關於草擬網絡安全危機管理應變計劃的指引 –六大關鍵因素和六大關鍵步驟

「危機管理的秘訣不在於好壞二字,它是阻止壞情況變得更壞。」- Andy Gilman

引言

縱觀全球,網絡攻擊不斷激增,對機構來說,制定適用的網絡安全危機管理應變計劃(「應變計劃」),能帶來生死截然不同的結果。

應變計劃,機構的資訊技術團隊可倚靠的一套工具和指引,可幫助找出(觀察)網絡安全威脅,進行定位,及在消除(行動)網絡安全威脅後恢復正常。

機構制定上述計劃,當發生網絡攻擊時,亦可減輕機構資訊技術人員拖延時間(由於驚慌所致)的風險,作出適當反應。這樣,機構就能夠減低網絡威脅造成的損害,包括但不限於遺失資料、資料被濫用及客戶對機構失去信心。

應變計劃是有用的,但沒有計劃是不用小組執行而又有用的。由此說來,任何機構都需要擁有一支網絡安全危機應變小組(「應變小組」),這跟制定應變計劃同樣重要。

為甚麼你需要網絡安全危機管理應變計劃?

事故應變計劃是保護資料所必不可少的。這一點再三強調也不為過。這種保護(通常在大多應變計劃概述的)總包括建立安全備份的程序(這可減少服務中斷)、利用日誌和自動安全警報來偵測惡意活動、利用身份及接達管理減低內部威脅,以及運用修補程式管理。

倘若發生資料外洩,大多數客戶會把業務轉到其他公司(又或者針對資料外洩的機構提出訴訟)。基於這個事實,如果網絡安全出現漏洞但公司沒有迅速、有效、妥當地處理,除了面對訴訟,承擔疏忽法中適用於網絡安全的法律責任外,還得面對丟失生意的實際風險。就上市公司來說,如果公司網絡遭受毀滅性的攻擊,投資者可能對公司大失信心(引致股價波動)。

反過來說,備妥穩當的應變計劃和運作正常的應變小組,機構必能得到下列好處:

  • 加強資料保護:資料得到妥當保護意味機構有妥善備份,這可理解為,即使有更糟的情況出現,也「沒有停止服務時間」(例如展開備份作業)。
  • 聲譽昭著:有效並及時採取應變行動,顯示機構一直致力保護私隱(即使做法是先發制人)。如果機構遭受攻擊,客戶總有一天會發現的。
  • 降低成本:成立計劃可能成本高昂,不過,相比罰款及∕或民事訴訟、進行調查和賠償客戶的金額,完全算不得甚麼。預防勝於治療。

適用於應變計劃的重要準則

任何機構,想有一套有效的應變計劃的,「一定要具備」以下要素:

  1. 高級管理層的參與:自上而下參與計劃是成功的鑰匙。管理層參與計劃,不僅資訊技術團隊可得到所需要的資源,而且能夠正式組成技術督導委員會;
  2. 恆常進行漏洞測試:如果沒有應變小組,應變計劃並不怎麼有用。應變小組的效能建基於小組人員接受過怎麼樣的訓練。經常演習,確保應變計劃妥當地執行,並且把安全漏洞找出來;
  3. 保持平衡:應變計劃太死板可能意味一件事:突如其來的可變因素得不到處理。反過來說,計劃彈性太大(亦稱為含糊)會導致含混不清。計劃仔細周詳,低層人員就能夠視乎情況主動採取適當的應變行動。這是成功的關鍵。
  4. 建立溝通渠道:這一部份經常被看漏眼。危機管理的關鍵是,人人都清楚知道自己應向誰人報告(及作出應變)。譬如說,在指引列明向資訊技術、管理層或公關部門提交的應該是些甚麼資料。
  5. 利益相關者名單:這涉及到應變小組的訓練。通常大機構(甚至是小企業)的利益相關者清單往往會改變,不過改變與否,也取決於網絡攻擊所針對的機構資源。
  6. 基本要素清晰易明:取得應變計劃「範本」的想法是機構最大的問題之一。這些範本通常對某些機構是效率低,行不通的。KISS(保持愚蠢,保持簡單)的概念是經過時間驗證的原則。機構理應做出一個合用的應變計劃來。

總結

總要記住,機構得持續不斷地保護網絡安全。因此,應變計劃應當能夠把以下步驟編制成應變步驟:

  1. 預備和預防工作:應在合適地方設置保安系統。把應變行動編制成應變步驟,可確保機構即使遭到攻擊也能繼續運作。
  2. 找出漏洞:應當找出安全漏洞。識別到發生真實事故後,應自動作出「何人、何地、甚麼、怎麼、為甚麼」的回應記錄(以找出攻擊者及保留證據用於法律行動)
  3. 遏止威脅:在偵測到威脅的情況下,應變小組應當不用輸入些甚麼就開始遏止威脅,阻止損害擴大。
  4. 根絕威脅:遏止識別到的威脅時,應當採取適當步驟阻截入侵及移除惡意軟件。如果有做備份,必須確保備份沒有受到感染。
  5. 恢復正常:應當執行復原計劃,計劃須確保備份妥當地連到線上。
  6. 吸取教訓:阻止攻擊但不處理安全漏洞的問題,等於白白錯過把問題解決的機會。不斷學習,獲益良多。

 

Jurisdictions: 

香港事務律師

朱喬華是一個香港事務律師,專注於訴訟和另類排解糾紛程序。

他的經驗包括在香港首宗涉及加密貨幣的訴訟中代表成功的一方,以及在世界貿易組織政府採購協議下代表醫療保健行業在審查機構面前挑戰政府的招標結果。

在成為律師之前,朱律師曾在醫療行業工作,擔任私立醫院的資訊科技部門主管並監督採購業務。