Από ένα απλό phishing mail μέχρι ένα wide scale ransomware attack, υπάρχουν άπειρα σενάρια που θα μπορούσαν να γίνουν εφιάλτης για έναν οργανισμό ή μια εταιρεία. Αυτά ακριβώς προσπαθεί να προσομοιώσει ένα Tabletop Exercise (εν συντομία TTX), όχι όμως για να μας τρομάξει. Αντιθέτως, μας βοηθά να τεστάρουμε τα incident response plans μας, να αξιολογήσουμε τον συντονισμό των ομάδων και να εντοπίσουμε κενά ή ευπάθειες. Αλλά ας πάρουμε τα πράγματα από την αρχή.
Νίκος Δαμουλιάνος
Communications Officer, Board Member of ISC2 Hellenic Chapter
Senior Cyber Security Consultant / Threat Modeling Expert at TwelveSec
Έχοντας τις ρίζες τους σε στρατιωτικά «παιχνίδια πολέμου» προηγούμενων αιώνων, με τη χρήση χαρτών και μικρογραφιών πάνω σε ένα τραπέζι (εξ ου και ο όρος), τα Tabletop Exercises (TTX) με την πάροδο του χρόνου εξελίχθηκαν σε προσομοιώσεις αντιμετώπισης φυσικών καταστροφών και άλλων έκτακτων περιστατικών. Στη σύγχρονη ψηφιακή εποχή, οι «επιτραπέζιες ασκήσεις» προσαρμόστηκαν ώστε να καλύψουν και νέους τομείς, με αποτέλεσμα σήμερα να χρησιμοποιούνται εκτεταμένα και στην Κυβερνοασφάλεια.
Πώς λειτουργεί ένα Tabletop Exercise στην πράξη
Τα TTX στην Κυβερνοασφάλεια προσομοιώνουν ρεαλιστικά σενάρια απειλής, όπου οι συμμετέχοντες συγκεντρώνονται σε ένα ελεγχόμενο περιβάλλον (π.χ. μια αίθουσα συσκέψεων) και καλούνται να αντιμετωπίσουν εικονικά, μέσω συζητήσεων και διαδικασιών λήψης αποφάσεων, ένα περιστατικό που βρίσκεται σε εξέλιξη. Ανάλογα με τις ανάγκες του οργανισμού, το σενάριο «κόβεται και ράβεται» στα μέτρα του, ώστε να μιμείται όσο το δυνατόν πιο πιστά πραγματικές καταστάσεις.
Οι συμμετέχοντες προέρχονται από διαφορετικά τμήματα του οργανισμού και έχουν διαφορετικούς ρόλους. Είναι σημαντικό να συμμετέχει όχι μόνο προσωπικό πληροφορικής ή κυβερνοασφάλειας, αλλά και υψηλόβαθμα στελέχη, νομικοί σύμβουλοι, υπεύθυνοι επικοινωνίας, καθώς και εκπρόσωποι δημοσίων σχέσεων, δεδομένου ότι η ασφάλεια δεν είναι μόνο θέμα του IT αλλά ολόκληρου του προσωπικού.
Την άσκηση συντονίζει ένας ή περισσότεροι facilitators, οι οποίοι καθοδηγούν τους συμμετέχοντες στο σενάριο, παρουσιάζοντας ταυτόχρονα νέα στοιχεία ή προκλήσεις, ανάλογα με τη ροή του σεναρίου ή τις απαντήσεις που λαμβάνουν. Παράλληλα, καθώς εξελίσσεται η άσκηση, οι συντονιστές μπορεί να θέσουν όρια στον χρόνο αντίδρασης ή ακόμα και να διακόψουν την επικοινωνία μεταξύ συγκεκριμένων ρόλων ή τμημάτων.
Αξίζει να σημειωθεί ότι η διαδραστικότητα της άσκησης ενισχύει σημαντικά το στοιχείο του gamification. Για τον λόγο αυτό, συχνά χρησιμοποιείται ποικιλία μέσων, από mock emails και τηλεφωνικές κλήσεις μέχρι προσομοιωμένα δημοσιεύματα, ώστε οι συμμετέχοντες να νιώθουν περισσότερο «συμπαίκτες» σε ένα παιχνίδι και λιγότερο «εξεταζόμενοι». Άλλωστε ο σκοπός ενός TTX δεν είναι να «δείξει κάποιον με το δάκτυλο», αλλά να εξετάσει συνολικά τις αντιδράσεις και τη συνεργασία των ομάδων. Οι συμμετέχοντες καλούνται λοιπόν να συνεργαστούν και να δράσουν σύμφωνα με τον ρόλο τους και πάντα βάσει του σχεδίου αντιμετώπισης περιστατικών του οργανισμού.
