カジノサイト

サイバー インシデント対応では、悪いニュースをより早く伝える必要があります

サイバーセキュリティに関して言えば、予防は負け戦だ、とパトリック・ヘイズ氏は言います。しかし、備えがあれば、組織は回復力を維持し、インシデント発生時など、困難な状況に陥ったときに回復することができます。

「現実には、ビジネスはリスクです」と、エンタープライズ セキュリティ アーキテクト、CISO など、サイバーセキュリティ業界で 30 年を過ごし、現在は ThirdWave Innovations の最高製品責任者を務めるヘイズ氏は言います。 「競合他社に勝りたいなら、市場を成長させたいなら、リスクを取る必要があります。」

抑止と予防は依然として価値のある目標ですが、組織はインシデント対応と復旧への備えにより多くの時間を費やす必要がある、と彼は付け加えました。米国証券取引委員会 (SEC) を通じた規制などの新たな規制措置により、この問題は強制されていますが、特に組織の独自のビジネス モデルが関係する場合、セキュリティはコンプライアンスを超えたものである必要があります。

「セキュリティ プログラムはビジネス戦略に大きく影響され、ビジネス戦略がリスク許容度の条件を設定します」とヘイズ氏は言います。 「規制遵守は大衆にとって最低限の基準としては良いことですが、規制の対象となる各ビジネスに関連する戦略は考慮されていません。」

一部の企業は特にリスクを回避しますが、他の企業はよりリスクを許容します。一部の企業は、より迅速に成長するため、または市場投入までの時間を短縮するために主要なサプライチェーンを合理化するために、新しいテクノロジーを試してみたいと考えています。場合によっては、リスクが報われることもあります。また、特にデジタル資産とプロセスの保護に関して組織を不安定な立場に置く場合もあります。

ここでサイバーインシデント対応が重要になります。

エスカレーションが予想される

すべてのサイバー インシデントが、組織の価値にとって「重大」であるという SEC 報告基準に達しているわけではなく、また、すべてのインシデントが本格的な危機管理対応を必要とするわけではありません。ロード バランサーの問題によってシステムがオフラインになるなどの IT の問題は、必ずしもセキュリティ侵害であるとは限りません。問題の再発を避けるために将来的な変更が必要になる可能性はあるものの、危機指定には至っていないとヘイズ氏は言う。しかし、外部からの干渉や未知のシステム エラーにより主要なシステムがオフラインになった場合は、迅速に調査し、指揮系統を拡大する可能性があります。

スタッフがその場の勢いで瞬時の判断を強いられることがないように、これらのしきい値を事前に決めておくことが重要です、と彼は言います。

組織は、技術的なインシデントが広範な危機対応を開始する時期の基準を設定する必要があると、SANS Institute のエグゼクティブ サイバーセキュリティ演習ディレクターのマイク バーコム氏は述べています。これらの基準は、組織のニーズや独自の機能に合わせて調整されますが、財務上の基準 (事前に設定された金額が満たされる)、評判の要素 (ニュースが大手メディアに掲載されるか、ソーシャル メディアで共有される)、またはその他の運用への影響 (インシデントにより主要な生産ラインが妨げられる) が含まれる可能性があります。

「これらの基準のいずれかが満たされた場合、私たちは危機に直面しています」とバーコム氏は言います。特に発見の進行中は、中間アクションが可能です。たとえば、インシデントが重大になる可能性があるという初期の兆候があれば、主要なリーダーに早期に警​​告する必要がある可能性があります。いずれにせよ、目標は、組織内の各レベルがリーダーに警告する前に単独で問題を解決しようとすることなく、より迅速かつ効果的な対応を可能にすることです。

「そのような計画を策定している企業では、それが定義されておらず、実践されておらず、人々の役割と責任が分かっていない組織に比べて、より迅速かつ効果的な対応が可能です。」と彼は言います。 「そこは混沌としています。多くの狂気の出来事が起こっています。そして、それが組織に損害を与えています。対応するまでに時間がかかっているため、攻撃者はおそらくさらに多くのデータを吸い上げているでしょう。間違ったメッセージが流出しています。メディアもそれを理解し、ソーシャルメディアもそれを理解し、彼らがメッセージをコントロールしています。」

Barcomb 氏は、インシデント対応の準備を簡単な行動に要約します。「チーム、従業員、計画を立てて、できる限り練習する。」

危機コミュニケーションを通じて信頼を築く

サイバーセキュリティ チームは、インシデント対応中に広範なプレッシャーに直面する可能性が高く、イントルージョン社の CEO で元米国連邦最高情報責任者であるトニー スコット氏は、イントルージョンの量と深刻さによってさらに悪化すると述べています。

