أحد الأهداف الأساسية لأي برنامج حماية هو منع الحوادث الأمنية. وعلى الرغم من الجهود التي يبذلها متخصصو تكنولوجيا المعلومات وخبراء الحماية إلا أن الحوادث ما زالت تقع باستمرار. لذا من الضروري أن تكون الشركة أو المنظمة قادرة على الاستجابة لأي حادث والعمل على احتوائه.
الهدف الأساسي من الاستجابة للحوادث هو التقليل أو الحد من التأثير الخاص بالهجوم او الحادثة الأمنية على المنظمة أو الشركة.
تعرفنا في الجزء الأول من هذه السلسة على الحوادث الأمنية وطرق اكتشافها. في هذا المقال سنتابع التعرف على المراحل التالية وهي “الاستجابة” و “التخفيف” و “الإبلاغ”.
الاستجابة Response :
بعد اكتشاف الحادث والتحقق منه فإن الخطوة التالية هي الاستجابة. قد تختلف الاستجابة تبعاً لخطورة الحادث. يوجد لدى العديد من المؤسسات فريق مخصص للاستجابة للحوادث، يُطلق عليه فريق الاستجابة لحوادث الحاسب (CIRT – Computer Incident Response Team) ، أو فريق الاستجابة لحوادث أمان الحاسب (CSIRT – Computer Security Incident Response Team).
تقوم المنظمة أو الشركة بتفعيل هذا الفريق أثناء وقوع حادث أمني كبير. ولكنها لا تقوم عادة بتفعيل هذا الفريق للحوادث البسيطة.
توثق خطة الاستجابة الرسمية للحوادث الموجودة ضمن سياسة الحماية الخاصة بالشركة. و تحدد من سيقوم بتفعيل هذا الفريق وتحت أي ظروف يتم هذا الأمر.
يتم تدريب أعضاء هذا الفريق على الاستجابة للحوادث والخطة المنظمة لعملية للاستجابة. وعادة ما يساعد أعضاء هذا الفريق في عملية التحقيق في الحادث وتقييم الضرر وجمع الأدلة والإبلاغ عن الحادث وإجراءات الاسترداد. كما يشاركون في مراحل العلاج والدروس المستفادة ويساعدون في تحليل الأسباب المسببة لهذا الحادث.
الزمن ليس في صالحك
كلما أسرعت المنظمة أو الشركة في الاستجابة لحادثة ما كلما زادت فرصتها في الحد من الضرر. وبالمقابل إذا استمر الحادث لساعات أو أيام فمن المرجح أن يكون الضرر أكبر. فقد يحاول المهاجم حينها الوصول إلى قواعد البيانات أو المعلومات الحساسة الأخرى أو من الممكن أن يقوم بتوسيع الهجوم والوصول إلى أجهزة أخرى.
يمكن أن تمنع الاستجابة السريعة المهاجم من الحصول على أي بيانات حساسة أو مهمة . ومع ذلك إذا تمكن المهاجم من الحصول على امكانية الوصول المستمر دون أي عائق إلى قاعدة البيانات لعدة ساعات أو أيام فقد يتمكن من الحصول على نسخة من قاعدة البيانات بأكملها.
بعد انتهاء عملية التحقيق قد تقرر الإدارة مقاضاة الأفراد المسؤولين. لهذا السبب من المهم حماية جميع البيانات كدليل رقمي إذا كان هناك أي احتمال للمقاضاة. لذلك، يجب أن يتخذ أعضاء الفريق خطوات إضافية لحماية الأدلة الرقمية و هذا يضمن إمكانية استخدام هذه الأدلة في الإجراءات القانونية.
يجب عدم إيقاف تشغيل أجهزة الحاسب عند القيام بعملية احتواء الحادث لأن هذا الأمر سيؤدي إلى فقدان الملفات والبيانات المؤقتة الموجودة في ذاكرة الوصول العشوائي (RAM). على العكس من ذلك، يمتلك خبراء التحليل الجنائي الرقمي أدوات يمكنهم استخدامها لاسترداد البيانات في الملفات المؤقتة وذاكرة الوصول العشوائي RAM طالما النظام يعمل. وبالمقابل يتم فقدان هذا الدليل إذا قام شخص ما بإيقاف تشغيل الجهاز
تقليل الضرر -Mitigation:
الهدف من هذه المرحلة هو تخفيف الآثار والعمل على احتواء الحادث. أحد الأهداف الأساسية للاستجابة الفعالة للحادث هو الحد من تأثير أو نطاق هذا الحادث. على سبيل المثال إذا كان الجهاز المصاب يرسل البيانات عبر كرت الشبكة (NIC) فيمكن العمل على تعطيل كرت الشبكة NIC أو فصل الكبل المتصل به.
