لعبة اللوم: مشكلة مراجعة ما بعد الحادث

لقد تم خرقك ، وخضعت لخطة الاستجابة للحوادث (IR). تحديد وتخفيف وإبلاغ السلطات اللازمة والتواصل مع الأطراف المتضررة. لكن ربما تكون المرحلة التالية هي الجزء الأكثر أهمية في العملية والتي تميل أيضًا إلى سوء الإدارة. تحاول مراجعة ما بعد الحادث التعلم من العملية ، وما حدث للتو ، وكيف تم التعامل معها ، وأين يوجد مجال للتحسين. 

يشبه إلى حد كبير تحليل ما بعد المباراة الذي يتبع كل لعبة كرة قدم ، فإن مراجعة ما بعد الحادث تقيّم الارتفاعات والانخفاضات من أجل تحديد مدى فعالية العلاقات الدولية وكيف يمكن تعزيز الدفاعات لتقوية قدرة المنظمة على مقاومة الهجمات المستقبلية. 

تسعى المراجعة إلى تحديد النطاق الكامل للحادث وتتألف عادةً من عملية من ثلاث خطوات ، وفقًا للهيئة الصناعية ، CREST. توضح المراجعة جميع الخطوات التي تم اتخاذها أثناء العلاقات الدولية ، ويتبع ذلك التوثيق الرسمي لجميع الدروس المستفادة والتي يتم توفيرها لجميع أصحاب المصلحة. المرحلة النهائية بعد ذلك ترى أن خطة IR نفسها منقحة ومحدثة. من الناحية النظرية ، يجب أن يؤدي ذلك بعد ذلك إلى تحسينات من شأنها أن تساعد في التخفيف من مخاطر التكرار ، وتقصير وقت الاكتشاف ، وتحسين التشخيص ، وتحديد الأولويات وتخصيص الموارد. 

تداعيات طويلة المدى

هذا النوع من الغسيل مهم للغاية لأن الانتهاكات قد تكلف وقتًا كبيرًا. وجد البحث الذي تم إجراؤه حول كيفية تأثير خرق البيانات على سعر السهم أن التأثير يمكن أن يكون تراكميًا ، مما يقلل قيمة كبيرة من الأعمال ، بحيث ينخفض ​​سعر السهم بعد عام بنسبة 8.6 في المائة في المتوسط ​​، وينخفض ​​أكثر إلى 11.3 في المائة بعد عامين و 15.6 في المائة بعد ثلاث سنوات ، على الرغم من أن تأثير خرق البيانات نفسه سيقل. يقال إن متوسط ​​تكلفة خرق البيانات في عام 2022 يبلغ 4.35 مليون دولار ، لكن تلك الشركات التي لديها فريق IR والتي تختبر بانتظام خطة IR توفر 2.66 مليون دولار ، وفقًا لتقرير تكلفة خرق البيانات لشركة IBM لعام 2022. 

لذلك فإن الحد من احتمالية حدوث مزيد من الانتهاكات يصب في مصلحة الإدارة العليا إلى حد كبير. ولكن ، وفقًا لـ ISC (2) Cybersecurity Workforce Study 2022 ، فإن تركيز الشركة يميل إلى أن يكون في الغالب على أداء فريق الأمن نفسه ، حيث قال 40 بالمائة إنهم شعروا بأنهم تحت المراقبة المتزايدة و 41 بالمائة أبلغوا عن زيادة في أعباء العمل بعد- يخرق. ومن المثير للاهتمام ، أن القليل جدًا من الاستثمار كان ينجم عن ذلك ، حيث قال 20 في المائة فقط إن الخرق البارز سيؤدي إلى مزيد من الإنفاق و 16 في المائة فقط في تعيين المزيد من الموظفين. ومما يثير القلق إلى حد ما ، أن 8 في المائة قالوا إنه لم يتم إجراء أي تغييرات على الإطلاق.

وبالتالي ، فإن هذا النوع من سوء الإدارة بعد الانتهاك يميل إلى أن يؤدي إلى تأثير آخر أقل دقة - وهو استنزاف القوى العاملة. الشعور بعدم الدعم والإرهاق ، يتعرض فريق الأمن لخطر الإرهاق بشكل أكبر. ووجد نفس التقرير ثقافة سلبية ، وجاء الإرهاق والإجهاد في المرتبة الثالثة والرابعة ، على التوالي ، بعد الراتب والتقدم الوظيفي ، كأهم الأسباب وراء استقالة موظفي الأمن السيبراني. هذا مدعاة للقلق لأنه في الوقت الذي يتزايد فيه نقص المهارات ، فأنت لا تريد حقًا أن تفقد موردًا مهمًا للأمن السيبراني. (وجد الاستطلاع أن فجوة مهارات الأمن السيبراني زادت بنسبة 73 في المائة على مدار العام ، أي ما يعادل 56,811 وظيفة شاغرة في المملكة المتحدة ، بينما تتوقع وزارة الثقافة والإعلام والرياضة عجزًا سنويًا قدره 14,000 مشارك في المهنة).