まず、特に事件の初期段階では、正確な情報を得ることが困難です。 「通常、最初に得られる情報は間違っています。調査が完了しておらず、何がわからないのかもわからないからです」とスコット氏は言います。

プレッシャーにさらされているとき、その人について多くのことを学びます。

「あなたには恐怖の要素もあります。大規模な事件では、早い段階で伝えられた情報が間違っていたり、不完全であったり、より大きな問題であることが判明したときに状況を最小限に抑えたりするような、かなり公然と非難するようなことがいくつかありました。」と彼は続けます。 「人間には、十分な事実がないときに率直になりすぎることへの抵抗があると思います。それは大きな問題です。このゲームに携わる私たち全員が、たとえ後で修正する必要があるとしても、早いほうが良いという世界に慣れる必要があります。」

その積極的な支援は信頼すべき重要な要素であり、事件発生前、発生中、発生後に非常に貴重な財産となります。過去のインシデントでは、セキュリティ チームはイベントを調査し、正確な詳細を突き止めるために何か月も情報を待ち続けましたが、この遅れがしばしば裏目に出るとバーコム氏は言います。対応や回復に関するメッセージをコントロールできなくなると、その信頼を取り戻すのは困難になります。

ここでは、組織内外の関係者に明確な期待を設定することが理にかなっています。

危機時には明確なコミュニケーションが不可欠です。一度メッセージを送信すれば完了というわけにはいきません、とスコット氏は言います。特に現在の熱気の中では、人々は以前のメッセージの重要な詳細を忘れたり、あなたが言及している重要な概念に精通していない可能性があります。関係者に情報を提供し続けるために、より多くの情報を提供し、重要な詳細を繰り返し説明する計画を立ててください。

「状況認識は、おそらく経営者が持つ必要のある主なスキルです。」と彼は付け加えました。 「どのような状況であっても、影響を受ける利害関係者は誰なのか、そしてそれらの期待に対処するための私たちの戦略はどうなるのかという点で、常に状況を把握しておく必要があります。」  

まず、ステークホルダーが誰であるか (従業員、株主、顧客を含む)、ステークホルダーとのコミュニケーションの内容、連絡方法、いつ連絡するか、危機の際にステークホルダーに最新情報を提供し続ける責任者をまとめたステークホルダー マップを作成することから始めます、と Barcomb 氏は推奨します。

その後、コミュニケーションのリズムを確立し、その計画を関係者と共有し、最後まで実行します。バーコム氏は、たとえ「侵害についてさらに詳しく知るにつれて、これらの事実は変わる可能性があります」などの警告を追加する必要がある場合でも、現在の事実を有権者に知っているとおりに確立してくださいと述べています。

情報の変化に向けて扉を開いたままにしておくことで、捜査官や監査人が事件をより深く掘り下げる余地も得られるとヘイズ氏は言う。多くの場合、サイバーセキュリティ チームと IT チームは、組織が完全に明確な信号を発できるように、問題をできるだけ早く解決する必要があるというプレッシャーにさらされています。しかし、その短期的な戦略は最終的には裏目に出る可能性があります。

「現実には、セキュリティ インシデントに直面し、システムの復旧を急ぎすぎると、実際には状況の封じ込めを見逃してしまう可能性があります」と彼は言います。 「さらに悪いことに、実際にそれを隠蔽している可能性があります。実際に何かを見つけるための証拠を傷つける可能性があります。」

違う練習をする

多くのセキュリティ シナリオと同様、実際のインシデント中であってもトレーニング中であっても、実践によって改善が定期的に行われます。また、危機レベルのサイバー インシデントに対しては、組織は複数の方法で実践する必要があります。

机上演習は効果的なスタート地点ですが、必ずしも基礎的なものではありません。スコット氏は、シナリオが組織のモデルに適合し、参加者にとって現実的でありながらありふれたものではないと感じられるようにするために、演習自体と同じくらい重要であると述べています。参加者が「ここではそんなことはありえない」と簡単に演習を中止してほしくないのです。

机上であれ実践的なシミュレーションであれ、演習にレンチを投入して、人々がどのように反応するかをテストし、さまざまな課題や改善の余地を明らかにすることをスコット氏は勧めています。場所を変更したり、参加者を入れ替えたり、紛らわしい情報を提供したりしてみてください。また、サイバーセキュリティに明らかに関与していない可能性のある部門も参加させます。

