Οι Οργανισμοί χρειάζονται λειτουργία επιβίωσης
Στην επόμενη μεγάλη κυβερνοεπίθεση, ο οργανισμός σας ίσως να μην χρειαστεί απλώς να ανακάμψει. Ίσως χρειαστεί να συρρικνωθεί.
Όχι μόνιμα. Όχι στρατηγικά. Αλλά χειρουργικά.


Παναγιώτης Καλαντζής
Cyber Security & Privacy Expert
ISC2 Hellenic Chapter BoD Member
Αυτή είναι η άβολη πραγματικότητα που πολλές διοικητικές ομάδες εξακολουθούν να αποφεύγουν. Τα περισσότερα σχέδια κυβερνοανάκαμψης θεωρούν ότι ο στόχος του οργανισμού μετά από μια επίθεση ransomware, μια καταστροφική εισβολή ή μια παραβίαση ταυτότητας είναι να «επιστρέψει στην κανονικότητα» όσο το δυνατόν γρηγορότερα. Όμως, σε μια σοβαρή κυβερνοκρίση, η κανονικότητα μπορεί να μην είναι. Τα συστήματα προς επαναφορά μπορεί να μην είναι αξιόπιστα. Τα αντίγραφα ασφαλείας μπορεί να είναι κατεστραμμένα ή ελλιπή. Το επίπεδο ταυτότητας που παρέχει πρόσβαση στην επιχείρηση μπορεί να έχει ήδη παραβιαστεί. Η βιασύνη να ανακτηθούν τα πάντα μπορεί να γίνει ο ταχύτερος τρόπος για να ξαναμπεί ο επιτιθέμενος μέσα στον οργανισμό.
Γι’ αυτό κάθε οργανισμός πρέπει να ορίσει την Minimum Viable Company εκδοχή του: την μικρότερη λειτουργική εκδοχή της επιχείρησιακής λειτουργίας που μπορεί να υποστηρίζει το σκοπό, να ανταποκρίνεται στις υποχρεώσεις του, να εξυπηρετεί τους πιο κρίσιμους πελάτες του και να διατηρεί την εμπιστοσύνη, ενώ ο ευρύτερος οργανισμός ξαναχτίζεται.
Το προκλητικό συμπέρασμα είναι το εξής: η κυβερνοανάκαμψη δεν είναι πλέον άσκηση αποκατάστασης του IT. Είναι απόφαση εταιρικής επιβίωσης.
Ο κίνδυνος της λογικής «πλήρους ανάκαμψης»
Στα ανώτατα στελέχη των οργανισμών αρέσουν οι δείκτες ανάκαμψης επειδή κάνουν την ανθεκτικότητα να φαίνεται μετρήσιμη. Recovery Time Objectives (RTOs). Recovery Point Objectives (RPOs). Ποσοστά ολοκλήρωσης backup. Ασκήσεις προσομοίωσης. Προτεραιότητες αποκατάστασης συστημάτων. Όλα αυτά είναι χρήσιμα, αλλά μπορούν επίσης να δημιουργήσουν μια ψευδή αίσθηση σιγουριάς.
Το πρόβλημα δεν είναι ότι οι οργανισμοί αποτυγχάνουν να σχεδιάσουν την ανάκαμψή τους. Το πρόβλημα είναι ότι συχνά σχεδιάζουν να ανακτήσουν υπερβολικά πολλά, υπερβολικά γρήγορα και με πολύ μικρή βεβαιότητα για το τι μπορεί ακόμη να θεωρηθεί αξιόπιστο. Μετά από μια σοβαρή κυβερνοεπίθεση, η ταχύτητα μπορεί να γίνει επικίνδυνη. Ένα παραβιασμένο σύστημα ταυτότητας μπορεί να δώσει στους επιτιθέμενους εκ νέου πρόσβαση μόλις οι υπηρεσίες επανέλθουν online. Ένας αποκατεστημένος server μπορεί να μεταφέρει κακόβουλες ρυθμίσεις. Μια βιαστική ανάκαμψη στο cloud μπορεί να αναδημιουργήσει την ίδια έκθεση που επέτρεψε την παραβίαση. Μια επιχειρησιακή εφαρμογή μπορεί τεχνικά να λειτουργεί, ενώ εξαρτάται από δεδομένα των οποίων η ακεραιότητα είναι πλέον αβέβαιη.
