Шағын бизнес киберинциденттен қалай қалпына келеді: практикалық әрекет ету жоспары

Киберинцидент бірнеше минут ішінде жұмысты бұзуы мүмкін, бірақ қалпына келу бизнес сол оқиғадан кейінгі сағаттар мен күндерде қабылдайтын шешімдерге байланысты. Шағын бизнес үшін қиындық тек жүйелерді қалпына келтіруде емес. Сонымен қатар клиент сенімін қорғау, қаржылық шығынды шектеу, жазбаларды сақтау және тағы бір инциденттің ықтималдығын азайту қажет.

Ойластырылған әрекет ету жоспары меншік иелері мен менеджерлерге қысым ең жоғары кезде орындалатын әрекеттердің анық ретін береді. Ол командаға мәселені оқшаулауға, дұрыс сарапшыларды тартуға, жауапты түрде хабарласуға және аз қателікпен қалыпты жұмысқа қайта оралуға көмектеседі.

Бұл нұсқаулық киберинциденттен кейін қалпына келудің ең маңызды қадамдарын қарастырады және шағын бизнес кейінірек қауіпсіздік пен үздіксіздік жағдайын қалай күшейте алатынын түсіндіреді.

Киберинцидент деген не?

Киберинцидент - цифрлық жүйелердің немесе деректердің құпиялылығына, тұтастығына немесе қолжетімділігіне әсер ететін кез келген оқиға. Оған ransomware, phishing, тіркелгі деректерін ұрлау, malware, жоғалған құрылғы, деректердің абайсызда жария етілуі, рұқсатсыз қол жеткізу немесе қауіпсіздік мәселесінен туындаған қызметтің тоқтауы кіруі мүмкін.

Әрбір инцидент қоғамдық дерек бұзылуына айнала бермейді, бірақ әр инцидентке байыппен қарау керек. Тіпті шағын оқиғаның өзі құпиясөздердегі, бағдарламалық жаңартулардағы, қызметкерлерді оқытудағы, резервтік көшіру рәсімдеріндегі немесе жеткізуші қолжетімділігін басқарудағы әлсіз тұстарды ашып бере алады.

Неге қалпына келуді жоспарлау шағын бизнес үшін маңызды

Көптеген шағын бизнес өздерін нысанаға алынуға тым кішкентай деп ойлайды. Шын мәнінде, шағын ұйымдар көбіне аз ішкі бақылауға, шектеулі IT қызметкерлеріне және ресми процестердің аз болуына байланысты тартымды болады.

Қалпына келуді жоспарлау маңызды, өйткені ол:

• Жұмыс тоқтау уақытын азайтады
• Басшыларға шешімді тезірек қабылдауға көмектеседі
• Ішкі қызметкерлер мен сыртқы жеткізушілер арасындағы үйлестіруді жақсартады
• Заңдық, сақтандыру және реттеушілік міндеттемелерді орындауға жәрдемдеседі
• Клиенттермен, серіктестермен және кредиторлармен қатынасты қорғайды
• Алғашқы оқиғадан кейін қайталама зиянның ықтималдығын төмендетеді

Жақсы қалпына келетін бизнес әдетте импровизацияға сүйенбейді. Ол тексерілген процеске сүйенеді.

1-қадам: Инцидентті дереу оқшаулау

Бірінші басымдық - мәселенің таралуын тоқтату.

Жағдайға қарай оқшаулау мыналарды қамтуы мүмкін:

• Зардап шеккен компьютерлерді желіден ажырату
• Бұзылған құрылғыларды Wi-Fi мен ортақ дискілерден алып тастау
• Зардап шеккен есептік жазбалардың құпиясөздерін ауыстыру
• Күдікті пайдаланушы қолжетімділігін өшіру
• Интеграцияларды немесе қашықтан қол жеткізу құралдарын уақытша тоқтату
• Бұзылған қызметтерді тексерілгенше өшіру

Оқшаулау тез болуы керек, бірақ дәлелдерді жоймауы тиіс. Оқиға тиісті тұлға тарапынан құжатталмай тұрып құрылғыларды тазалаудан, журналдарды өшіруден немесе жүйелерді қайта орнатудан аулақ болыңыз.

Егер бизнесте ішкі IT жетекші немесе басқарылатын қызмет провайдері болса, техникалық оқшаулауды сол адам басқаруы керек. Ондай адам болмаса, мүмкіндігінше тезірек білікті киберқауіпсіздік маманын тартыңыз.

2-қадам: Дәлелдерді сақтап, не болғанын құжаттау

Бизнес басынан бастап нақты жазба жүргізсе, қалпына келу жеңілдейді.

