Zarządzanie kryzysowe w firmie, która padła ofiarą cyberataku, to prawdziwy dom wariatów. Krzyki, nerwy, gigantyczna presja, telefon dzwoni nieustannie, akcje lecą na łeb na szyję, w każdej sekundzie firma traci X pieniędzy, klienci i media chcą informacji, ktoś prosi, ktoś grozi, a my w sumie nie wiemy, co dokładnie się dzieje.
Powyższe to i tak przedszkole, bo mówimy tu o uproszczonej i skróconej symulacji ataku hakerskiego, jaką zapewnił dziennikarzom IBM w swoim mobilnym centrum dowodzenia. Pomyślcie zatem, co musi dziać się w naprawdę atakowanej firmie. Nie zazdroszczę takiego charakteru pracy.
Omówmy tę naszą okrojoną symulację. Byliśmy pracownikami firmy świadczącej usługi finansowe, zespołem ulokowanym w ciężarówce. Nagle zadzwonił telefon. To dziennikarz, który znalazł dane naszej firmy w sieci. Chce sprawdzić, czy są autentyczne.
Zarządzanie kryzysowe - symulacja
Rozdzwoniło się więcej telefonów, klientowi wyświetliła się informacja o ransomware na bankomacie, chce wiedzieć, czy straci swoje pieniądze. Akcje firmy lecą na łeb na szyje, trzeba ograniczyć straty komunikacją. Dział prawny stoi na baczność, musi powiadomić regulatorów o wycieku, zabezpieczyć firmę przed ewentualnymi procesami, dział IT dwoi się i troi, by znaleźć przyczynę wycieku, sprawdzić, czy włamywacze wciąż są w firmowej sieci i mogą spowodować więcej szkód.
Na ekranie nagle leci (wcześniej odpowiednio spreparowany) materiał CNN o wycieku w naszej firmie. Telefony znów hałasują, akcje już dołują, w każdej sekundzie firma traci wymierne kwoty, o stratach wizerunkowych już nie wspomnę. Trzeba coś powiedzieć rynkowi. Przyznać, że coś jest na rzeczy, bo kłamstwo to biznesowe samobójstwo. Ale też umniejszyć skalę problemu, uspokoić klientów i inwestorów. Ale jak i co powiedzieć, skoro dział IT nie doszedł jeszcze, skąd ten wyciek?
Witamy w zarządzaniu kryzysowym. To prawdziwe piekło. Na własnej skórze przekonaliśmy się, co jest wtedy potrzebne - przywódca, lider operacji oraz plan działania. W takich sytuacjach nikt nie chce brać odpowiedzialności nawet za proste komunikaty. Atak to straty dla firmy tu i teraz, oraz miesiące - jeśli nie lata - "sprzątania" i naprawiania strat, jakie już się wydarzyły. Tu nawet nie ma czasu na myślenie, musi zadziałać pamięć mięśniowa.
Nie czekajcie na kwaterę, zaakceptujemy każdy koszt
O tym, jak to istotne, boleśnie przekonał się w 2017 roku Maersk, jeden z największych operatorów kontenerowych na świecie. Firma padła ofiarą szalejącej wówczas fali WannaCry, oprogramowania typu ransomware, szyfrującego dane zainfekowanej maszyny. Przestępcy domagają się okupu za ich deszyfrację. W wyniku ataku firma została kompletnie sparaliżowana na dziesiątkach różnych płaszczyzn. Dramat takiej sytuacji oddaje krótki komunikat, jaki przesłano w wewnętrznej komunikacji Maerska zaraz po ataku.
Róbcie cokolwiek, co waszym zdaniem jest słuszne, by służyć klientom. Nie czekajcie na kwaterę główną, zaakceptujemy koszt [waszych decyzji i działań - przyp. red.].
Jak mówi ekspert ds. cyberbezpieczeństwa IBM, Erno Doorensplit, jeden z pomysłodawców mobilnego centrum dowodzenia, 77 proc. przebadanych na zlecenie koncernu firm nie ma żadnego planu na ewentualność ataku. Są niemal bezbronne.
Z tych, które plan mają, połowa zatrzymała się na planowaniu teoretycznym i nie przetestowała go nigdy w żadnej symulacji. A można wyczytać w teorii, jak nauczyć się pływać, można obejrzeć lekcję na YouTube, co nie znaczy, że dzięki temu nabędziemy tę umiejętność.
Nie "czy", tylko "kiedy"
Projekty, takie jak X-Force Command pomagają optycznie uświadomić sobie krajobraz (nie)bezpieczeństwa cyfrowego. Bo możemy pisać, co ile godzin na świecie atakowana jest firma, ile traci pieniędzy. Możemy napisać, że tylko w 2017 roku firmy straciły w wyniku cyberataków łącznie astronomiczną 445 mld dol., a to wciąż będzie tylko liczba, gdzieś tam odległa, zbiorowa, czyli mniej groźna, bo "mojej firmy to przecież nie dotyczy" lub "kto by tam chciał mnie atakować". Tymczasem eksperci od cyberbezpieczeństwa, krajowi i zagraniczni, jak branża długa i szeroka, powtarzają, że atak to nie kwestia "czy", tylko "kiedy".
Jak mówi Erno Doorensplit, szczególnie ważna rola to nauczanie. To projekt komercyjny, IBM prowadzi w nim szkolenia z reagowania kryzysowego i symulacji ataków. Całość, zarówno samo centrum, jak i poszczególne metody ataków, zaadoptowano z amerykańskiej armii. W projekt zaangażowani są emerytowani oficerowie wojska.
Co znajdziemy na pokładzie ciężarówki? Własne centrum danych - klaster postawiony na 100 TB macierzy SSD, chłodzony układem o wydajności 10 ton, własny generator prądu, który da radę zasilić duży dom (47 kW), każdy istniejący rodzaj łączności, w tym prywatny kanał satelitarny, ponad 20 komputerów, ponad 6 km okablowania. Oto 23 tony informatycznej wspaniałości. To jedyna taka ciężarówka na świecie, krąży tylko po Europie.
Na marginesie, by dopełnić wspomnianą wyżej perspektywę krajobrazu (nie)bezpieczeństwa, przywołajmy tu Amazon Snowmobile. To wielki pendrive na kółkach. Potężny tir służący do migracji danych firmowych do chmury Amazona, ochraniany zbrojnym konwojem. Tak, dane, odpowiednio wykorzystane, mogą być cenniejsze niż złoto.