمله را مورد بررسی قرار دهیم و از آن درس بگیریم. وقت داشتیم از خشممان عبور کنیم و مراحل چانه‌زنی را از سر بگذرانیم- منظورم همان پذیرش و آماده‌سازی برای علنی کردن اتفاق است. و در طول همه‌ی اینها تعاملمان با افراد فعال در بخش امنیت سایبری و متخصصین سازمانی بخش ارتباطات همواره جریان داشت. امروزه، مدت زمان علنی کردن نقض بسیار کوتاه شده است: برای مثال، GDPR همه‌ی شرکت‌هایی که کارشان با اطلاعات مشتریان است ملزم کرده که نه تنها مقامات را در جریان هر گونه نقض امنیتی بگذارند که همچنین باید این کار را در بازه‌ی زمانی کوتاه 72 ساعت انجام دهند. و شرکتی که مورد حمله‌ی سایبری قرار گرفته می‌بایست از همان لحظه که به مقامات اطلاع می‌دهد خودش را برای علنی کردن این ماجرا آماده کند.
« در این خصوص باید با چه افراد درون‌سازمانی‌ای ارتباط برقرار کرد؟ از چه کانال‌هایی می‌شود استفاده کرده و باید از چه چیزهایی خودداری نمود؟ نحوه‌ی اقدام باید چگونه باشد؟» این سوالات و کلی پرسش‌های دیگر چیزی بود که ما می‌بایست در طول بررسی‌های خود بدان‌ها پاسخ می‌دادیم. این اطلاعات چیزی که نیست که براحتی بشود پیدا کرد، ما برای بدست آوردنش زحمت کشیدیم و حالا با افتخار این داده‌های ارزشمند و تجربه‌ی گرانبها را در سرویسی به نام Kaspersky Incident Communications Service ارائه داده‌ایم. این سرویس علاوه بر آموزش استاندارد توسط متخصصین معتبر ارتباطات که بخش استراتژی را پوشش داده و پیام‌رسانی برون‌سازمانی را توصیه می‌کند، همچنین فرصت‌هایی را در اختیار قرار می‌دهد تا بتوانید نکاتی از متخصصین GReAT ما بیاموزید. آن‌ها در مورد ابزارها و پروتکل‌های ارتباطاتی اطلاعات بسیار به روزی داشته و می‌توانند نحوه‌ی واکنش‌دهی به چنین وضعیت‌های بحرانی (نقض اطلاعات و امنیت) را به شما مشاوره دهند.