Инцидент журналына мыналарды енгізіңіз:

• Инцидент анықталған күн мен уақыт
• Оны кім анықтады
• Қандай жүйелер немесе есептік жазбалар зардап шекті
• Қандай белгілер байқалды
• Қандай әрекеттер бірден жасалды
• Қандай жеткізушілер, кеңесшілер немесе билік органдары хабардар етілді

Тиісті электрондық хаттардың, скриншоттардың, ескертулердің, шот-фактуралардың, журналдардың және ішкі жазбалардың көшірмелерін сақтаңыз. Егер инцидент ұрлықты, бопсалауды немесе рұқсатсыз қол жеткізуді қамтуы мүмкін болса, құжаттама сақтандыру, құқықтық шолу немесе құқық қорғау органдары үшін маңызды болуы мүмкін.

Жақсы құжаттама басшылыққа не болғанын және кейін қандай олқылықтарды түзету керегін түсінуге де көмектеседі.

3-қадам: Зиянның ауқымын анықтау

Шағын инцидент бастапқыда көрінгеннен үлкен болуы мүмкін. Бизнес мыналарды анықтауы керек:

• Қай есептік жазбаларға қол жеткізілгені
• Клиент немесе қызметкер деректері жарияланған-жарияланбағаны
• Қаржылық ақпаратқа әсер еткен-етпегені
• Шабуыл басқа жүйелерге тараған-тарамағаны
• Резервтік көшірмелерге әсер еткен-етпегені
• Электрондық пошта, жалақы, бухгалтерия немесе бұлтты сақтау қызметтері бұзылған-бұзылмағаны

Бұл қадам көбіне техникалық талдауды талап етеді. Оқиғаның қаншалықты таралғанын бағалау, журналдарды тексеру және соңғы нүктелерді талдау үшін бизнеске сыртқы көмек қажет болуы мүмкін.

Ауқым анықталмайынша, инцидент бірнеше жүйеге әсер етуі мүмкін деп есептеңіз.

4-қадам: Дұрыс мамандарды тарту

Шағын бизнесте киберинциденттің барлық бөлігін басқаруға қажет ішкі сараптама болмауы мүмкін. Оқиғаның сипатына қарай командаға мына тараптардың қолдауы қажет болуы мүмкін:

• Киберқауіпсіздік кеңесшісі немесе incident response фирмасы
• IT басқарылатын қызметтер провайдері
• Құпиялылық және қауіпсіздік мәселелерін білетін заңгер
• Бизнестің сақтандыру компаниясы
• Қоғаммен байланыс немесе коммуникация жөніндегі кеңесші

Әр рөлдің өз себебі бар. Техникалық сарапшылар оқшаулау мен қалпына келтіруді атқарады. Заңгерлер міндеттемелер мен хабарламаларды бағалауға көмектеседі. Сақтандыру мамандары қамту мен құжаттама талаптарын түсіндіреді. Коммуникация қолдауы қажетсіз жауапкершілік немесе шатасу тудыратын мәлімдемелерден сақтайды.

Компанияларын әлі қалыптастырып жатқан құрылтайшылар үшін сенімді операциялық негіз де маңызды. Zenind бизнеске өз ұйымдарын құруға және жүргізуге көмектеседі, бұл дағдарыс кезінде одан да құнды болатын ұйымдасқан есеп жүргізу мен комплаенс әдеттерін қолдайды.

5-қадам: Сақтандыру қамтуын ерте тексеру

Егер бизнесте cyber liability insurance болса, полисті дереу қарап шығу керек. Көптеген полистерде хабарлау талаптары, ұсынылатын жеткізушілер немесе forensic жұмыс пен талаптарды өңдеу жөніндегі нұсқаулар болады.

Қамту мыналарға көмектесе алады:

• Forensic тергеу
• Клиенттерге хабарлау
• Заңдық шолу
• Деректерді қалпына келтіру
• Бизнес үзілісінен болған шығындар
• Несие мониторингі немесе жеке тұлғаны қорғау қызметтері
• Заңды және орынды болған жағдайда ransom келіссөзі
• Қоғаммен байланыс қолдауы

Нақты қамту полис шарттарына байланысты. Шығынның өтелетінін шарттарды тексермей болжамаңыз. Сақтандыру компаниясымен ерте байланысу кейін талапты кешіктірудің алдын алады.

6-қадам: Жүйелерді мұқият қалпына келтіру

Қалпына келтіру тек құрылғыларды қайта іске қосудан тұрмайды. Ол тұрақты әрі сенімді жұмыс күйіне оралу дегенді білдіреді.