Σε αυτό το περιβάλλον, το κεντρικό ερώτημα για την ηγεσία δεν είναι: «Πόσο γρήγορα μπορούμε να αποκαταστήσουμε τις λειτουργίες»; Είναι: «Χωρίς τι είμαστε διατεθειμένοι να λειτουργήσουμε μέχρι να μπορέσουμε να εμπιστευτούμε ξανά το περιβάλλον μας;»
Αυτό το ερώτημα ανήκει στον CEO, στο Διοικητικό Συμβούλιο, στον CFO, στον COO, στον γενικό νομικό σύμβουλο, στον chief risk officer και στους επιχειρησιακούς ηγέτες. όχι μόνο στον CISO και στον CIO.
Τι είναι μια Minimum Viable Company;
Η Minimum Viable Company είναι η μικρότερη εκδοχή του οργανισμού που πρέπει να επιβιώσει κατά τη διάρκεια μιας κυβερνοκρίσης.
Δεν είναι απλώς μια λίστα κρίσιμων εφαρμογών. Δεν είναι μια άσκηση ιεράρχησης disaster recovery. Δεν είναι ένα τεχνικό runbook. Είναι μια επιχειρηματική απόφαση για το τι πρέπει να συνεχίσει να είναι ο οργανισμός όταν μεγάλο μέρος του κανονικού λειτουργικού του μοντέλου δεν είναι διαθέσιμο ή δεν είναι ασφαλές.
Μια Minimum Viable Company πρέπει να απαντά σε πέντε ερωτήματα:
- Τι πρέπει να συνεχίσουμε να κάνουμε για να προστατεύσουμε την ζωή, την ασφάλεια και τις νομικές μας υποχρεώσεις;
- Ποιοι πελάτες, προϊόντα, υπηρεσίες, περιοχές ή συναλλαγές πρέπει να συνεχιστούν πάση θυσία;
- Ποια ελάχιστα συστήματα, δεδομένα, άτομα, προμηθευτές και εγκαταστάσεις απαιτούνται για να υποστηρίξουν αυτές τις υποχρεώσεις;
- Τι μπορεί να παγώσει, να υποβαθμιστεί, να αντιμετωπιστεί χειροκίνητα ή να τεθεί σκόπιμα εκτός λειτουργίας;
- Ποιος έχει την εξουσία να λάβει αυτές τις αποφάσεις υπό πίεση;
Το τελευταίο ερώτημα είναι συχνά το πιο σημαντικό. Σε μια κρίση, κάθε επιχειρησιακή μονάδα θα ισχυριστεί ότι είναι απαραίτητη. Κάθε ιδιοκτήτης συστήματος θα υποστηρίξει ότι η πλατφόρμα του πρέπει να αποκατασταθεί άμεσα. Κάθε στέλεχος θα έχει πελάτες, ρυθμιστικές αρχές, συνεργάτες ή ροές εσόδων για τις οποίες ανησυχεί.
Η Minimum Viable Company επιβάλλει ιεράρχηση πριν από την κρίση, όταν η κρίση είναι πιο καθαρή και η εσωτερική πολιτική λιγότερο επικίνδυνη.
Το Διοικητικό Συμβούλιο πρέπει να αποφασίσει τι μπορεί να «πεθάνει» προσωρινά

Ιδού η άβολη αλήθεια: σε ένα καταστροφικό κυβερνοσυμβάν, ορισμένα μέρη της επιχείρησης μπορεί να χρειαστεί να θυσιαστούν προσωρινά ώστε ο οργανισμός να επιβιώσει.
Αυτό μπορεί να σημαίνει αναστολή ενός κερδοφόρου ψηφιακού καναλιού. Μπορεί να σημαίνει παύση μη απαραίτητων γραμμών παραγωγής. Μπορεί να σημαίνει καθυστέρηση αναλύσεων, marketing, reporting, προμηθειών ή εσωτερικών εργαλείων παραγωγικότητας. Μπορεί να σημαίνει λειτουργία με χειροκίνητες παρακάμψεις. Μπορεί να σημαίνει ότι θα ειπωθεί σε τμήματα του οργανισμού πως δεν είναι πρώτα στην σειρά.
