Các tổ chức nên ứng phó thế nào trước một cuộc tấn công mạng tinh vi

Khi xảy ra sự cố an ninh mạng, các tổ chức cần sẵn sàng ứng phó nhanh chóng và chính xác. Chúng tôi khám phá ra năm bước quan trọng.

Đối phó với sự cố an ninh mạng phức tạp đòi hỏi việc điều tra tổng thể để hỗ trợ công tác phục hồi, khắc phục, đảm bảo tuân thủ, pháp lý và các hoạt động liên quan khác. Các tổ chức cần tiến hành các cuộc điều tra một cách đầy đủ, nhanh chóng và chính xác. Mặt khác, những tác động liên quan đến tài chính và uy tín có thể rất lớn, bao gồm nhưng không giới hạn ở các nguy cơ thiệt hại về doanh thu do gián đoạn kinh doanh, tổn thất vì các chế tài xử phạt do không tuân thủ theo quy định, và mất niềm tin của khách hàng.

Trong trường hợp xảy ra một cuộc tấn công mạng lớn và phức tạp, sẽ có nhiều bên liên quan bị ảnh hưởng. Sự tham gia của các bên trong các hoạt động phản ứng lại là rất quan trọng. Tuy nhiên, một phản ứng được coi hiệu quả và kịp thời đòi hỏi nhiều hơn việc tham gia của các bên - đó là sự hợp tác chặt chẽ và liên tục 24/7. Chỉ khi các bên liên quan làm việc một cách hiệu quả với nhau, các phản ứng mới đảm bảo kịp thời, chính xác và tiết kiệm chi phí.

Có một điều rất phổ biến là các doanh nghiệp thường liên kết với một đối tác bên thứ ba để giúp quản lý các hoạt động ứng phó trong trường hợp xảy ra một cuộc tấn công mạng lớn. Bên thứ ba cần sở hữu các điều kiện pháp lý, tuân thủ và kinh nghiệm điều tra chuyên sâu để có thể giao tiếp hiệu quả với tất cả các bên liên quan. Họ giúp tiến hành điều tra kịp thời và toàn diện, hỗ trợ đảm bảo kế hoạch kinh doanh liên tục được vận hành một cách chính xác, thực hiện kết nối tất cả các bên liên quan và quản lý tập trung các câu hỏi nhận được từ bên ngoài và nội bộ trong khi sự cố tiếp tục diễn ra trong nhiều ngày, nhiều tuần hoặc thậm chí nhiều tháng.

Việc xây dựng một kế hoạch xử lý các vấn đề an ninh mạng tập trung là rất quan trọng để tập hợp các bên liên quan lại với nhau, bởi họ có thể có những ưu tiên khác nhau nhưng bắt buộc phải hợp tác với nhau để giải quyết các cuộc tấn công mạng. Hãy cùng tìm hiểu vai trò của họ.