Қалпына келтіру алдында мыналарды тексеріңіз:

• Malware немесе рұқсатсыз қол жеткізудің жойылғаны
• Қажет болған жерде құпиясөздер мен кілттердің ауыстырылғаны
• Қауіпсіздік түзетулерінің өзекті екені
• Резервтік көшірмелердің таза әрі қолжетімді екені
• Қолжетімділік бақылауларының түзетілгені
• Күдікті есептік жазбалар мен құрылғылардың жойылғаны

Резервтік көшірмеден қалпына келтіргенде, оның бұзылмағанына көз жеткізіңіз. Бұзылған файлдарды немесе конфигурацияларды қайта енгізу сол мәселені қайта тудыруы мүмкін.

Егер бизнес cloud қызметтерін пайдаланса, әкімшілік рұқсаттарды, үшінші тарап қолданба қолжетімділігін және ортақ сілтемелерді тексеріңіз. Егер инцидент электрондық поштаға қатысты болса, қайта бағыттау ережелерін, inbox сүзгілерін және есептік жазбаны қалпына келтіру баптауларын қарап шығыңыз.

7-қадам: Бизнестің операцияларын қауіпсіз қайта бастауға бола ма, соны шешу

Негізгі жүйелер әлі тұрақсыз болса, бизнес қалыпты жұмысқа асықпауы керек.

Басшылық мына сұрақтарды қоюы тиіс:

• Клиентке бағытталған жүйелер жұмыс істеуге жеткілікті қауіпсіз бе?
• Жалақы, бухгалтерия және шот-фактуралар дәл жалғаса ала ма?
• Қызметкерлер бизнеске қосымша тәуекел тудырмай, қажет құралдарға қол жеткізе ала ма?
• Қандай да бір заңдық немесе шарттық міндеттеме қызметті уақытша тоқтатуды талап ете ме?

Кей жағдайда кезең-кезеңімен қайта іске қосу ең дұрыс шешім болады. Қауіпі төмен емес жүйелер тексерілгенше өшірулі күйде қалуы мүмкін.

8-қадам: Хабарлау міндеттемелерін орындау

Кейбір инциденттер заңды немесе келісімшарттық хабарлау міндеттерін тудырады. Қатысты деректерге және әсер еткен юрисдикцияларға байланысты бизнес мыналарға хабарлауы керек болуы мүмкін:

• Зардап шеккен клиенттер
• Қызметкерлер немесе мердігерлер
• Сақтандыру компаниялары
• Төлем процессорлары немесе банктік серіктестер
• Штаттық немесе федералдық реттеушілер
• Іскер серіктестер немесе жеткізушілер

Хабарлама нақты, уақтылы және заңгерлік кеңеске сай болуы керек. Ол не болғанын, қандай ақпарат қатысуы мүмкін екенін, бизнес жауап ретінде не істеп жатқанын және алушылар не істеуі керегін түсіндіруі тиіс.

Фактілер әлі тексеріліп жатса, сенімділікті артық көрсетпеңіз. Анық коммуникация сенім қалыптастырады; болжам сенімді бұзады.

9-қадам: Клиенттермен және мүдделі тараптармен байланысу

Киберинцидент - техникалық мәселе, бірақ ол тез арада сенім мәселесіне айналады.

Клиенттер мынаны білгісі келеді:

• Не болғаны
• Олардың ақпараты зардап шекті ме
• Не нәрсеге назар аударуы керек
• Бизнес мәселені түзету үшін не істеп жатыр
• Қолдау қызметіне қалай хабарласуға болады

Ең жақсы хабарлама тікелей және сабырлы болады. Жаргон қолданбаңыз. Кінә артпаңыз. Әрекеттерге, мерзімге және қолдауға назар аударыңыз.

Ішкі коммуникация жоспары да маңызды. Қызметкерлер не айта алатынын, бұқаралық ақпарат құралдары сұрақтарына кім жауап беретінін және клиент сұрақтарын қалай бірізді өңдеу керегін білуі тиіс.

10-қадам: Қалпына келуден кейін бақылауды күшейту

Қалпына келтіру процесі тек жүйені қайта қосумен аяқталмауы керек, ол жақсартумен аяқталуы тиіс.

