.png)
引言
縱觀全球,網絡攻擊不斷激增,對機構來說,制定適用的網絡安全危機管理應變計劃(「應變計劃」),能帶來生死截然不同的結果。
應變計劃,機構的資訊技術團隊可倚靠的一套工具和指引,可幫助找出(觀察)網絡安全威脅,進行定位,及在消除(行動)網絡安全威脅後恢復正常。
機構制定上述計劃,當發生網絡攻擊時,亦可減輕機構資訊技術人員拖延時間(由於驚慌所致)的風險,作出適當反應。這樣,機構就能夠減低網絡威脅造成的損害,包括但不限於遺失資料、資料被濫用及客戶對機構失去信心。
應變計劃是有用的,但沒有計劃是不用小組執行而又有用的。由此說來,任何機構都需要擁有一支網絡安全危機應變小組(「應變小組」),這跟制定應變計劃同樣重要。
為甚麼你需要網絡安全危機管理應變計劃?
事故應變計劃是保護資料所必不可少的。這一點再三強調也不為過。這種保護(通常在大多應變計劃概述的)總包括建立安全備份的程序(這可減少服務中斷)、利用日誌和自動安全警報來偵測惡意活動、利用身份及接達管理減低內部威脅,以及運用修補程式管理。
倘若發生資料外洩,大多數客戶會把業務轉到其他公司(又或者針對資料外洩的機構提出訴訟)。基於這個事實,如果網絡安全出現漏洞但公司沒有迅速、有效、妥當地處理,除了面對訴訟,承擔疏忽法中適用於網絡安全的法律責任外,還得面對丟失生意的實際風險。就上市公司來說,如果公司網絡遭受毀滅性的攻擊,投資者可能對公司大失信心(引致股價波動)。
反過來說,備妥穩當的應變計劃和運作正常的應變小組,機構必能得到下列好處:
加強資料保護:資料得到妥當保護意味機構有妥善備份,這可理解為,即使有更糟的情況出現,也「沒有停止服務時間」(例如展開備份作業)。
聲譽昭著:有效並及時採取應變行動,顯示機構一直致力保護私隱(即使做法是先發制人)。如果機構遭受攻擊,客戶總有一天會發現的。
降低成本:成立計劃可能成本高昂,不過,相比罰款及∕或民事訴訟、進行調查和賠償客戶的金額,完全算不得甚麼。預防勝於治療。
適用於應變計劃的重要準則
任何機構,想有一套有效的應變計劃的,「一定要具備」以下要素:
高級管理層的參與:自上而下參與計劃是成功的鑰匙。管理層參與計劃,不僅資訊技術團隊可得到所需要的資源,而且能夠正式組成技術督導委員會;
恆常進行漏洞測試:如果沒有應變小組,應變計劃並不怎麼有用。應變小組的效能建基於小組人員接受過怎麼樣的訓練。經常演習,確保應變計劃妥當地執行,並且把安全漏洞找出來;
保持平衡:應變計劃太死板可能意味一件事:突如其來的可變因素得不到處理。反過來說,計劃彈性太大(亦稱為含糊)會導致含混不清。計劃仔細周詳,低層人員就能夠視乎情況主動採取適當的應變行動。這是成功的關鍵。
建立溝通渠道:這一部份經常被看漏眼。危機管理的關鍵是,人人都清楚知道自己應向誰人報告(及作出應變)。譬如說,在指引列明向資訊技術、管理層或公關部門提交的應該是些甚麼資料。
利益相關者名單:這涉及到應變小組的訓練。通常大機構(甚至是小企業)的利益相關者清單往往會改變,不過改變與否,也取決於網絡攻擊所針對的機構資源。
基本要素清晰易明:取得應變計劃「範本」的想法是機構最大的問題之一。這些範本通常對某些機構是效率低,行不通的。KISS(保持愚蠢,保持簡單)的概念是經過時間驗證的原則。機構理應做出一個合用的應變計劃來。
總結
總要記住,機構得持續不斷地保護網絡安全。因此,應變計劃應當能夠把以下步驟編制成應變步驟:
預備和預防工作:應在合適地方設置保安系統。把應變行動編制成應變步驟,可確保機構即使遭到攻擊也能繼續運作。
找出漏洞:應當找出安全漏洞。識別到發生真實事故後,應自動作出「何人、何地、甚麼、怎麼、為甚麼」的回應記錄(以找出攻擊者及保留證據用於法律行動)
遏止威脅:在偵測到威脅的情況下,應變小組應當不用輸入些甚麼就開始遏止威脅,阻止損害擴大。
根絕威脅:遏止識別到的威脅時,應當採取適當步驟阻截入侵及移除惡意軟件。如果有做備份,必須確保備份沒有受到感染。
恢復正常:應當執行復原計劃,計劃須確保備份妥當地連到線上。
吸取教訓:阻止攻擊但不處理安全漏洞的問題,等於白白錯過把問題解決的機會。不斷學習,獲益良多。
This article is co-authored by Joshua Chu from ONC Lawyers