يمكننا أن نعرف الـ data breach أو خرق البيانات بإنه إطلاع ي جهة أو شخص غير مصرح له على أي معلومات سرية أو حساسة أو محمية.
في واقع الحال فإن خرق البيانات يعتبر كابوساً مزعجاً لأي مؤسسة. فلا أحد يرغب أن يواجه مثل هذه الحالات. لكن، بعيداً عن التمنيات، كيف يمكننا حقاً أن نستعد لاحتمال مواجهة data breach.
الاستعداد لـ data breach
عندما تتوقع قدوم ضيف عزيز فأنت تحضر كل ما يلزم لجعل لقاءك معه أجمل ما يمكن و تحزن جداً فيما لو طرأ تغييراً علاى جدول مواعيده منعه من القدوم. لكن في حالة الـ Data breach فالأمر مختلف. علينا أن نضع الخطط لمواجهة أي احتمال لخرق البيانات و لكن في ذات الوقت نعمل على عدم حدوث هذا الخرق بالأساس. أي أن المؤسسات تسعى لتحقيق التوازن الصحيح بين جهودها لمنع الاختراق و بناء خبرتها لإدارة الاختراق بشكل فعال فيما لو حدث فعلاً. فالمشكلة لم أنه بعد الحدث الأمني لم تعد داخلية. هناك المساهمون، الجهات الإشرافية، الإعلام و المنافسون. بشكل عام فأسباب هذا الحدث هي إما من داخل أو خارج المؤسسة. و تصنف على أنها أسباب تقنية أو مرتبطة بأخطاء بشرية مقصودة أو غير مقصودة.
يمكن للمؤسسات المعدة بشكل جيد لهذه اللحظة أن تقلل من الآثار السلبية ، و الضرر التجاري و كذلك تخفض الغرامات المحتملة التي قد تفرضها الجهات الإشرافية على المؤسسة.
إن الهدف من التفكير في السيناريوهات المحتملة التي قد تواجهها المؤسسة في موضوع خرق البيانات هو وضع خطة استجابة لهذه الحوادث محكمة و قابلة للتطبيق. سنستعرض بشكل سريع طرق الاستعداد لمواجهة خرق بيانات محتمل، وما يجب تضمينه في خطة الاستجابة للحوادث ، وماذا نفعل إذا تم انتهاك البيانات.
data breach – خطة الاستجابة للحوادث
ينبغي وضع خطة للاستجابة للحوادث لمعالجة الخرق المشتبه فيه للبيانات. تتضمن هذه الخطة سلسلة من المراحل التي تحتاج إلى معالجة محددة. مراحل الاستجابة للحوادث وفقاً لـ NIST هي:
1- Preparation-التحضير
بقاء المعنيين بمعالجة الحوادث في حالة تأهب و جرد قائمة الأصول الخاصة المعلوماتية الخاصة بالمؤسسة و تصنيفها حسب حساسية البيانات المخزنة عليها أو المعالجة من خلالها. و كذلك إنشاء خطوات مفصلة للاستجابة للحوادث للتعامل مع الهجمات الشائعة.
2- Detection and analysis– الكشف و التحليل
العمل بشكل دائم على فهم و تحليل البيانات المجمعة من أنظمة تكنولوجيا المعلومات في المؤسسة. الهدف من هذا الجهد هو تحديد العلامات التي تشير إلى حادثة مستقبلية ومؤشرات على أن الهجوم قد حدث أو يحدث حالياً.
3- Containment, Eradication, and Recovery- الاحتواء و التعافي
في هذه المرحلة تتركز جهود الفرق المعنية على استئصال سبب الحدث الأمني و احتواء ضرره و اتخاذ الاجراءات للتعافي. كأن يتم تحديد الـ IP المستخدم في الهجوم و عزله. أو أن يتم إغلاق port محدد تسلل المهاجمون عن طريقه. و كذلك استعادة الأجهزة المتضررة من الحدث الأمني لحالتها السليمة قبل الحدث و إزالة البرامج الضارة من الشبكة.
4- Post-Incident Activity- مرحلة ما بعد الحدث الأمني
فهم “الدروس المستفادة” من الحدث الأمني، ومراجعة إستراتيجيات الحفاظ على البيانات و الأدلة التي تم جمعها خلال الحدث. مما يساعد على إعادة النظر في التحضيرات لمواجهة تهديدات الأمن السيبراني المتوقعة في المستقبل. وكذلك إنشاء تقرير الحدث لاستخدامه داخلياً أو مع الجهات الخارجية المعنية.
بالمحصلة، فإن حوادث خرق البيانات تعني جميع المشتغلين بأمن المعلومات أفراداً و مؤسسات. يشمل ذلك المفهوم تسرب معلومات تسويقية لعبوة شامبو جديدة كما يشمل وقوع وثائق عسكريةبالغة الحساسية بأيدي الأعداء.