ある狭い範囲で調整された演習では、誰かが計画を中断し、サプライ チェーンの問題を管理する同僚を連れてくるよう勧めたとスコット氏は回想します。

「それは目を見張るものがありました」と彼は言います。追加参加の要請により、組織内の一見異質に見える多くの機能がいかにつながっているか、問題がいかに迅速にドミノ状になるか、そしてセキュリティが定期的に連携していないパートナーを参加させることがどれほど価値があるかが明らかになりました。

同僚や関係者個人についても多くのことを学ぶことができるとヘイズ氏は言います。 「過去にリハーサルもせずに、プレッシャーのかかる状況に同僚がどのように反応するかを知ることは最も避けたいことです。プレッシャーにさらされているとき、その人について多くのことを学ぶことができます。」と彼は付け加えました。

それは言葉の選択、光学、存在感、周波数です。これらはすべて、困難な状況において役立ちます。

最前線のサイバーセキュリティ専門家も必ず参加してください、とスコット氏は言います。これらの個人は、サイバー インシデント対応について学び、適切に対処することに高い意欲を持っていますが、多くの場合、追加のリソースを投入する適切な時期を知るよりも、個人的に適切に対処することを望んでいます。

「演習から得た最大の学びは、あらゆるレベルの人々が自分たちで問題を解決しようとする欲求と、助けを求めないことです」とスコットは言います。 「たとえば、管理構造に 4 つのレベルがある組織について考えてみると、どのレベルのマネージャーも、上司に迷惑をかけたくないので、自分で問題を解決しようとします。それには時間がかかり、エネルギーも必要になります。大きな問題に直面してすべてのレベルがそれを行おうとしても、長い間その問題に気づくことはできません。」

「私が関わってきた組織で実践してきたことの 1 つは、食物連鎖を通じて迅速にコミュニケーションをとることです。」と彼は続けます。 「たとえ遠くからでも大きな問題である可能性があると思われるものについて、意識を高めてください。そうすれば、管理層に自信を持って、いつ『私のレベルでは解決できません。助けが必要です』と言うべきかを知ることができます。ただし、認識はすぐに作りましょう。良いニュースはすぐに伝わりますが、悪いニュースはさらに速く伝わらなければなりません。自然に伝わるものではないので、それを実践する必要があります。」

演習の参加者は、利害関係者がさまざまな優先順位やプロセスをどのように評価するか、また、利害関係者がどのような場合にリスクを受け入れるかについても学びます。さらに、意思決定の背後にある背景も重要だとヘイズ氏は言います。小売業者の e コマース サイトに脆弱性がある可能性がある場合、調査が完了するまで小売業者はそのサイトをシャットダウンするか、バックアップに戻す必要がありますか?年末のショッピングで忙しい週末だったらどうしますか?利害関係者のビジネス推進要因について早期に知識を得ることで、サイバーセキュリティ チームは、リーダーがシステムのロックダウンよりもビジネス上の緊急事項に味方したときに盲目的になるのではなく、バックアップ プランや代替案に切り替える準備が整います。

ヘイズ氏はまた、緊迫した状況を落ち着かせ、事前に設定された手順に従い、違反の封じ込めと事業継続および規制要件のバランスを取る方法の決定など、難しい判断の客観的な審判の役割を果たすことができるインシデント指揮官を任命することも推奨しています。

「パニックでは状況は解決しません」とヘイズは言う。

組織は、能力を伸ばすシナリオに加えて、メディア関係者への対応の準備など、より広範な演習の一部として非定型的なトレーニング要素を追加できます。

「机上演習では、報道陣に対応したり、オフィスから出る途中でインタビューや待ち伏せに遭ったりする経験はあまりありません」とスコット氏は言います。 「本物の、正直で善良なレポーターが来て、あなたの顔にマイクを突き刺して、『こんにちは、スコットさん、話してくれませんか？』と言うのは有益だと思います。」

同氏は、演習に参加している人々が記者と話したり、事件について模擬記者会見をしたりする様子を録画し、その映像を見直すことを推奨している。講演者がどのように伝わるか、その情報が価値があるかどうか、そしてメッセージが組織にどのように反映されるかを考えてください。

