یک شرکت بعد از آنکه مورد حمله هکری قرار گرفت، چه کاری باید انجام دهد؟
مقالهها و مطالب بسیاری در ارتباط با مبحث امنیت و بهویژه هک تاکنون منتشر شدهاند. حتی هماکنون که در حال خواندن این مطلب هستید، شرکتهای گوناگونی در نقاط مختلف جهان در معرض تهدیدات هکری قرار دارند یا سیستمهای آنها قربانی حملات هکری شدهاند. اما موضوع امنیت همیشه در ارتباط با حملات انجام گرفته یا راهکارهای دفاعی نیست. بعد از آنکه یک حمله هکری با موفقیت به انجام رسید، چه کاری باید انجام دهیم؟ آیا تاکنون به این موضوع اندیشیدهاید که سازمانهای بزرگ چگونه بعد از یک حمله هکری دوباره به حیات خود ادامه میدهند؟ چگونه این شرکتها دوباره اعتماد از دست رفته مشتریان را به دست میآورند؟ حتی پرسش بدیهیتری نیز وجود دارد. چرا یک شرکت آسیبدیده از یک نفوذ هکری بهسرعت آماده سرویسدهی به مشتریان خود نمیشود؟ اینها پرسشهای مهمی هستند که در این مقاله قصد داریم به آنها پاسخ دهیم.
یک شرکت بعد از آنکه مورد حمله هکری قرار گرفت، چه کاری باید انجام دهد؟ این پرسشی است که شرکتهای بزرگی همچون سونی، تارگت و هوم دپت و دیگران در سالهای گذشته آن را مطرح کردهاند و احتمالاً شرکتهای دیگری نیز همان را در ماههای آینده خواهند پرسید. هک شدن به هیچ عنوان موضوع جالبی نیست، بهویژه زمانی که نتیجه آن سرقت یا افشای دادههای شخصی باشد. چگونه یک شرکت بزرگ به یک حمله هکری که در درازمدت میتواند همه چیز را تغییر دهد، واکنش نشان میدهد؟ واکنشی سریع و مؤثر میتواند آسیب را به حداقل برساند و نشانهای از علائم مثبت را به مشتریان، شرکای تجاری و در مقیاس وسیعتر به جامعه القا کند و تا حدودی اعتبار از دست رفته را بازگرداند. یک واکنش ضعیف یا سهلانگارانه موقعیتهای به مراتب بدتری را به وجود میآورد و ارزش و اعتبار یک شرکت را برای سالهای متمادی مخدوش میکند. در این بخش، به بیان شش نکته طلایی میپردازیم که یک شرکت بعد از آنکه مورد حمله هکری قرار گرفت، بهتر است به آن عمل کند.
۱- حفظ خونسردی
خونسردی خود را حفظ و یک برنامه واکنش مناسب تهیه کنید. نخستین نکتهای که بعد از حمله هکری باید آن را پیادهسازی کنید، اجرای یک طرح واکنش مناسب به اتفاق رخ داده است. با فرض اینکه شما یک نفر هستید، اگر نه بهسرعت دیگر اعضای گروه را گرد هم آورید. طرح واکنش لازم است در بر گیرنده چند عامل باشد:
ـ چه کسی مسئولیت پاسخگویی مؤثر به حمله را بر عهده دارد؟
ـ چه کسی درگیر مشکل به وجود آمده است؟
ـ چه اقداماتی باید انجام شود و این اقدامات توسط چه گروههایی صورت میپذیرد؟
ـ کدام ابزارهای فناوری برای شناسایی بهموقع و واکنش سریع مورد نیاز است؟
اریک کول، عضو هیئت علمی و مدیر برنامه دفاع سایبری در مؤسسه SANS، میگوید: «ترس و اضطراب را بهآسانی در هر شرکتی میتوان اعمال کرد و در ادامه بهآسانی به کنترل نقاط آسیبدیده پرداخت. اغلب اوقات نبود یک برنامه مناسب باعث میشود تا شواهد موجود از بین بروند که همین موضوع اوضاع را وخیمتر میکند.»
