بقلم : نيل ثاكر

المدير التنفيذي لأمن المعلومات لدى “نتسكوب”

يتطلب تزايد عمليات الاختراق الالكترونى على مستوى العالم وتفاقم خسائرها المالية ضرورة الاستجابة السريعة بخطوات محددة بمجرد وقوع عملية اختراق لشركتك، فما هي هذه الخطوات

سواءً كنت تنظر إلى اختراق البيانات على أنه أسوأ كابوس لك أو مجرد حدث لا مفر منه بالنسبة للمؤسسة العادية، فإن معرفة ما يجب القيام به وكيفية الاستجابة له عند تعرض مؤسستك لهذا الحدث هو أمر بالغ الأهمية. تسمح الاستجابة المنفذة بشكل كامل على احتواء الأزمة وتمنعها من التفاقم، بالإضافة إلى إمكانية التنقل بكل سلاسة ضمن مؤسستك أو مورديك و عملائك من خلال أي عملية تحليل متتابعة أو إجراء تحقيقات محتملة بعد الحادث.

المصادقة والفرز

يجب أن تكون خطواتك الأولى دائماً هي تحديد ما إذا كان الحادث قد وقع بالفعل. ففي بعض الأحيان تكون قاعدة بيانات الموظفين و مجموعة من أدوات الأمان المدارة والمضبوطة تنشئ نتائج إيجابية زائفة، لذا قم بإجراء الفرز ومراجعة سجلاتك لتحديد ما إذا كان هناك أي جهاز أو نظام أو مصادر وأصول البيانات قد تعرضت للخطر أو تم اختراقها. اعلم أنه أثناء تعاملك مع التهديد الحالي، قد تكون جهات التهديد الفاعلة موجودة في نظامك لعدة أشهر قبل تحديد الحادث. لذا من المهم جداً البحث عبر البنية التحتية والتطبيقات والخدمات السحابية لتحديد النطاق الكامل لنشاطها والوصول إليها.

إذا وجدت دليلاً واضحاً على وجود اختراق لمؤسستك، فقد تحتاج إلى اتخاذ مجموعة من الإجراءات مثل إرسال إشعارات داخلية لتنبيه الموظفين المعرضين للخطر أو عن طريق إزالة الوصول إلى الأنظمة المخترقة للمستخدمين غير الأساسيين أو عزل البيئة المصابة للحد من انتشار التهديد.

ومع اقتراب الساعة الأولى من نهايتها، حان الوقت لنقل المعلومات الحساسة إلى مواقع أخرى أكثر أماناً والعمل على خطة التصدي والرد لعملية الاختراق.

التخطيط والاختبار والتحضير

ستبدو خطة الاستجابة للاختراق الخاصة بك مختلفة وذلك اعتماداً على معايير الهجوم الذي تستجيب له. حيث قد تكون هدفاً لهجوم برامج الفدية، ستكون على دراية تامة بأن الهجوم المتوقع قد يكون قريب نسبياً أو على المدى المنظور قريباً كون المهاجم سيحقق نجاحه المطلوب من خلال الحصول على الفدية. ومع ذلك، قد تكون الجهات الأخرى أكثر سرية إن كان هدف حملاتهم هو التجسس والحصول على البيانات الخاصة بمؤسستك، وقد تنفذ الجهات الفاعلة هجماتها من خلال استغلال ثغرة “اليوم صفر” عالية القيمة مدفوعة بخطط طويلة الأجل داخل أنظمتك. وفي غالب الأمر تنشأ هذه الهجمات الأكثر تعقيداً من الجهات الفاعلة التي ترعاها الدولة. مع الأخذ بعين الاعتبار أن هذه الهجمات غالباً لا تكون فرصاً مخصصة لسرقة البيانات فحسب، بل أيضاً قد يستمر المهاجم في التواجد داخل أنظمتك، وهو مدرك ومراقب تماماً لأفعالك و يتحرك ضمن الشبكة بحذر لتفادي المزيد من عمليات الاكتشاف.

لذا قبل “يوم الاكتشاف” نوصي بأن يكون لديك خطة عمل تم وضعها وتوثيقها واختبارها لمجموعة من السيناريوهات بحيث يمكنك اللجوء إليها أثناء تنفيذ إجراءات الردع و الاستجابة. بمجرد أن يكون أصحاب المؤسسة والمنظمة على علم بالموقف، ستكون تحت ضغط أكبر للتعافي من أثار الهجوم مع الحفاظ على استمرارية العمل كالمعتاد.