Μετά το τέλος του σεναρίου ακολουθεί μια σύντομη αποτίμηση, όπου συζητούνται τα αποτελέσματα της άσκησης μεταξύ των διοργανωτών και των συμμετεχόντων, εντοπίζονται τα δυνατά και τα αδύνατα σημεία και δίνεται η ευκαιρία για προτάσεις βελτίωσης. Ανεξαρτήτως όμως του τι θα συζητηθεί προφορικά, ο διοργανωτής, μέσα σε ένα εύλογο χρονικό διάστημα, θα προετοιμάσει και θα αποστείλει επίσημη αναφορά με τα ευρήματα που προέκυψαν κατά τη διεξαγωγή της άσκησης.
Τα κρίσιμα ερωτήματα που θέτει ένα Tabletop Exercise
Αν το δούμε συνολικά, ένα TTX δεν προσπαθεί να δώσει «σωστές απαντήσεις», αλλά να θέσει τα σωστά ερωτήματα. Και μέσα από αυτή τη διαδικασία αναδεικνύονται κρίσιμα ζητήματα όπως:
- Υπάρχει σαφής καθορισμός και κατανόηση των ρόλων;
- Ποιος επωμίζεται τη λήψη κάθε απόφασης;
- Ποιες είναι οι άμεσες ενέργειες;
- Ξέρουμε ποιον πρέπει να καλέσουμε και πότε;
- Υπάρχουν προκαθορισμένα κανάλια επικοινωνίας;
- Υπάρχει ουσιαστικός συντονισμός μεταξύ των τμημάτων;
- Μήπως το incident response plan έχει κενά και χρειάζεται αναπροσαρμογή;
Από αυτό το σημείο και μετά, ο οργανισμός μπορεί να προβεί στις ενέργειες που κρίνει απαραίτητες και να βελτιώσει τα σημεία που θεωρήθηκαν αδύναμα. Και φυσικά, δεν υπάρχει κανένας περιορισμός στο να διεξαχθεί και νέα άσκηση, ενδεχομένως με διαφορετικό σενάριο, ελέγχοντας και βελτιώνοντας περαιτέρω τόσο την ετοιμότητα των συμμετεχόντων όσο και την πληρότητα του σχεδίου συνολικά. Δεν θα ήταν υπερβολή να πούμε ότι η τακτική διεξαγωγή τέτοιων ασκήσεων ενισχύει σε μεγάλο βαθμό τη συνολική νοοτροπία ασφάλειας οργανισμών και εταιρειών.
Ένας απαιτητικός αναγνώστης που έφτασε να διαβάσει μέχρι εδώ (και τον ευχαριστώ), ίσως αναρωτηθεί μήπως αυτό που περιγράφουμε τελικά μοιάζει με ένα παιχνίδι ρόλων (Role Playing Game, κοινώς RPG), αλλά για εταιρείες. Και για να είμαι ειλικρινής, η απάντησή μου θα ήταν μάλλον καταφατική. Κατά μία έννοια μοιάζει. Όσοι έχετε ασχοληθεί με αυτά τα παιχνίδια γνωρίζετε ότι μπορούμε να δημιουργήσουμε έναν φανταστικό χαρακτήρα, να επιλέξουμε τις ιδιότητές του και να τον υποδυθούμε μέσα στις περιπέτειες ενός φανταστικού κόσμου. Στο TTX όμως δεν έχουμε τέτοιες επιλογές. Καλούμαστε να «παίξουμε» τους εαυτούς μας, με τους πραγματικούς μας ρόλους, συνεργαζόμενοι με τους πραγματικούς συναδέλφους μας και σε σενάρια που μιμούνται τον πραγματικό κόσμο. Και ίσως τελικά αυτή να είναι η μεγαλύτερη πρόκληση, αλλά και η μεγαλύτερη αξία ενός Tabletop Exercise.