طرحی که آماده میشود باید شامل تعیین شدت نقص، شناسایی دادههایی که به خطر افتادهاند و ارزیابی خسارتهای به وجود آمده باشد. لازم است با دپارتمان حقوقی درباره افشای اتفاقهای رخ داده و اطلاعسانی به مقامات مشورت شود. همچنین، لازم است به مقامات دولتی اطلاع داده شود که چگونه حمله انجام شده و کل سازمان را تحت تأثیر قرار داده است. زمانی که یک طرح مناسب آماده شد، تمرکز باید روی پیادهسازی قرار گیرد. در مدت زمانی که طرح ساخته شده باید پیادهسازی شود، سازمان باید همواره به چند موضوع کلیدی توجه کند و تمرکز خود را روی این موضوعات قرار دهد:
ـ قبل از آنکه هر گونه طرحی آغاز به کار کند، ابتدا اطمینان حاصل شود هکرها برای مدت زمان طولانی درون شبکه قرار نداشته باشند. هکرهایی که به یک سازمان حمله میکنند، ممکن است بسیار تهاجمی باشند و اگر آگاه شوند شما سعی میکنید، سیستم خود را پاکسازی کنید، اگر هنوز به شبکه دسترسی داشته باشند، آسیبهای قابل توجهی را به سیستم وارد میکنند. بهطور معمول، سازمانها بهتر است به ایزوله کردن یا کنترل جریان ترافیک در شبکه بپردازند. این تکنیک باعث به حداقل رساندن هر گونه آسیبپذیری جدید میشود.
ـ ریشهکن کردن عامل وقوع حمله بسیار حایز اهمیت است، در حالی که در مدت زمان وقوع یک حمله هکری، ترمیم مشکل برای پیشگیری از بروز حمله مجدد گزینه ایدهآلی نیست، اما باید انجام شود. سازمانها در اغلب موارد در مدت زمان یک حمله سعی میکنند با شتاب و عجله و در سریعترین زمان ممکن به حالت قبل بازگردند، اما بهطور دقیق همه نقاط در معرض تهاجم را که هکرها از آنها برای نفوذ استفاده کردهاند، ترمیم نکردهاند. اگر هکری دری را شکسته باشد و آن در ترمیم نشده باشد، آنها بار دوم نیز این کار را انجام خواهند داد.
ـ سومین عامل کلیدی که باید مورد توجه قرار گیرد، اجرای ریکاوری است. زمانی که از به سرقت رفتن دادهها اطلاع یافتید و سیستم را ترمیم کردید، اکنون باید روی احیای دادهها و بازگرداندن سیستم و اجرای آن متمرکز شوید. همواره به این نکته توجه داشته باشید، قبل از آنکه سیستم را مجدد بهصورت آنلاین درآورید، ابتدا آن را به دقت بررسی کنید. بسیار اتفاق افتاده است که در مدت زمان ریکاوری، یک سیستم بهطور تصادفی آلوده شود. هنگامی که سیستم مورد تأیید نهایی قرار گرفت، آن را مورد بازرسی و نظارت قرار دهید تا مطمئن شوید هکرها مجدد باز نمیگردند. تأکید میشود نظارت مستمر و فعالانه مورد نیاز نیست، اما بهطور نامحسوس بر فعالیتها نظارت داشته باشید و اطمینان حاصل کنید آنها نمیتوانند چیزی را شکسته و دوباره سیستم را آلوده کنند.
۲- گروه پاسخدهی را آماده کنید
تیم فرانس، مدیر بخش بیمه سایبری در شرکت تراولز، میگوید: «زمانی که یک نقص امنیتی دسترسی به دادهها را امکان پذیر میسازد، گروه واکنش به حادثه باید آن را مورد ارزیابی قرار دهند. این سیستم باید متشکل از یک کارشناس فناوری اطلاعات، مدیر تجاری، منابع انسانی، روابط عمومی، حقوقی و عملیاتی باشد. شما ممکن است در نظر داشته باشید یک کارشناس شناسایی نقصها، یک وکیل مجرب در ارتباط با مباحث امنیت و رعایت حریم خصوصی را برای دفاع از خود و تفسیر مقررات و قوانین مختلف که ممکن است پس از یک حمله هکری به وجود آید، آماده کنید.»