تتمثل إحدى التوصيات الأساسية في تدوين ملاحظات أو سجلات مفصلة ليس فقط عن الطريقة التي يتقدم بها الموقف، ولكن أيضاً للقرارات التي تتخذها. يمكن أن تكون الموازنة بين الإصلاح الأمني واستمرارية الأعمال مرهقة للغاية، ويمكن أن تضع فريق التحقيق تحت ضغط إضافي لتجنب الإجراءات الصارمة (حتى عندما تكون مناسبة). تسمح لك سجلات السياق الخاصة بقراراتك إمكانية التعديل على خططك لما سيحدث في المستقبل، كما أنه يساعد أيضاً على تبرير العملية برمتها والقرارات المتخذة عند انتهاء الهجوم او الاختراق.

التواصل مع الشركاء

بمجرد أن تصبح المعالجة في متناول اليد، قد تضطر إلى الاتصال بالعملاء والشركاء وقد تتحمل أيضاً مسؤولية قانونية في مناطق معينة لإخبار المتأثرين بشكل مباشر و كذلك الجهات الناظمة المعنية بما حدث.

هذه لحظة أساسية وربما تحدد مستقبل عملك المهني، لذا فإن العمل عن كثب مع فريق التواصل للتأكد من أن الرسائل صحيحة أمر مهم – عليك أن تكون أميناً وبناءً ومفيداً في النهاية. على الرغم من أن عامة الناس قد يكونوا غير مرتاحين من أثر الهجمات الإلكترونية، فلا تهدأ للاعتقاد بأن لا أحد سيهتم. ستحدد الجهات المعنية وخبراء الأمن السيبراني سرعة استجابتك وطريقة تعاملك مع الموقف، لذا تأكد من فهمك لالتزاماتك القانونية والتنظيمية المتعلقة بإعداد التقارير، بالإضافة إلى أخذ المشورة من زملائك في العلاقات العامة حول أفضل طريقة للخطاب والتواصل لتدارك ما حدث.

عد للمنزل ونل قسطاً من الراحة

بمجرد وصولك إلى المرحلة التي يكون فيها الحادث تحت السيطرة وتم احتواء الموقف، خذ قسطاً من الراحة. حيث تحدث معظم الهجمات الإلكترونية خلال ساعات، وربما تكون قد عملت أنت وفريقك قبل يوم كامل من تحديد الحادث. تستطيع الآن التراجع والعودة إلى المنزل ونيل قسطاً من الراحة فالأشخاص المرهقون قد يتخذوا قرارات سيئة للغاية. وإن كنت تعمل كجزء من فريق عمل عالمي، فكر جلياً في كيفية توزيع فريقك على أفضل وجه عبر المناطق الزمنية المختلفة لاتخاذ نهج متابعة ومعالجة الحادث والتواصل المستمر مع العملاء إذا لزم الأمر.

ماذا بعد؟

من الصعب قول ما سيحدث بعد ذلك، قد يتم تكليفك بالتخفيف من الثغرات الأمنية الإضافية وتصحيحها، أو استعادة البيانات من أنظمة وخدمات النسخ الاحتياطي، أو الاستعداد لمزيد من الهجمات المحتملة، لأنه بمجرد أن يصبح ما حدث معروفاً للعوام، قد يكون لديك حمل أكبر على عاتقك.

وعند السيطرة على الحادث الذي تعرضت له مؤسستك، هناك فرصة سانحة بشكلٍ كبير لمشاركة التجربة مع خبراء الصناعة الأمنية. يمكن وضع ما حدث ضمن إطار دراسة حالة تهدف للوصول إلى ميزانية إضافية توضح الحاجة الماسة أو الاستفادة من الخبرة لصياغة خطط جديدة للاستجابة للحوادث. بالتأكيد، تعد مشاركة المعلومات والرؤى أحد أفضل أسلحتنا لمكافحة التهديدات الإلكترونية، وإذا كنت قد تعاملت معها باتباع هذه الإرشادات أو ما شابهها، فهناك قيمة في مشاركة تجربتك مع أقرانك لمساعدتهم على الاستجابة للحادث التالي.