يمكن أن تتسبب حوادث أمن المعلومات information security incident في تعرض أنظمة المنظمة لأضرار جسيمة. كما أنها يمكن أن تؤدي لانقطاع الأعمال بشكل كبير أو تعرض المؤسسات لإجراءات قانونية قد تهدد بقاءها في السوق.
إن حوادث أمن المعلومات متنوعة للغاية وتشمل أي حدث يمكن أن يضر بحماية معلومات منظمة الأعمال. قد يكون ذلك حادثاً سببه شخص ما داخل المنظمة (تهديد من الداخل) أو شخص خارج المنظمة. كما أن الحادث بحد ذاته قد يكون صدفة أو عمل مقصوداً.
أمثلة عن الـ information security incident :
لنفترض أن موظفاً مهملاً قد أضاع قرص تخزين عليه معلومات حساسة خاصة بمؤسسته. من المؤكد أن حدثاً كهذا سيسبب وقوع ضرر على المؤسسة. لكن حجم الضرر و تأثيره يرتبط بطبيعة المعلومات المخزنة على ذلك القرص. يمكن أن تقع المعلومات في أيدي منافسين تجاريين أو أن تتسرب للإعلام فتؤثر على سعر أسهم المؤسسة. أو يمكن أن تستخدم لتصميم هجمات سيبرانية تهدد استقرار خدمات هذه المؤسسة. و تتعدد الأمثلة على الحوادث الأمنية. فقد تكون فشلاً في النظام أو عطل بسبب نقص الصيانة ، أو برامج ضارة استغلت فشل التحديث الدوري لبرامج مكافحة الفيروسات. وقد يكون الحادث مرتبطاً بالأمن الفيزيائي مما سمح لبعض الأشخاص غير المصرح لهم بدخول منطقة آمنة محظورة عليهم.
الاستجابة لحوادث أمن المعلومات
كما نعلم فإن شدة الحدث incident قد تكون طفيفة أو كبيرة. كما أن تواتر هذه الحوادث يختلف، فقد تقع بشكل يومي ، اسبوعي ، شهري. و قد تقع في أي وقت في ظل عدم اليقين الذي يكتنف ظروف تشغيل المؤسسات في بعض البلدان. لذلك من المهم أن يكون لدى المعنيين إجراء واضح للتعامل مع الأحداث عند وقوعها.
بشكل عام يجب التأكد من الاستجابة للحوادث في الوقت المناسب. ولكن وفقاً لطبيعة عمل كل مؤسسة فإن بعض الحوادث يتم إعطائها أولوية أعلى. إن تباطؤ منظمات الأعمال في اتخاذ الإجراءات المناسبة لاحتواء الحوادث سيفاقم المشكلة ويزيد كلفة إصلاح الضرر. يعد التوقيت أمراً حيوياً فيما يتعلق بحماية المؤسسة من حوادث أمن المعلومات.
إن الاستجابة الفعالة للحوادث تتضمن عدة خطوات هامة.وهي نشاط مستمر يتم فيه استخلاص الدروس و العبر للاستفادة منها مستقبلاً في تقليل تكرار هذه الحوادث أو في تحسين الاستجابة لها بأقل الأضرار الممكنة. و يمكن أن نلخص هذه الخطوات كما يلي:
اكتشاف الحدث الأمني
: قد يتم ذلك آلياً عبر الأدوات التقنية التي ترسل تنبيهات عند وقوع أي حدث أمني. أو يمكن أن يكون ذلك عن طريق عمليات الإبلاغ من المستخدمين.
الاستجابة لحوادث أمن المعلومات
تكون الاستجابة حسب خطورة الحدث الأمني. يسمى فريق الاستجابة عادة CIRT. كلما كانت المنظمة أسرع في الاستجابة للحوادث كلما كان الضرر أقل.
التخفيف من الضرر
تتركز الجهود في هذه المرحلة على التخفيف من حدة الضرر و نطاق تأثير الحدث الأمني. كأن يتم عزل الجهاز المصاب ببرمجية خبيثة مثلاً لمنع انتشار ما أصابه إلى أجهزة أخرى سليمة موصولة معه على الشبكة.
الإبلاغ عن حوادث أمن المعلومات
في بعض البلدان، هناك ضرورة لإبلاغ الجهات القانونية عن أي حدث أمني يؤثر على بيانات المستخدمين أو خصوصيتهم. لذلك تعتبر هذه اللخطوة إجبارية و مهمة جداً. و في بعض الأحيان تفشل المؤسسات في الإبلاغ عن الحوادث بسبب فشلها في تحديد تلك الحوادث و التعرف عليها في الوقت المناسب مما قد يعرضها لمساءلة قانونية.
الاستعادة
يعمل فريق العمل على استعادة الأنظمة المتضررة إلى حالتها السابقة السليمة السابقة للحدث الأمني. قد يتم ذلك باستخدام نسخة احتياطية من النظام مثلاً. و تبرز في هذه المرحلة أهمية وجود برنامج لإدارة التغييرات في المؤسسة. حيث يتم تسجيل كل التعديلات التي تطرأ على الأنظمة بشكل يسهل استعادتها لآخر نسخة فعالة وظيفياً عند الحاجة.
مرحلة معالجة أسباب الحدث الأمني
تهدف هذه الخطوة لمعرفة السبب الجذري الذي أدى لوقوع الحدث الأمني. كأن يتم مثلاً تحليل الثغرة الأمنية التي قام المتسللون باستغلالها لتحقيق الاختراق و بالتالي إغلاق مثل هذه الثغرة في حال كانت موجودة على أنظمة أخرى.
الدروس المستفادة
يبحث المعنيون عن أي دروس يمكن تعلمها من هذا الحدث الأمني لمنع وقوعه مستقبلاً أو تحسين طريقة الاستجابة لأحداث مشابهة له عبر تقليل وقت الاستجابة وتطوير أنظمة الاكتشاف.
كلما كانت المؤسسة أكثر قدرة على التعلم من الحوادث كلما كانت مرونتها أعلى في مواجهة التحديات الأمنية المستجدة في عالم اليوم.