۳- همکاری با سازندگان و کارشناسان امنیتی در صورت لزوم
در بیشتر زمانها شرکتها نیاز دارند از سازندگان اصلی و شرکتهای امنیتی مشاور برای شناسایی علت نقص و اطمینان یافتن از اینکه احتمال وقوع حملات دیگر متوقف شده است، کمک بگیرند. این مشاوره برای پیشگیری از آسیبهای جدیدی است که ممکن است به سازمان وارد شود. در اوایل سال ۲۰۱۴، زیرساختهای ماشین مجازی مؤسسه فناوری ایلینوی با هدف دسترسی و بهرهبرداری از دانشگاهها مورد حمله سرویس DoS قرار گرفت. لوییس مک هوگ، مدیر سیستمهای کامپیوتری و استاد فناوری اطلاعات و مدیر مؤسسه ایلینوی، در رابطه با این حمله گفت: «ما کشف کردیم یک آسیبپذیری وصله نشده در پلتفرمهای VMWare که از آنها استفاده میکنیم، وجود دارد. این کشف توسط گروه تحقیقاتی ما انجام شد که بهطور مستقیم با گروه پشتیبانی VMWare در ارتباط بود. رایزنیهای گسترده نشان داد یک حمله انعکاسی ساده که از پروتکل NTP برای تقویت حمله DoS استفاده کرده بود، روی سیستمهای ما به وقوع پیوسته است. وصله ارائه شده در آن زمان مشکلی را حل نکرد؛ زیرا مؤسسه از بهترین الگوها و طرحهای مورد نیاز در این باره استفاده نکرده بود. با توجه به توصیههای VMWare تغییراتی روی سرورها به وجود آوردیم. همچنین، از وصلههای سختگیرانهتر برای پیشگیری از وقوع حملاتی که در آینده ممکن است رخ دهد، استفاده کردیم. مراحل سختگیرانهتری را روی سرورها و در محیط کاری خود به وجود آوردیم. سرویسهایی که به آنها نیاز نداشتیم را خاموش کردیم. چرخه بهروزرسانی منظم از وصلههای ارائه شده برای لینوکس و ویندوز را مورد استفاده قرار دادیم و شبکه خود را به یک دیوار آتش قدرتمند تجهیز کردیم.»
۴- برخورد مؤثر با مسائل حقوقی
وقتی یک حمله هکری رخ میدهد، مدیر امنیت، مدیر فناوی اطلاعات و مدیران ارشد بهتر است با گروههای حقوقی بزرگ درباره پیامدهای بالقوهای که از بابت این حمله به وجود خواهد آمد گفتگو کنند. وکلا درباره مسائل به وجود آمده راهکارهایی را ارائه خواهند کرد، اما همچنان الزامات بالقوهای در ارتباط با قراردادهای فروشندگان که شامل فرآیندهای مربوط به مبادلات تجاری است وجود دارد. لری کونین که بر کرسی امنیت دادهها و نقصهای به وجود آمده در شرکتها در مؤسسه موریس و ماریت منینگ تکیه کرده است، در این رابطه میگوید: «اصلاح مشکل ممکن است کمی زمانبر باشد، به دلیل اینکه همیشه بهدرستی مشخص نیست چرا یک سازمان مورد حمله هکری قرار گرفته است. شرکتها لازم است مراقب حفظ شواهد باشند.»
اسکات ورنیک، مدیر حریم خصوصی و امنیت اطلاعات در شرکت حقوقی فاکس روچیلد، میگوید: «باید همواره مراقب باشید تحقیقات باعث از بین رفتن شواهد نشوند. حفظ شواهد به این معنا نیست که شبیهسازی سرورها، لپتاپها یا دسکتاپها را محدود کنید، بلکه میتوانید تصویری از مستندات را تهیه کنید که مورد بررسی قرار گیرند. تصاویری که انعکاسدهنده مبدأ خود هستند.»