Τα στελέχη δεν πρέπει να το αντιμετωπίζουν αυτό ως αποτυχία. Πρέπει να το αντιμετωπίζουν ως διαλογή.
Τα νοσοκομεία δεν ανταποκρίνονται σε περιστατικά μαζικών απωλειών προσποιούμενα ότι κάθε ασθενής μπορεί να λάβει την ίδια προσοχή την ίδια στιγμή. Κάνουν διαλογή. Κατηγοριοποιούν. Διατηρούν την σπάνια διαθέσιμη δυναμικότητα για τις πιο επείγουσες περιπτώσεις.
Η κυβερνοανάκαμψη απαιτεί πλέον την ίδια πειθαρχία.
Το ερώτημα δεν είναι αν κάθε σύστημα έχει σημασία. Φυσικά και έχει. Το ερώτημα είναι αν κάθε σύστημα έχει σημασία στις πρώτες 24, 48 ή 72 ώρες αφότου η εμπιστοσύνη στον οργανισμό έχει διαρραγεί.
Οι περισσότεροι οργανισμοί δεν έχουν κάνει ποτέ αυτή την συζήτηση με ειλικρίνεια.
Η κυβερνοανθεκτικότητα είναι επιχειρηματική επιλεκτικότητα
Για χρόνια, οι οργανισμοί αντιμετώπιζαν την κυβερνοανθεκτικότητα ως την ικανότητα να προστατεύουν περισσότερα: περισσότερα συστήματα, περισσότερα δεδομένα, περισσότερα endpoints, περισσότερες εφαρμογές, περισσότερους χρήστες, περισσότερους προμηθευτές. Όμως η δυσκολότερη πειθαρχία είναι η επιλεκτικότητα.
Σε μια πραγματική κρίση, ανθεκτικότητα είναι η ικανότητα να αποφασίζεις τι δεν θα επαναφέρεις ακόμη. Αυτό είναι ένας πολύ διαφορετικός εκτελεστικός μυς.
Απαιτεί από τον CFO να κατανοεί ποιες ροές εσόδων είναι υπαρξιακές και ποιες είναι απλώς επώδυνο να παγώσουν. Απαιτεί από τον COO να γνωρίζει ποιες διαδικασίες μπορούν να υποβαθμιστούν χωρίς να δημιουργηθούν καταστροφές στην ασφάλεια, στην εφοδιαστική αλυσίδα ή στην εμπειρία του πελάτη. Απαιτεί από τις νομικές και κανονιστικές ομάδες να διαχωρίζουν τις ρυθμιστικές υποχρεώσεις από τις εσωτερικές προτιμήσεις. Απαιτεί από το Διοικητικό Συμβούλιο να αποδεχθεί ότι ορισμένες βραχυπρόθεσμες απώλειες μπορεί να είναι απαραίτητες για να αποφευχθεί μια μακροπρόθεσμη κατάρρευση.
Πάνω απ’ όλα, απαιτεί από την ηγεσία να αντισταθεί στη συναισθηματική έλξη της κανονικότητας.
Κάθε ώρα διακοπής δημιουργεί πίεση. Οι πελάτες παραπονιούνται. Οι εργαζόμενοι αυτοσχεδιάζουν. Τα μέσα ενημέρωσης κάνουν εικασίες. Οι ρυθμιστικές αρχές θέτουν ερωτήματα. Οι επενδυτές θέλουν διαβεβαιώσεις. Οι επιχειρησιακοί ηγέτες πιέζουν για αποκατάσταση. Αλλά αν το υποκείμενο περιβάλλον δεν είναι αξιόπιστο, η σωστή απάντηση μπορεί να είναι: όχι ακόμη. Αυτή μπορεί να είναι η πιο δύσκολη φράση στην κυβερνοανάκαμψη.