بالطبع ، مراجعة انتهاكات البيانات هي أيضًا التزام تنظيمي. ينص مكتب مفوض المعلومات (ICO) على أنه يجب تحليل الانتهاكات لمنع تكرارها ، وأنه يجب مراقبة نوع وحجم وتكلفة الخرق ، ويجب إجراء تحليل الاتجاه هذا بمرور الوقت لتسهيل الفهم. كما سترغب في رؤية الوعي بالدروس المستفادة والأدلة على أن الخطوات المتخذة كانت فعالة. 

مع كشف تقرير ISC (2) عن وجود القليل من الاستثمار في التدابير التي من شأنها منع التكرار ، فمن الواضح أن بعض الشركات ستُنظر إليها على أنها غير ممتثلة من قبل ICO وأنهم ليسوا ضمن الأقلية. تضع OWASP أعلى 10 مخاطر خصوصية استجابة غير كافية لخرق البيانات في المرتبة الثالثة في القائمة وأصدرت إجراءاتها المضادة هذا العام. تضمنت الإجراءات المصنفة على أنها "غير كافية" عدم إبلاغ الأطراف المتأثرة بالخرق ، والفشل في معالجة الموقف من خلال إصلاح السبب ، و / أو عدم محاولة الحد من تسرب البيانات. 

السبب والتأثير

من المهم أن ندرك هنا أن العديد من هذه الإخفاقات لا ترجع إلى التكنولوجيا بل بسبب ثقافة أمنية ضعيفة. في الواقع ، يمكن أن يكون الخرق نفسه مؤشرا على ذلك ، أو مشاكل منهجية أو فشل تشغيلي. إذا لم يتم تضمين الأمان في جميع أنحاء المؤسسة وعملياتها التجارية ، يصبح فريق الأمان مسؤولاً بمفرده ومحكوم عليه بالفشل.

إذن ما الذي يمكن للمنظمات فعله لتحسين استجابتها بعد الانتهاك ، وتعزيز الروح المعنوية والاحتفاظ بالموظفين؟ في الواقع ، يجب أن يؤدي أي خرق خطير للبيانات إلى تغييرات ليس فقط في خطة IR ولكن أيضًا في السياسات والإجراءات وربما المزيد من الاستثمار في الموارد سواء كان ذلك أشخاصًا أو تقنية.  

يحتاج فريق الأمن السيبراني إلى أن يكون مجهزًا بالموارد اللازمة لمنع التكرار ولكنهم يحتاجون أيضًا إلى الدعم ولكي يحدث ذلك ، يجب اعتبار الأمن مسؤولية مشتركة في جميع أنحاء العمل. يمكن أن يوفر التدقيق المنتظم ، داخليًا وخارجيًا ، على سبيل المثال من خلال اختبار الاختراق ، تقييمًا مستمرًا لفعالية خطة IR ويمكن أن يوفر بعض الموضوعية. وينبغي اعتبار خطة IR نفسها "وثيقة حية" ويتم تحديثها بانتظام بما يتماشى مع أي تغيير في العمل ، مثل الأشخاص الجدد ، وعمليات الاستحواذ ، وعروض الخدمات وما إلى ذلك. 

بعد قولي هذا ، نحتاج أيضًا إلى استئصال ثقافة اللوم. تحتاج الإدارة العليا إلى الاستماع إلى التحليل المقدم من فريق الأمن السيبراني وتقييمه والنظر في المكان الذي يمكن فيه الاستثمار لتقليل المخاطر بفعالية وكفاءة. بعد حرمانه من الدعم الشعبي ، يكمن الخطر في أن الفريق سيصاب بخيبة أمل واستياء ، مما يؤدي إلى استقالة هادئة أو مغادرتهم في غضون السنوات القليلة المقبلة. لذلك ، فإن أي خرق في مرحلة ما بعد الاستثمار لا يقتصر فقط على تقليل احتمالية التكرار ، بل هو استثمار في الفريق نفسه ويعمل بمثابة اعتراف بجهودهم والتحقق من صحتها ويمكن أن يحدث فرقًا بين البقاء أو المغادرة.