۵- مسائل مربوط به بیمه را با جدیت دنبال کنید
پس از اطلاع از وجود نقص مأمور بیمه را آگاه کنید و نماینده را در اسرع وقت در جریان اوضاع قرار دهید. باید اطمینان حاصل کنید کارمندان آیتی شما به اندازه کافی حقایق و اسنادی را در ارتباط با این حادثه جمعآوری کرده باشند. فرانسیس در این رابطه میگوید: «فایلهای ثبت گزارش امنیت شبکه در بررسی تاریخ حمله کمککننده هستند. این فایلها در شناسایی زمان و ماشینهایی که درگیر این حادثه بودهاند کمک میکنند. دادهها باید دستهبندی و مرتب شده باشند. این دستهبندی به درک اطلاعاتی کمک میکنند که در ارتباط با شناسایی اشخاص و اطلاعات مرتبط به آنها همچون شماره تأمین اجتماعی یا سوابق پزشکی، اطلاعات مالی یا دیگر اطلاعات محرمانه به خطر افتاده هستند. این تکنیکی است که سازمانها با استفاده از آن میتوانند برای محافظت و ایمنسازی دادههای ارزشمند مشتریان خود از آن کمک بگیرند.» مستندسازی زمان و مدت زمانی که در برخورد با هک انجام گرفته همراه مستندسازی هزینه بازسازی از مهمترین نکاتی است که سازمانها باید آن را در مستندات خود قید کنند.
۶- خطوط ارتباطی را باز نگه دارید
مهم است کارمندان، مشتریان و شرکای تجاری و دیگر گروههای درگیر با حمله هکری به جدیدترین اطلاعات دسترسی داشته باشند و درباره آنچه با حمله هکری رخ داده و پاسخی که سازمان به آن داده است، اطلاع داشته باشند. سکوت میتواند به بیکفایتی، سردرگمی یا حتی استدلالهای بدتری منجر شود. دارن هیز، استادیار سیستمهای اطلاعاتی و مدیر سایبری دانشگاه سیدن برگ، میگوید: «شرکتهایی نظیر تارگت ممکن است هنوز اطمینان نداشته باشند چگونه سوابق بسیاری از مشتریان آنها به سرقت رفت. بنابراین، اطلاعرسانی به همه مشتریان را ضروری دانستند.» هرگز نباید بهصورت محتاطانه و در قالب تخمین درباره تأثیر حملات اظهار نظر کرد. توسعهدهنده نرمافزار Evernate نمونه خوبی از شرکتی است که نقص داشت، اما اطلاعرسانی درباره خطر به وجود آمده را محتاطانه انجام داد و مردم را درباره این خطر آگاه ساخت. آنها تمام کاربران خود را مجبور کردند گذرواژههای خود را مجدد تنظیم کنند. حتی کسانی که در معرض خطر قرار نداشتند. آنها مشتریان را از طریق کانالهای ارتباطی متعدد درباره آنچه به سرقت رفته و نرفته است، آگاه ساختند.
بهرهگیری از ابزارهای تجزیه و تحلیل احساسی و دریافت واکنش مشتریان در قالب ضبط صدای آنها از طریق رسانههای اجتماعی راهکاری بسیار مثبت است. هیز در این باره میگوید: «ما اغلب از تجزیه و تحلیل احساسی پیامها در ارتباط با تبلیغات بهره میبریم، اما آنها میتوانند بهطور مؤثر در کم کردن عواقب یک حمله هکری راهگشا باشند. شرکتها نیاز دارند تا تأثیرات روانی حمله هکری را در کارکنان و مشتریان خود مورد بررسی قرار دهند، بهویژه اگر این حمله در بر گیرنده ایمیل یا اطلاعات شخصی کاربران باشد.» تام کینان، استادیار علوم کامپیوتر و عوامل محیطی در دانشگاه کلگری و نویسنده کتاب «تکنوکریپ»، در این باره میگوید: «اگر یک فرد غیرمجاز به شرکت ما نفوذ کند، احساس عمیقی از نقص فضای شخصی در ما به وجود میآید. درست یا غلط بیشتر مردم تصور میکنند ایمیلها خصوصی هستند، اما این گونه نیست. شرکتها بهتر است به دنبال متخصصان حرفهای مناسب در این زمینه باشند؛ کسانی که این توانایی را دارند تا مردم را در مواجهه با خبر افشای اطلاعات خصوصی آنها بهصورت عمومی دلداری دهند و کمک کنند.»