Το επίπεδο ταυτότητας είναι η νέα ζώνη έκρηξης
Ένας λόγος για τον οποίο η Minimum Viable Company έχει γίνει τόσο σημαντική είναι ότι οι σύγχρονες κυβερνοεπιθέσεις στοχεύουν όλο και περισσότερο το επίπεδο ελέγχου της επιχείρησης: ταυτότητα, προνομιακή πρόσβαση, cloud administration, απομακρυσμένη διαχείριση και μηχανισμούς διανομής λογισμικού.
Αν οι επιτιθέμενοι αποκτήσουν έλεγχο της ταυτότητας, δεν παραβιάζουν απλώς ένα σύστημα. Παραβιάζουν τον τρόπο με τον οποίο ο οργανισμός αποφασίζει ποιος επιτρέπεται να κάνει οτιδήποτε.
Αυτό αλλάζει την εξίσωση της ανάκαμψης. Η επαναφορά εφαρμογών πριν από την αποκατάσταση της εμπιστοσύνης στην ταυτότητα είναι σαν να ξανανοίγει μια τράπεζα αφού οι κλέφτες έχουν αντιγράψει όλα τα master keys.
Τα στελέχη πρέπει να κατανοήσουν ότι η κυβερνοανάκαμψη εξαρτάται από αξιόπιστα θεμέλια. Αυτά μπορεί να περιλαμβάνουν καθαρή υποδομή ταυτότητας, επαληθευμένα backups, επαναχτισμένους σταθμούς εργασίας διαχειριστών, επαναβεβαιωμένες cloud ρυθμίσεις, γνωστή και ασφαλή δικτυακή τμηματοποίηση και ανεξάρτητα κανάλια επικοινωνίας.
Αυτές δεν είναι τεχνικές λεπτομέρειες. Είναι οι συνθήκες υπό τις οποίες η επιχείρηση μπορεί να επανεκκινήσει με ασφάλεια.
Μια Minimum Viable Company πρέπει επομένως να σχεδιάζεται γύρω από αξιόπιστες εξαρτήσεις, όχι μόνο γύρω από επιχειρηματικές προτεραιότητες. Μια διαδικασία μπορεί να είναι εμπορικά κρίσιμη, αλλά αν εξαρτάται από παραβιασμένη ταυτότητα, αλλοιωμένα δεδομένα ή μη επαληθευμένη υποδομή, μπορεί να μην είναι ασφαλές να αποκατασταθεί άμεσα.
Το εκτελεστικό playbook: ορίστε την επιβίωση πριν από την κρίση
Ένα χρήσιμο σχέδιο Minimum Viable Company πρέπει να είναι σύντομο, συγκεκριμένο και δοκιμασμένο. Δεν πρέπει να είναι ένα έγγραφο 200 σελίδων που κανείς δεν διαβάζει κατά τη διάρκεια της κρίσης.
Τα στελέχη πρέπει να απαιτούν καθαρές απαντήσεις στα εξής:
- Την περίμετρο επιβίωσης:Ποιες επιχειρησιακές υπηρεσίες ορίζουν τη μικρότερη βιώσιμη εκδοχή της εταιρείας;
- Την βάση εμπιστοσύνης:Ποιες τεχνικές συνθήκες πρέπει να πληρούνται πριν τα συστήματα επανασυνδεθούν στην επιχείρηση;
- Το μοντέλο εξουσιοδότησης:Ποιος μπορεί να αποφασίσει την αναστολή επιχειρησιακών λειτουργιών, την καθυστέρηση αποκατάστασης, την αποσύνδεση συστημάτων ή την απόρριψη της πίεσης για υπερβολικά γρήγορη επαναφορά;
- Την χειροκίνητη εναλλακτική:Ποιες κρίσιμες διαδικασίες μπορούν να λειτουργήσουν χωρίς τα κανονικά IT συστήματα για αρκετές ημέρες;
- Το σχέδιο επικοινωνίας:Πώς θα επικοινωνήσει η εταιρεία με εργαζόμενους, πελάτες, ρυθμιστικές αρχές, προμηθευτές, ασφαλιστές και επενδυτές αν το email, οι πλατφόρμες συνεργασίας ή οι πελατειακές πύλες δεν είναι διαθέσιμες;
- Την ακολουθία αποκατάστασης:Ποια συστήματα επιστρέφουν πρώτα, ποια περιμένουν και ποια απαιτούν forensic validation πριν αποκατασταθούν;
- Το πρόγραμμα ασκήσεων:Πόσο συχνά η εκτελεστική ομάδα εξασκείται στις δύσκολες επιχειρηματικές επιλογές, όχι μόνο στην τεχνική απόκριση;
Το τελευταίο σημείο έχει σημασία. Πολλές ασκήσεις κυβερνοκρίσης εξακολουθούν να επικεντρώνονται υπερβολικά στην κλιμάκωση και την επικοινωνία. Αυτά είναι απαραίτητα, αλλά ανεπαρκή. Τα στελέχη πρέπει να εξασκούνται στην επιχειρησιακή θυσία: να επιλέγουν ποιος περιμένει, ποιος εξυπηρετείται, ποια έσοδα παγώνουν, ποιες υποχρεώσεις προηγούνται και ποιο επίπεδο υποβαθμισμένης λειτουργίας είναι αποδεκτό.
