Plan odgovora na sajber prijetnju je ključan za svaku organizaciju kako bi mogla da brzo reaguje u takvoj situaciji. Nažalost ogroman broj organizacija čeka da se nešto dogodi, pa tek onda reaguju. To je na neki način normalno, jer je u ljudskoj prirodi da se nešto odgađa, posebno kada čovjek nije potpuno siguran kako da postupi sa datim problemom. A problem je što se plan odgovora na sigurnosnu prijetnju mora napraviti prije nego što do iste dođe, ali u praksi pravi se tek kada se pojavi sigurnosna prijetnja. A to je, reći će svi sajber profesionalci, pa čak i oni koji su doživjeli sigurnosnu prijetnju, daleko od ispravnog pristupa.
Bezbjednosni stručnjaci se slažu da dobro napravljen plan odgovora na sajber prijetnje omogućava ublažavanje ili čak izbjegavanje napada. Koncept je takav, da se vodimo pretpostavkom da je sistem ili komponenta sistema ugrožena ili ima do sada neotkrivenu ranjivost koja će je opet ugroziti. Ali sve to mora biti u sintezi kompromisa između cilja zaštite i poslovanja organizacije. Uspješnost plana odgovora na sajber prijetnje se često mjeri i stepenom zrelosti organizacije, što se definiše stepenom proaktivnosti. Organizacije koje su sposobne da postave smjernice srazmjerno nivou rizika ugroženosti posla koji obavljaju su bolje pripremljene u slučaju sigurnosnog incidenta. U primjeru nekog malog preduzeća, cilj bi trebao da bude dostizanje nivoa ponavljanja procesa, koji podrazumijeva postojanje održivog plana, jasnih uloga i odgovornosti zaposlenih, dobra linija komunikacije i jasna procedura odgovora na bezbjednosnu prijetnju koja ugrožava poslovanje preduzeća.
Mnoge manje kompanije se obično nalaze u situaciji da svoj plan odgovora na sajber prijetnju stvaraju od nule. Prvi i pravi izazov je odbacivanje mišljenja da se odmah može pristupiti pisanju plana, a da se ne uzme u obzir čitava slika organizacije. Bez saznanja o planu rada organizacije, kritičnoj tački funkcionisanja organizacije ili ključnim sistemima koji se koriste u organizaciji nemoguće je napisati plan reakcije koji će uspješno omogućiti prepoznavanje sigurnosne prijetnje i adekvatnu reakciju na nju. Primjera radi, ako je najkritičnija tačka poslovanja organizacije, njena infrastruktura. Plan odgovora na sajber prijetnju nije efektivan, ako se ne zna koliko dugo infrastruktura može biti van funkcije prije nego što organizacije počne da gubi novac zbog toga.
Iz svega navedenog se čini da je pravljenje plana odgovora na sigurnosnu prijetnju veoma težak zadatak, ali možemo sebi olakšati tako što ga razbijemo na manje dijelove koji će se kasnije spojiti u cjelinu. Ono što svaki plan treba da sadrži je aktivnosti organizacije prije napada, aktivnosti tokom napada i aktivnosti organizacije poslije napada. Ako bi to razbili u nekoliko dijelova, to bi izgledalo ovako:
Prvi korak bi bio osnivanje tima koji će biti sastavljen od najiskusnijih IT profesionalaca zaposlenih u organizaciji, ali i šefova odjeljenja u organizaciji. Njihova saradnja će biti ključna i oni treba da imaju svu podršku od vrha organizacije. To će omogućiti da se po potrebi angažuju konsultanti, zaposle novi IT stručnjaci i organizuje edukacija i trening svih zaposlenih koji će pomagati timu za odgovor na sajber napad. Treba izabrati vođu tima, koji će voditi dokumentaciju i uspostaviti jasnu liniju komunikacije između članova tima, pa i ostalih zaposlenih. U komunikaciji treba jasno odrediti koje vrste podataka će se dijeliti sa članovima tima, koje informacije idu ka vrhu firme, koje informacije ka kupcu i javnosti. U slučaju da se prilikom napad pojavi sumnja da napadač prisluškuje internu komunikaciju, treba razmišljati i o alternativnom načinu komunikacije između osoba koje učestvuju u zaštiti organizacije. Samo postojanje tima je potrebno u stvarnosti, a ne na papiru, što znači da sa vremena na vrijeme postoji potreba da se održi i vježba koja treba da pokaže da svako zna svoju ulogu prilikom sigurnosnog incidenta.
Drugi korak je pravljenje plana. Potreban je sveobuhvatan, jasan i detaljan vodič za zaposlene u organizaciji. Bez toga nema plana odgovora na sigurnosnu prijetnju. Plan treba da sadrži pripremu, otkrivanje, analizu, obuzdavanje, zaustavljanje, oporavak i upravljanje nakon napada na organizaciju. Ključna stvar je što svaki učesnik u realizaciji plana mora jasno da zna šta je njegova odgovornost i koja je procedura postupanja u datoj situaciji. S druge strane, pošto niko ne može predvidjeti vrstu i ozbiljnost napada, potrebno je dozvoliti određenu fleksibilnost, da odgovorni ljudi imaju slobodu i autoritet da donesu neke odluke u datom trenutku, zavisno od nastale situacije. Izradom plana odgovora na sigurnosnu prijetnju se ne završava priča, ona tek počinje. To se odnosi na mjerenje kvaliteta plana odgovora na sigurnosnu prijetnju kroz testiranje i unapređivanje, prateći nove izazove u sajber bezbjednosti.
