İnterneti kullanan her işletme, siber suçlara karşı savunmasızdır. Ağınızı güvenceye almak için olası her adımı atmış olabilirsiniz ve siber suçluların hala bir yolunu bulacaklarından emin olabilirsiniz. Bu nedenle, bir siber olay müdahale planı siber güvenlik araç kitinizin kritik bir bileşenidir. Kaçınılmaz bir olay gerçekleştiğinde, bir siber olay müdahale planı size ve ekibinize hasarı engellemek ve maliyetleri en aza indirmek için hızlı ve etkili bir şekilde yanıt vermenize yardımcı olur. Kelimenin tam anlamıyla işinizi kurtarabilir. Ancak bir siber olay müdahale planı kendi başına yeterli değildir. Yapılması amaçlanan şeyi yapmak için, bir siber olay müdahale planının , şirketiniz bir saldırıya maruz kalmadan önce test edilen ve uygulamaya konan prosedürleri içeren canlı bir belge olması gerekmektedir.
Siber olayın üç aşaması vardır, bunlar olaydan öncesi, olay anında ve olaydan sonra olanlardır. Olaydan önce, mağdur bunu önleme fırsatlarını kaçırmış olabilir. Olay gerçekleştiğinde, mağdurun ne olduğunu tespit etmesi, etkilerini yönetmesi ve içermesi gerekiyor. Olaydan sonra, mağdurun yalnızca siber ile ilgili yönleri yönetecek şekilde değil aynı zamanda potansiyel müşteri sorunlarının yanı sıra itibar hasarını da ele alacak şekilde yanıt vermesi gerekiyor. Önleme her zaman tedaviden daha iyidir, bu nedenle kuruluşunuzun güvenlik duruşunu sürekli olarak geliştirmek önemlidir, ancak bu gerçekleştiğinde bir olayla başa çıkmak için hazırlıklı olmanız gerekir.
Savunmak için iyi hazırlık başarılı bir savunmanın temel unsurlarından biridir. Öncesinde yapılacak iyi bir hazırlık sizi en azından bir gün karşılaşabileceğiniz en olası senaryolar hakkında düşünmeye zorlar. Bu sayede bir siber olay ile karşılaştığınızda şaşırmayacaksınız, çok daha hızlı ve daha verimli hareket edebileceksiniz. Şimdi bu konuda hazırlıklı olmak zaten çok açık bir konu ve “bunu herkes bilir” diye düşünüyor olabilirsiniz. Haklısınız fakat, Alman gazetelerinde yer alan bir dizi makalede, toplamda, Alman firmalarının %40’ından daha azının ciddi bir siber güvenlik olayıyla başa çıkmaya hazır olduğu belirtiliyor. Bu durum ne kadar hazırlıksız olduğumuzu gösteriyor ve muhtemelen diğer ülkelerde de o kadar da farklı görünmüyordur. Twitter, Equifax ihlaliyle ilgili yorumlar ve makale bağlantıları ile doludur, şimdiye kadar ki en büyük kişisel veri hırsızlığı ve ne yazık ki bir siber saldırının iletişim ve iyileştirme kısmının nasıl kötü idare edildiğini bizlere örnek gösteren siber güvenlik olayıdır.
Öyleyse, olaya müdahale etmeye hazırlanma konusunda sizlere bazı tavsiyelerim var. Ana hatlarıyla, bu hazırlıkları İletişim, Çevre ve Araçlar olarak üç farklı alana bölebiliriz.
- BT Yönetimi
- BT içinde veya dışında Operasyon Ekipleri, örneğin ICS Operasyon Ekipleri
- BT dışındaki paydaşlar/Operasyon bölgesi. Bunlar örneğin, çalınan, tahrip edilmiş verilerden veya BT hizmetlerinin kaybından hemen muzdarip olan bölümler veya kamusal iletişimleri yönetmek ve ihlalden etkilenen müşterileri idare etmek zorunda olan halkla ilişkiler departmanı olabilir.
Tecrübelerime göre, iletişimin üstesinden gelmek için en az iki özel olay müdahale ekibi personeline ihtiyaç duyulmaktadır; bu nedenle, iletişim için hazırlıkta birinci adım, kalıcı bir olay müdahale ekibiniz olup olmadığına bakılmaksızın bu görevleri ekip üyelerine atamaktır. İkinci adım, her alan için tüm temas noktalarının bir listesini yapmak ve bu listeyi güncel tutmaktır. Tüm gerekli PoC’lar tanımlandıktan sonra, elbette bir ihlal sırasında onlardan ne beklendiğini bilmeleri gerekir, bu nedenle bir çeşit rol tanımlaması gerekir. Bunu doğru yapmak istiyorsanız, masabaşı alıştırmaları yapmanızı şiddetle tavsiye ediyorum, böylece katılan herkes kendilerine verilen rollerde pratik yapabilir. Kriz anında alternatif iletişim hatlarını düşünmelisiniz. Bir veri ihlali durumunda posta sunucunuzun tehlikeye girmesi çok iyi olabilir, bu nedenle önlemlerinizi dahili e-posta yoluyla iletmek uygun bir seçenek olmayabilir.