Τα νέα ερωτήματα που πρέπει να θέτει κάθε Διοικητικό Συμβούλιο
Τα Διοικητικά Συμβούλια δεν χρειάζεται να γίνουν μηχανικοί κυβερνοασφάλειας. Χρειάζεται όμως να μάθουν να θέτουν καλύτερες ερωτήσεις. Γιατί σε μια σοβαρή κρίση, η ανθεκτικότητα της επιχείρησης δεν κρίνεται από το αν υπάρχουν πολιτικές, σχέδια ή backups. Κρίνεται από το αν μπορούν να στηρίξουν πραγματικές αποφάσεις υπό πίεση.
Το ερώτημα δεν είναι απλώς αν τα backups έχουν δοκιμαστεί. Είναι ποια backups είναι αρκετά αξιόπιστα ώστε να μπορέσουμε να ξαναχτίσουμε την επιχείρηση από αυτά. Δεν αρκεί να ρωτάμε πόσο γρήγορα μπορούμε να ανακάμψουμε. Το κρίσιμο ερώτημα είναι ποια είναι η μικρότερη εκδοχή της επιχείρησης που μπορούμε να λειτουργήσουμε με ασφάλεια μέσα στις πρώτες 24 ώρες. Δεν αρκεί να υπάρχει ένα σχέδιο incident response. Πρέπει να είναι ξεκάθαρο ποιος έχει την εξουσία να κρατήσει συστήματα offline, ακόμη κι όταν η επιχειρησιακή πίεση για άμεση επαναφορά είναι έντονη.
Δεν αρκεί να λέμε ότι προστατεύονται τα κρίσιμα συστήματα. Πρέπει να έχουμε συμφωνήσει ποια συστήματα είναι πραγματικά κρίσιμα όταν δεν μπορούν να επιστρέψουν όλα ταυτόχρονα. Και δεν αρκεί να γνωρίζουμε αν μπορούμε να αποκαταστήσουμε το Active Directory. Πρέπει να γνωρίζουμε αν μπορούμε να αποκαταστήσουμε αξιόπιστη ταυτότητα, ειδικά όταν το παλιό περιβάλλον ταυτότητας μπορεί να έχει παραβιαστεί.
Ακόμη και οι tabletop exercises πρέπει να πηγαίνουν πέρα από τη διαδικασία. Πρέπει να δοκιμάζουν την ικανότητα της διοίκησης να πάρει δύσκολες αποφάσεις, όπως το να πει σε μια επιχειρησιακή μονάδα ότι δεν θα είναι μέρος της αποκατάστασης της πρώτης ημέρας.
Η κυβερνοανθεκτικότητα δεν είναι τεχνικό θέμα μόνο. Είναι θέμα προτεραιοτήτων, εξουσίας και επιχειρησιακής κρίσης. Και εκεί ακριβώς είναι που το Διοικητικό Συμβούλιο πρέπει να κάνει τη διαφορά.Αυτές είναι άβολες ερωτήσεις. Ακριβώς γι’ αυτό είναι πολύτιμες.
