Als er een aanval op het land is, het leger mobiliseert. Wanneer een natuurramp toeslaat, herstelplannen treden in werking. Mocht een besmettelijke ziekte zich gaan verspreiden, gezondheidsfunctionarissen lanceren een inperkingsstrategie.

Reactieplannen zijn van cruciaal belang voor herstel in noodsituaties, maar als het gaat om cyberbeveiliging, een meerderheid van de industrieën let niet op.

"De realiteit is hoe geweldig je ook bent met je preventiemogelijkheden, je wordt gehackt, " zei Mohammed Jalali, een onderzoeksfaculteitslid bij MIT Sloan wiens werk momenteel gericht is op volksgezondheid en organisatorische cyberbeveiliging. "Wat ga je dan doen? Heb je al een goed responsplan dat continu wordt bijgewerkt? En zijn communicatiekanalen gedefinieerd, en de verantwoordelijkheden van belanghebbenden zijn gedefinieerd? Meestal is het antwoord in de meeste organisaties nee."

Om zwakke plekken in de cyberbeveiliging in organisaties aan te pakken, Jalali en collega-onderzoekers Bethany Russell, Sabina Razak, en Willem Gordon, bouwde een acht geaggregeerd raamwerk voor responsstrategieën. Ze noemen het OREN.

Jalali en zijn team hebben 13 tijdschriftartikelen over cyberbeveiliging en gezondheidszorg beoordeeld om EARS te ontwikkelen. Hoewel de zaken betrekking hebben op zorginstellingen, de strategieën kunnen van toepassing zijn op verschillende industrieën.

Het EARS-raamwerk is verdeeld in twee helften:pre-incident en post-incident.

Pre-incident:

1—Opstelling van een incidentresponsplan:dit plan moet stappen voor detectie, onderzoek, insluiting, uitroeiing, en herstel.

"Een van de veelvoorkomende zwakheden van organisaties is dat ze een incidentresponsplan opstellen, maar het probleem is dat documentatie meestal erg generiek is, het is niet specifiek voor de organisatie, " zei Jalali. "Er is geen duidelijke, specifiek, bruikbare lijst met items."

Zorg ervoor dat iedereen in de organisatie het plan kent, niet alleen de medewerkers van de IT-afdeling. Stel duidelijke communicatiekanalen in, en bij het toewijzen van verantwoordelijkheden, zorg ervoor dat ze duidelijk zijn gedefinieerd.

2—Opstelling van een informatiebeveiligingsbeleid om afschrikkend te werken:Duidelijk gedefinieerde beveiligingsstappen stellen naleving vast en stimuleren deze.

"Veel bedrijven denken dat compliance veiligheid is, "Zei Jalali. "[Dat] als je gewoon de informatie volgt, zal er voor je gezorgd worden."

Leg de lat niet zo laag dat de organisatie niet veilig is. Regelgeving moet zorgen voor inzicht in cyberdreigingen. Stel motiverende redenen vast voor de responsteams om het rapportagebeleid te volgen. Compliance moet hand in hand gaan met continue verbetering.

3—Betrokkenheid van belangrijk personeel binnen de organisatie:ongeacht de grootte van een organisatie, belangrijke leiders moeten worden voorgelicht over het belang van cyberbeveiliging en klaar zijn om te handelen volgens het reactieplan.

Leiders hoeven geen experts op het gebied van cyberbeveiliging te zijn, maar ze moeten de impact begrijpen die een incident op hun organisatie zal hebben. Hoe beter geïnformeerd ze zijn, hoe meer ze betrokken kunnen zijn bij een responsplan.

4—Regelmatig schijntesten van herstelplannen:Hersteloefeningen helpen organisaties bij het stresstesten van plannen en trainen medewerkers in juiste reactieprotocollen.

Als de organisatie haar herstelplan alleen test tijdens een daadwerkelijke noodsituatie, het zal waarschijnlijk ernstige problemen opleveren, die de hoeveelheid schade veroorzaakt door het cyberincident zou kunnen vergroten.

De verschuiving van een reactieve naar een proactieve houding kan een organisatie helpen zwakke punten of hiaten in haar herstelplan te identificeren, en pak ze aan voordat zich een incident voordoet.

Post-incident:

5—Indamming van het incident:Indamming omvat zowel proactieve als reactieve maatregelen.

Het is gemakkelijker om geïnfecteerde apparaten van een netwerk af te sluiten als ze al zijn gesegmenteerd van andere apparaten en verbindingen, voorafgaand aan een incident.

De onderzoekers geven toe dat het niet altijd mogelijk is om netwerken te segmenteren, noch om het onmiddellijk los te koppelen van het hele systeem. Op z'n minst, meld het geïnfecteerde apparaat onmiddellijk aan het IT-team van de organisatie om het incident in te dammen.

6—Geïntegreerde ethiek en betrokkenheid van anderen buiten de organisatie:het is belangrijk om te onthouden dat alle belanghebbenden van een organisatie kunnen worden getroffen door een cyberincident.

Breng juridisch adviseurs en relevante regelgevende en wetshandhavingsinstanties onmiddellijk op de hoogte. Overweeg hulp van externe bronnen en deel informatie over de cyberdreiging.

7—Onderzoek en documentatie van het incident:wees tijdig en grondig; elke stap van de pre- en post-incidentreactie moet worden gedocumenteerd.

Het onderzoek moet gericht zijn op het vinden van de onderliggende technische oorzaak van het probleem, evenals zwakke punten die toekomstige aanvallen kunnen voorkomen. Een goede documentatie is een noodzaak voor deze analyse.

8—Constructie van een schadebeoordelings- en herstelalgoritme:organisaties moeten zichzelf na het incident evalueren.

Terwijl computers de plaats zijn waar cyberaanvallen plaatsvinden, ze kunnen ook worden gebruikt om te helpen bij het herstel. Organisaties kunnen gebruikmaken van de kracht van computers, vooral kunstmatige intelligentie, voor realtime detectie en inperking van incidenten.

"De veelgebruikte kaders voor strategieën voor incidentrespons missen vaak deze essentiële stap, "Jalali zei, "ook al zijn er al op AI gebaseerde producten voor dit doel."