Treći korak je prevencija i priprema sprovođenjem raznih procjena ranjivosti organizacije i drugih analiza koje će ukazivati na sigurnosne propuste. Organizacije prvenstveno trebaju vršiti obuku zaposlenih o osnovama sajber bezbjednosti kao što su upotreba kvalitetnih lozinki i prepoznavanje napada preko elektronske pošte i tako dalje. U cilju prevencije potrebno je obezbijediti adekvatne resurse i alate svakom odjeljenju unutar organizacije. Sama organizacija treba da izvrši procjenu vrijednosti branjenih sredstava u slučaju napada. Ovaj korak omogućava timu odgovornom za sajber bezbjednost da suzi branjenu površinu napada, štiteći prvenstveno najvrijedniju imovinu (podatke ili infrastrukturu), a onda ostatak organizacije, ponekad svjesno žrtvujući nešto kako bi zaustavili ili identifikovali napadača.
Četvrti korak je identifikacija i obuzdavanje. Kada dođe do sigurnosnog incidenta, tim koji je zadužen za odgovor na sajber napade odmah stupa u akciju aktivirajući plana odgovora na sigurnosnu prijetnju. To znači da počinje prikupljanje relevantnih informacija i klasifikacija ozbiljnosti napada uz dokumentovanje svega, kako bi se kasnije što više vjerodostojnih informacija predalo državnim istražnim organima. Cilj je obuzdavanje napada i zaustavljanje dalje štete unutar organizacije, što podrazumijeva razne sigurnosne prakse kao što su izolacija segmenta lokalne mreže, gašenje kompromitovanih uređaja, stavljanje svakog potencijalnog kompromitovanog uređaja u karantin i sl. Dugoročno cilj ovog koraka je vraćanje pogođenih sistema i uređaja u normalno funkcionisanje unutar organizacije. Ovo može da izgleda kao jednostavan zadatak, ali nije. Tim za odgovor na sajber napad u ovoj situaciji pokušava da shvati kako je napadač “ušao” u organizaciju, da li je preuzeo neke podatke i da li napad i dalje traje. Nakon toga se pristupa identifikaciji sigurnosnog propusta koji je omogućio napad, njegovom uklanjanju i unapređenju zaštite za sprečavanje sličnih napada u budućnosti. Nakon obuzdavanja, dolazi faza oporavka pogođenih sistema unutar organizacije. Postepeno se u funkciju vraćaju kompromitovani sistemi, pažljivo, kroz metodičan proces koji podrazumijeva testiranje kompromitovanih sistema, potvrdu da rade normalno uz monitoring koji treba da pokaže da li sve radi kako treba.
Peti i posljednji korak je analiza incidenta. Nakon svega, pogođena organizacija mora da sprovede detaljnu istragu, izvrši identifikaciju uzroka zbog kojeg je došlo do napada, izračuna nastale gubitke u poslovanju i pripremi prijedlog strategije za sprečavanje sličnih napada u budućnosti. Ovaj korak može pokazati da je prilikom izrade plana odgovora na sajber prijetnju nešto nije uzeto u obzir, da je došlo do greške u konfiguraciji sistemima, neko se “upecao” na napada preko elektronske pošte ili je neko od zaposlenih zloupotrebio pravo pristupa. Šta god bio uzrok, skupljanje i analiza informacija treba da pokažu gdje je potrebno usmjeriti fokus za sprečavanje sigurnosnog incidenta u budućnosti. I na kraju sve ovo treba da se doda u postojeći plan odgovora na sajber prijetnju.
Svi ovi koraci su važni u situaciji kada se zna da prema nekim istraživanjima, prosječno vrijeme za otkrivanje napadača u sistemu organizacije je oko 197 dana, a nakon toga za rješavanje sigurnosnog incidenta prosječno je potrebno oko 69 dana. Iz navedenog znači da napadači ponekad mogu i više od pola godine da se “kreću” kroz sisteme organizacije, prije nego što budu otkriveni.
Istinu govoreći, ne postoji “zlatno pravilo” za izradu plan odgovora na sigurnosnu prijetnju. To ne znači da ne postoje kvalitetne smjernice kako to uraditi. Na državnom nivou obično postoji nešto što se naziva »Politika Upravljanja Informacionom Sigurnošću u Institucijama« u kojima država propisuje jasne smjernice u skladu sa zakonskim okvirima kako se trebaju zaštiti državni sistemi i njena infrastruktura. Tekst dokumenta je sveobuhvatan, ali korisnika ništa ne sprečava da iz njega uzme ono što odgovara njegovoj organizaciji i na osnovu tih smjernica izradi svoj plan odgovora na sigurnosnu prijetnju. U svetu postoje napisani razni okviri (eng. Framework) koji mogu poslužiti za izradu plana uz prilagođavanje zakonu države u kojoj se organizacija nalazi i potrebi organizacije. Treba imati na umu da ponuđeni okvir za izradu plana odgovora na sajber bezbjednost nije univerzalan, već je samo jasna smjernica na čijoj osnovi svaka organizacija treba da izradi jedinstven i samo njoj primjenjiv plan.