Оқиғадан кейінгі күшейту мыналарды қамтуы мүмкін:

• Multifactor authentication енгізу
• Құпиясөз саясатын күшейту
• Әкімшілік құқықтарды шектеу
• Бағдарлама мен firmware-ді тұрақты жаңарту
• Резервтік көшіру жиілігі мен сақтау мерзімін қайта қарау
• Қызметкерлерді phishing және күдікті сілтемелер туралы оқыту
• Маңызды жүйелерді азырақ сезімтал жүйелерден бөлу
• Жеткізуші қолжетімділігі мен ортақ тіркелгі деректерін тексеру
• Incident response жоспарын жасау немесе жаңарту

Егер бизнес инцидентке дейін өз әрекет ету процесін ресми түрде бекітпесе, қазір соны жасау керек. Жазбаша жоспар бейресми жадтан пайдалырақ, өйткені ол қысым жоғары кезде қызметкерлерге қайталанатын әрекет ретін береді.

Қарапайым incident response жоспарын құру

Практикалық әрекет ету жоспары күрделі болмауы керек. Ол бірнеше негізгі сұраққа жауап беруі тиіс:

• Кімді жауапты жетекші етеді?
• IT оқшаулауды кім жүргізеді?
• Заңгерге, сақтандыруға және жеткізушілерге кім хабарласады?
• Клиенттерге хабарлауды кім бекітеді?
• Резервтік көшірмелер қайда сақталған?
• Қандай жүйелер бизнес үздіксіздігі үшін ең маңызды?
• Команда шешімдерді қалай құжаттайды?

Жоспарға сондай-ақ сыртқы мамандардың байланыс деректері, электрондық пошта қолжетімсіз болса балама байланыс әдісі және оқиға анықталғаннан кейінгі алғашқы 24 сағатқа арналған чек-парақ кіруі тиіс.

Алғашқы 24 сағатқа арналған қарапайым чек-парақ

Оны бастапқы нүкте ретінде пайдаланыңыз:

1. Зардап шеккен құрылғыларды немесе есептік жазбаларды оқшаулаңыз.
2. Журналдарды, скриншоттарды және негізгі жазбаларды сақтаңыз.
3. Ішкі шешім қабылдайтын тұлғаларға хабарлаңыз.
4. IT немесе incident response қолдауына хабарласыңыз.
5. Сақтандыру талаптарын қарап шығыңыз.
6. Қандай жүйелер мен деректер зардап шегуі мүмкін екенін бағалаңыз.
7. Заңдық немесе реттеушілік хабарлау қажет болуы мүмкін бе, соны анықтаңыз.
8. Қажет болса, мүдделі тараптарға арналған уақытша мәлімдеме дайындаңыз.
9. Себеп жойылғаннан кейін ғана қалпына келтіруді бастаңыз.
10. Әрбір маңызды шешімді құжаттаңыз.

Бұл чек-парақ кәсіби кеңестің орнына жүрмейді, бірақ ол шағын бизнеске жағдайды бақылауды жоғалтпай жылдам әрекет етуге көмектесе алады.

Қалпына келу - бұл комплаенс мәселесі де

Киберқалпына келу тек технология туралы емес. Көптеген шағын бизнес үшін ол корпоративтік жазбалармен, құпиялылық міндеттемелерімен, салық деректерімен, жеткізуші келісімдерімен және штаттық өтініш беру талаптарымен байланысты.

Құрылу құжаттарын, registered agent ақпаратын, меншік жазбаларын және комплаенс күнтізбесін ретте ұстайтын бизнес бұзылу болған кезде анағұрлым анық әрекет ете алады. Жақсы әкімшілік тәртіп не болғанын, әрекет етуге кімнің өкілеті болғанын және кейін қандай қадамдар жасалғанын дәлелдеуді жеңілдетеді.

Сондықтан көптеген құрылтайшылар бизнес құрылымын қолдау үшін Zenind-ті таңдайды, ал олар күнделікті жұмысқа назар аударады.

Қорытынды ойлар

Киберинциденттен қалпына келу - бір реттік әрекет емес, процесс. Ең жақсы қалпына келетін бизнес мәселені жүйелі түрде шешеді: қауіп-қатерді оқшаулау, дәлелдерді сақтау, зиянды бағалау, дұрыс сарапшыларды тарту, анық байланысу және кейін бақылауды күшейту.

Шағын бизнес үшін дайындық - басқарылатын үзіліс пен ұзақ мерзімді сәтсіздіктің айырмасы. Жазбаша әрекет ету жоспары, мықты резервтік көшіру, анық коммуникация тәжірибесі және тұрақты комплаенс әдеттері күтпеген жағдай орын алғанда төзімділікті едәуір арттыра алады.

Мақсат тек жүйеге қайта қосылу емес. Мақсат - одан да қауіпсіз, реттелген әрі келесі сынаққа жақсырақ дайын күйде оралу.