Ο ρόλος του CEO στην κυβερνοανάκαμψη
Ο CEO δεν πρέπει να είναι θεατής στην κυβερνοανάκαμψη. Ούτε πρέπει απλώς να ρωτά τον CISO πότε θα επανέλθουν τα συστήματα. Ο ρόλος του CEO είναι να κάνει ρητές τις επιχειρηματικές επιλογές.
Κατά τη διάρκεια ενός μεγάλου κυβερνοσυμβάντος, ο οργανισμός θα αντιμετωπίσει αντικρουόμενες πιέσεις: αποκατάσταση εσόδων, προστασία πελατών, διατήρηση αποδεικτικών στοιχείων, τήρηση ασφάλειας, ικανοποίηση ρυθμιστικών αρχών, περιορισμός των επιτιθέμενων, διαφανής επικοινωνία και αποφυγή μη αναστρέψιμων λαθών. Κανένας μεμονωμένος λειτουργικός ηγέτης δεν μπορεί να βελτιστοποιήσει όλους αυτούς τους στόχους μόνος του.
Ο CEO πρέπει να ορίσει τη στάση λειτουργίας: τι έχει μεγαλύτερη σημασία, ποιο ρίσκο είναι διατεθειμένη να αναλάβει η εταιρεία, ποιες υπηρεσίες θα αποκατασταθούν πρώτες και πότε η επιχείρηση θα αποδεχθεί βραδύτερη ανάκαμψη με αντάλλαγμα ασφαλέστερη ανάκαμψη.
Ο ρόλος του Διοικητικού Συμβουλίου είναι εξίσου σημαντικός. Τα μέλη του πρέπει να διασφαλίσουν ότι η διοίκηση έχει προκαθορισμένα δικαιώματα λήψης αποφάσεων, όρια ενεργοποίησης κρίσης και προτεραιότητες επιβίωσης. Πρέπει να αμφισβητήσουν αν το πρόγραμμα κυβερνοασφάλειας του οργανισμού έχει σχεδιαστεί γύρω από την επιχειρησιακή βιωσιμότητα ή απλώς γύρω από την τεχνική αποκατάσταση.
Το προκλητικό συμπέρασμα: η κανονικότητα δεν είναι ο στόχος
Η πιο επικίνδυνη λέξη στην κυβερνοανάκαμψη μπορεί να είναι η «κανονικότητα».
Η κανονικότητα είναι καθησυχαστική. Είναι οικεία. Είναι αυτό που θέλουν οι εργαζόμενοι, οι πελάτες και τα στελέχη. Όμως μετά από μια σοβαρή επίθεση, η κανονικότητα δεν πρέπει να είναι ο άμεσος στόχος. Η εμπιστοσύνη πρέπει να είναι. Μια εταιρεία που αποκαθιστά την κανονική λειτουργία πριν ξαναχτίσει την εμπιστοσύνη μπορεί απλώς να αποκαταστήσει τις συνθήκες που επέτρεψαν την κρίση.
Ο καλύτερος στόχος είναι η ελεγχόμενη επιβίωση: μια μικρότερη, καθαρότερη, πιο αξιόπιστη εκδοχή της επιχείρησης που μπορεί να λειτουργεί όσο η υπόλοιπη επιχείρηση ξαναχτίζεται προσεκτικά. Αυτός είναι ο σκοπός της Minimum Viable Company.
Δεν πρόκειται για μείωση φιλοδοξίας. Πρόκειται για διατήρηση της επιχείρησης.
Οι εταιρείες που θα επιβιώσουν από το επόμενο κύμα καταστροφικών κυβερνοεπιθέσεων δεν θα είναι απαραίτητα εκείνες με τους ταχύτερους χρόνους αποκατάστασης ή τους πιο πλήρεις φακέλους επιχειρησιακής συνέχειας. Θα είναι εκείνες των οποίων οι ηγέτες έχουν ήδη απαντήσει στο πιο δύσκολο ερώτημα:
Όταν δεν μπορούν να επιστρέψουν όλα, τι πρέπει να ζήσει πρώτο;







