關於草擬網絡安全危機管理應變計劃的指引 -六大關鍵因素和六大關鍵步驟

引言

縱觀全球，網絡攻擊不斷激增，對機構來說，制定適用的網絡安全危機管理應變計劃（「應變計劃」），能帶來生死截然不同的結果。

應變計劃，機構的資訊技術團隊可倚靠的一套工具和指引，可幫助找出（觀察）網絡安全威脅，進行定位，及在消除（行動）網絡安全威脅後恢復正常。

機構制定上述計劃，當發生網絡攻擊時，亦可減輕機構資訊技術人員拖延時間（由於驚慌所致）的風險，作出適當反應。這樣，機構就能夠減低網絡威脅造成的損害，包括但不限於遺失資料、資料被濫用及客戶對機構失去信心。

應變計劃是有用的，但沒有計劃是不用小組執行而又有用的。由此說來，任何機構都需要擁有一支網絡安全危機應變小組（「應變小組」），這跟制定應變計劃同樣重要。

為甚麼你需要網絡安全危機管理應變計劃？

事故應變計劃是保護資料所必不可少的。這一點再三強調也不為過。這種保護（通常在大多應變計劃概述的）總包括建立安全備份的程序（這可減少服務中斷）、利用日誌和自動安全警報來偵測惡意活動、利用身份及接達管理減低內部威脅，以及運用修補程式管理。

倘若發生資料外洩，大多數客戶會把業務轉到其他公司（又或者針對資料外洩的機構提出訴訟）。基於這個事實，如果網絡安全出現漏洞但公司沒有迅速、有效、妥當地處理，除了面對訴訟，承擔疏忽法中適用於網絡安全的法律責任外，還得面對丟失生意的實際風險。就上市公司來說，如果公司網絡遭受毀滅性的攻擊，投資者可能對公司大失信心（引致股價波動）。

反過來說，備妥穩當的應變計劃和運作正常的應變小組，機構必能得到下列好處：

• 加強資料保護：資料得到妥當保護意味機構有妥善備份，這可理解為，即使有更糟的情況出現，也「沒有停止服務時間」（例如展開備份作業）。

• 聲譽昭著：有效並及時採取應變行動，顯示機構一直致力保護私隱（即使做法是先發制人）。如果機構遭受攻擊，客戶總有一天會發現的。

• 降低成本：成立計劃可能成本高昂，不過，相比罰款及∕或民事訴訟、進行調查和賠償客戶的金額，完全算不得甚麼。預防勝於治療。

適用於應變計劃的重要準則

任何機構，想有一套有效的應變計劃的，「一定要具備」以下要素：

1. 高級管理層的參與：自上而下參與計劃是成功的鑰匙。管理層參與計劃，不僅資訊技術團隊可得到所需要的資源，而且能夠正式組成技術督導委員會；

2. 恆常進行漏洞測試：如果沒有應變小組，應變計劃並不怎麼有用。應變小組的效能建基於小組人員接受過怎麼樣的訓練。經常演習，確保應變計劃妥當地執行，並且把安全漏洞找出來；

3. 保持平衡：應變計劃太死板可能意味一件事：突如其來的可變因素得不到處理。反過來說，計劃彈性太大（亦稱為含糊）會導致含混不清。計劃仔細周詳，低層人員就能夠視乎情況主動採取適當的應變行動。這是成功的關鍵。

4. 建立溝通渠道：這一部份經常被看漏眼。危機管理的關鍵是，人人都清楚知道自己應向誰人報告（及作出應變）。譬如說，在指引列明向資訊技術、管理層或公關部門提交的應該是些甚麼資料。

5. 利益相關者名單：這涉及到應變小組的訓練。通常大機構（甚至是小企業）的利益相關者清單往往會改變，不過改變與否，也取決於網絡攻擊所針對的機構資源。

6. 基本要素清晰易明：取得應變計劃「範本」的想法是機構最大的問題之一。這些範本通常對某些機構是效率低，行不通的。KISS（保持愚蠢，保持簡單）的概念是經過時間驗證的原則。機構理應做出一個合用的應變計劃來。

總結

總要記住，機構得持續不斷地保護網絡安全。因此，應變計劃應當能夠把以下步驟編制成應變步驟：

1. 預備和預防工作：應在合適地方設置保安系統。把應變行動編制成應變步驟，可確保機構即使遭到攻擊也能繼續運作。

2. 找出漏洞：應當找出安全漏洞。識別到發生真實事故後，應自動作出「何人、何地、甚麼、怎麼、為甚麼」的回應記錄（以找出攻擊者及保留證據用於法律行動）

3. 遏止威脅：在偵測到威脅的情況下，應變小組應當不用輸入些甚麼就開始遏止威脅，阻止損害擴大。

4. 根絕威脅：遏止識別到的威脅時，應當採取適當步驟阻截入侵及移除惡意軟件。如果有做備份，必須確保備份沒有受到感染。

5. 恢復正常：應當執行復原計劃，計劃須確保備份妥當地連到線上。

6. 吸取教訓：阻止攻擊但不處理安全漏洞的問題，等於白白錯過把問題解決的機會。不斷學習，獲益良多。

This article is co-authored by Joshua Chu from ONC Lawyers