• Hội đồng quản trị: Giám sát rủi ro là một chức năng của tất cả thành viên hội đồng quản trị. Hội đồng quản trị giám sát chiến lược ứng phó với sự cố an ninh mạng, bao gồm việc trao đổi với nhân viên, với công chúng, với các cổ đông, và nhiều khả năng là với cơ quan thực thi pháp luật. Hội đồng quản trị (hoặc ủy ban kiểm toán) cũng cần phải làm việc chặt chẽ với giám đốc tài chính và kiểm toán viên bên ngoài.
• Giám đốc tài chính: Giám đốc tài chính có trách nhiệm xác minh tính toàn vẹn của các biện pháp kiểm soát tài chính và dữ liệu của công ty, nắm rõ tác động tài chính bất lợi tiềm ẩn nếu sự cố an ninh mạng xảy ra, và đưa ra quyết định công bố thông tin tài chính một cách phù hợp trong các hồ sơ liên quan. Tất cả những điều này đều có tác động trực tiếp đến mối quan hệ của hội đồng quản trị với các cổ đông và công chúng.
• Pháp chế: Pháp chế có vai trò tích cực khi phối hợp với các cơ quan điều tra trong các vấn đề thực tế như thu thập bằng chứng, phân tích nguyên nhân gốc rễ và khám phá, tìm kiếm thông tin lưu trữ ở dạng điện tử. Pháp chế thường đi đầu trong việc phối hợp với các nhà quản lý và tư vấn bên ngoài. Họ phải nhanh chóng xác định các quy trình cần tuân thủ và các tác động pháp lý của sự cố an ninh mạng để có thể phối hợp hiệu quả với các đối tác liên quan bên ngoài.
• Truyền thông: Các nhóm truyền thông nội bộ và bên ngoài đóng vai trò rất quan trọng để đảm bảo sự cố an ninh mạng được truyền đạt chính xác tới những đối tượng có thể bị ảnh hưởng như nhân viên, khách hàng, cổ đông và các đối tác bên thứ ba. Nếu được đào tạo đúng cách, nhân viên có thể giúp tạo điều kiện thuận lợi cho việc điều tra và thực hiện các biện pháp cần thiết để ngăn chặn sự cố lan rộng. Truyền thông kịp thời cho công chúng là rất quan trọng để khôi phục và gây dựng lại niềm tin vào khả năng quản trị rủi ro an ninh mạng của tổ chức, và giảm thiểu tác động tiêu cực của sự cố tới hoạt động và khách hàng.
• Tuân thủ và đạo đức: Giám đốc tuân thủ (CCO) chịu trách nhiệm đánh giá rủi ro tuân thủ theo quy định trong trường hợp bị tấn công mạng mà có thể liên quan đến việc bảo vệ dữ liệu và quyền riêng tư hoặc quy định cụ thể của ngành. Một cuộc tấn công mạng lớn thường xảy ra trên nhiều quốc gia hoặc khu vực pháp lý; CCO có thể đối mặt với những thách thức trong việc giải quyết sự bất đồng - và thậm chí là xung đột - giữa các khu vực pháp lý. CCO phải làm việc chặt chẽ với các chuyên gia về quyền riêng tư, bộ phận pháp lý, hội đồng quản trị và đội ngũ điều hành khi họ quản lý các vấn đề này.
• Giám đốc an ninh (CSO): Nhiều tổ chức lớn thuê một giám đốc an ninh (CSO) là người chịu trách nhiệm chính trong việc bảo vệ tài sản – bao gồm cả tài sản vật chất, CNTT, sở hữu trí tuệ hay con người – khỏi các mối đe dọa, như do vô tình hay hữu ý của người trong nội bộ, tội phạm chuyên nghiệp hoặc các nhóm tội phạm được nhà nước tài trợ. Theo quy định của ngành nghề, chính phủ, các hợp đồng quốc phòng và các dịch vụ cơ sở hạ tầng quan trọng của quốc gia, các CSO thường chịu trách nhiệm về việc tuân thủ luật pháp quốc gia để thực thi các công việc đảm bảo an ninh như là một phần trong “giấy phép hoạt động” của tổ chức.
• CISO: Giám đốc an ninh thông tin (CISO) hợp tác chặt chẽ với đội ngũ điều tra để nhanh chóng xác định nguyên nhân gốc rễ của cuộc tấn công, tìm hiểu phạm vi ảnh hưởng và đánh giá tác động rủi ro – bao gồm dữ liệu bị đánh cắp, các hệ thống bị ảnh hưởng và mức độ thâm nhập - để ngăn chặn và xóa sổ các mối đe dọa, thực hiện các hoạt động khắc phục hậu quả. ·       Các CISO cũng cần cẩn thận nghiên cứu các kết quả điều tra và thu thập thông tin hữu ích để rút ra bài học kinh nghiệm với mục đích cải thiện chiến lược an ninh thông tin và tăng cường hiệu quả xử lý sự cố an ninh mạng trong tương lai của công ty.