「それを経験すると、ほとんどの人はすぐに振り出しに戻ると思います」とスコット氏は付け加えました。

そして、攻撃が解決された時点で演習を中止しないでください。組織もリカバリーを実践すべきだと Barcomb 氏は言います。

演習の参加者は、回復中の自分の役割と責任を理解する必要があり、これらの練習セッションにより、回復がうまくいかなかった場合に備えて緊急事態を設定することができます。たとえば、ランサムウェアの復旧計画にシステム バックアップが含まれている場合、そのバックアップが汚染されていた場合はどうすればよいでしょうか?バックアップを安全に保管し、汚染されていないことを検証し、テストする計画はありますか?どれくらい時間がかかるか知っていますか？

「練習、練習、練習」とバーコム氏は強調する。 「どれくらいの時間がかかるかを決めるのに、インシデントが原動力となるのを待ってはいけません。」

嵐の後

訓練の後であっても、実際の事件の後であっても、事後措置は不可欠です。

行動後のレビュー（または学んだ教訓、「ホットウォッシュ」、または報告書）は、「攻撃を経験した組織、または何らかの同化訓練を経験した組織にとって最も重要なことです」とバーコム氏は言います。 「その事件やトレーニングに実際に参加した、あるいは関与した主要選手たちをそのプロセスに連れてきて、何がうまくいったのか、何がうまくいかなかったのか、そしてどこを改善する必要があるのかについて話し合う場所です。」

「それをレポートに記載して文書化するのは素晴らしいことだと思います」と彼は続けます。 「その後、改善したりギャップを埋める必要がある領域について、人々にタスクやアクションを割り当てることがより重要だと思います。それを完了まで推進するプロジェクト マネージャーを用意してください。そうでないと、対応の観点から見ると、最初の攻撃や訓練のときと同じ状態が続くことになります。」

イベント後に正式な措置はセキュリティ、IT、その他の関係者に割り当てられる可能性が高いが、セキュリティ リーダーは対応に直接関与していない個人やグループからもフィードバックを求め、収集する必要があるとスコット氏は言います。

特に探してみると、直接のフィードバックがたくさん得られるでしょう。 「人々は自分がどのように感じているか、何を見たかなどをあなたに話すでしょう」とスコットは言います。 「マスコミは通常、あなたに伝えます、そしてあなたはあなたが何が正しかったか、何が間違っていたか、あるいはその中間にあることがわかります。もう 1 つの優れた情報源はソーシャル メディアです。一般の人々がどのように反応しているかを知ることができる、非常に活発な場所があります。その場合は、直接電話をかけることをお勧めします。これは、主要な信頼できるアドバイザー、組織外の人々に対するものである可能性があります。何人かの人を選んで電話して、「これはあなたにとってどう思いますか？」と会話することもできます。私たちはここで効果的な仕事をしていると思いますか?どのような提案がありますか?”

さまざまな視点から学ぶことができるように、幅広い関係者から人材を選びます。

「直接の会話に代わるものはありません。事実と人々の認識の両方に注意を払うことが重要です」とスコット氏は続けます。 「しかし、何かに対する彼らの感情的な反応についても質問する必要があります。」

これは、あなたが事実を正しく理解したかどうか、または十分に迅速に対応したかどうかを必ずしも意味するものではありませんが、人々の感情的な反応によって、あなたの努力とあなたの組織がどのように認識されるかについて多くのことがわかります。あなたが対応において信頼できる仕事をしたと人々は感じましたか?あなたのメッセージは状況を明確にするのに役立ちましたか、それとも責任を回避しようとしているように感じましたか?あなたの発言は、実用的な情報を提供するというよりも、光学と PR に関するものでしたか?あなたのメッセージは実際に人々に届きましたか?

「重要なのは良好なコミュニケーションです」とスコットは言います。 「言葉の選択、光学、存在感、周波数です。これらすべてが困難な状況で役に立ちます。最悪なのは、一度だけのメッセージです。一度現れても、二度と現れないのは、あまり効果的ではありません。」

フィードバックについては、自分自身の感情や精神状態も確認してください。自己認識もインシデント対応における重要なスキルですが、あまり一般的には扱われていないとスコット氏は言います。

「これらのことに関して自分の能力と心の知能指数を知る必要があります」と彼は言います。 「この危機が自分にどのような影響を与えているかに注意してください。正しく食べていますか? 正しく眠っていますか? すぐに怒っていませんか? そして、適切に調整することを行ってください。1 日に 1 回か 2 回、鏡をよく見て、『こんにちは、私はどうですか?』と尋ねてください。これは非常に重要です。なぜなら、これらのことに巻き込まれやすいからです。」

クレア・メイヤーはの編集長を務めていますセキュリティ管理。LinkedIn で彼女とつながるか、次のアドレスに直接連絡してください [email protected].