وقد تتضمن عملية الاحتواء في بعض الحالات فصل أو عزل الشبكة عن الشبكات الأخرى المتصلة بها لاحتواء المشكلة داخل شبكة واحدة. وعندما يتم عزل المشكلة يمكن لفريق الحماية معالجتها دون القلق من انتشارها إلى أي مكان جديد في الشبكة. في بعض الحالات قد يتم اتخاذ خطوات للتخفيف من حدة الحادثة ولكن دون إعلام المهاجم بأنه تم اكتشاف الهجوم، يسمح هذا الأمر لفريق الحماية بمراقبة أنشطة المهاجم وتحديد نطاق الهجوم.
الإبلاغ عن الحوادث الأمنية- Reporting:
الهدف من هذه المرحلة هو الإبلاغ عن الحوادث الأمنية داخل المنظمة إلى الجهات الادارية العليا أو إلى المنظمات والأفراد خارج المنظمة. وعلى الرغم من عدم وجود حاجة للإبلاغ عن إصابة طفيفة بالبرامج الضارة إلى الرئيس التنفيذي للشركة (CEO) إلا أن الإدارة العليا تحتاج إلى أن تبقى على إطلاع حين يتعلق الأمر بالانتهاكات الأمنية الخطيرة.
على سبيل المثال: أصاب هجوم WannaCry ransomware في عام 2017 أكثر من 230 ألف جهاز حاسب في أكثر من 150 دولة في غضون يوم واحد. و تم تشفير الملفات وعرض رسالة مفادها “عفواً ، تم تشفير ملفاتك ” وقد أصاب هذا الهجوم أجزاء من خدمة الصحة الوطنية في المملكة المتحدة NHS – National Health Service مما أجبر بعض الخدمات الطبية على العمل في حالات الطوارئ.
نظراً لأن موظفي تكنولوجيا المعلومات علموا بتأثير هذا الهجوم فقد بدأوا في إبلاغ المشرفين والمسؤولين من الإدارات العليا ومن المحتمل جداً أن يكون هذا التقرير قد وصل إلى المديرين التنفيذيين في نفس اليوم الذي وقع فيه الهجوم.
غالباً ما يكون لدى المنظمات متطلبات قانونية للإبلاغ عن بعض الحوادث خارج المنظمة. قامت معظم البلدان بسن قوانين خاصة للتعامل مع حالات الخروقات الأمنية ومعظمها ينطبق على البيانات الحساسة المحفوظة في أنظمة المعلومات. و تتضمن هذه القوانين مطلب واضح للإبلاغ عن الحادث و خاصةً إذا كشف الخرق الأمني عن بيانات العملاء.
مخاطر المعلومات الشخصية
تختلف القوانين من مكان إلى آخر. ولكن جميعها تسعى إلى حماية خصوصية السجلات والمعلومات الفردية وحماية هويات المستهلكين ووضع معايير للممارسات المالية وحوكمة الشركات.
يقع على عاتق كل منظمة مسؤولية معرفة القوانين التي تنطبق عليها والالتزام بهذه القوانين. فالعديد من البلدان لديها قوانين محددة خاصة بحماية معلومات التعريف الشخصية (PII – Personal Identifiable Information). إذا أدى خرق البيانات إلى كشف معلومات تحديد الهوية الشخصية فيجب على المؤسسة الإبلاغ عنها. القوانين المختلفة لها متطلبات إبلاغ مختلفة و لكن معظمها يتضمن مطلب لإعلام الأفراد المتضررين من الحادث.
إذا أدى هجوم على نظام ما إلى حصول المهاجم على معلومات تحديد الهوية الشخصية فإن مالك النظام يتحمل مسؤولية إبلاغك بالهجوم والبيانات التي وصل إليها المهاجمون.
لم يتم الإبلاغ عن العديد من الحوادث لأنه لم يتم التعرف عليها على أنها حوادث. ويكون هذا الأمر غالباً نتيجة التدريب الغير الكافي و الحل هنا هو ضمان حصول الأفراد على التدريب المناسب و يجب أن يتعلم الأفراد من التدريب كيفية التعرف على الحوادث وما يجب عليهم القيام به كالاستجابة الأولية وكيفية الإبلاغ عن الحادث.