有些企业已经受到勒索软件攻击的伤害,并且(希望)正在制定事件响应和业务连续性计划,同时也正在执行这些计划。那些还没有受到攻击的企业应该庆幸自己的运气,并应尽快开始这方面的工作。
我们采访了网络安全和合规咨询公司 Servadus 的首席执行官兼创始人罗恩·托斯托 (Ron Tosto),就这一话题询问了他的一些见解。
阻碍公司考虑开展危机管理的常见问题有哪些?
最常见的障碍是缺乏来自企业高管层的支持。如果高管层看不到进行危机管理的理由,那么危机管理就不是公司的首要工作。这种情况与危机准备工作相关,从而就形成了公司的文化。
对于企业来说,工作日程安排也是一个非常常见的挑战。执行危机管理措施需要企业最大程度的参与。
最后,危机管理准备工作会对财务产生影响。那些资金比较紧张的企业可能不会拿钱为危机事件做准备。
在涉及到危机管理计划和实施计划时,最关键的要素/人/团队是什么?
在事件响应计划中,每个角色对于应对事件成功与否都至关重要。但最重要的角色是网络运营中心或安全运营中心,其职责是发现攻击事件,然后向企业发出警报。
如果某人有机会发现某一事件,但事实上却没有发现,则其他人就不会做出应对。在勒索事件过程中,更多的团队成员要参与,而且要知道相互支持。每个最终用户都有可能发现可疑行为,然后进行报告。保障公司安全作为企业文化的一部分,团队成员必须了解攻击事件的迹象,而且得到鼓励去启动响应计划的第一步。
危机管理计划是否可以完全外包给外部专家?
危机管理工作的组成要素可以包括外部专家;法律顾问、公关公司和司法调查员都是可以雇佣的人员。
就危机管理而言,首席执行官可以雇佣危机管理顾问,但公司的领导者永远不应忽视的一个事实是,公司雇主在危机期间所做的决定是与结果息息相关的。
事件响应和业务连续性计划应多久修改一次,以及应该多久执行一次?
对于领导层及其运营模式没有发生重大变化的企业而言,应每年对事件响应计划进行一次审查和测试。
企业收购后合并运营、迁移到云环境以及调整虚拟专用网基础设施以支持远程办公人员,这些都是修改业务连续性计划的好时机。
每当制定出一个新的业务连续性计划时,都需要进行事件响应演习。如果在事件响应计划中担任主要角色的人员发生变动,则至少应对计划进行最低程度的测试。对所有新员工,包括技术人员和领导人员,必须进行实际演习意识培训。
为网络安全危机制定计划很重要,但首先是实施降低风险的策略,这也很重要。哪些重要的事情需要记住?
如何为勒索软件攻击做准备是一个常被问及的问题。在我看来,最好的做法是检查您的安全控制清单,以防止黑客控制您的网络。
Servadus 等公司可提供“勒索软件准备情况评估服务”,帮助企业领导层发现自身当前所面临的风险。当然,制定最新的事件响应和业务连续性计划也是该评估服务的一部分内容。在企业外部,真正的价值在于修复了网络安全控制措施的薄弱环节。
此外,企业可实施一个框架,以有助于实施安全控制措施和具有可持续性。许多企业努力保持合规性和维护其安全控制措施,但在检查其各渠道的安全措施已部署到位后的 3-6 个月,他们仍很容易受到攻击。
长期战略涉及到真正具备可持续性的安全控制措施。该服务框架还使企业可以评估自身所面临的威胁和所使用的系统软件存在的漏洞。这是网络风险的基本公式:威胁 + 漏洞 = 风险。除了制定网络安全框架战略之外,企业还必须能够了解一些漏洞和威胁。
如果企业领导者认为其中任何一个要素都过于昂贵的话,则他们通常会认为保险公司可以为此进行补偿。但企业领导者们应该看看他们保险单上的细则;事实是,即使您已购买了网络安全保险,如果您没有为网络攻击做好准备工作,则保险公司通常也不会赔偿因网络攻击而造成的损失。
一些公司为了想证明自己放弃对网络攻击事件进行准备这一做法的合理性,他们会说网络攻击所造成的损失通常低于开展防护和准备工作所付出的成本。现实情况是,大型企业现在需要支付的赎金高达数百万美元;因勒索软件攻击而需支付 400 万美元的事件已发生过多次。即使一家企业为维持业务运营而花费 100 万美元做应对攻击的准备工作,但它仍然比支付给网络攻击者的费用少 300 万美元。