假設你的機構,制訂了網絡保安事故的應變計劃。計劃是否有效,有沒有遺漏的地方?當機構發生數據外洩或保安事故,會發生甚麼事?很多機構雖然有制訂一些應變措施,但這些計劃甚少經過測試,到真正需要執行時,負責人往往沒有十足的信心和把握。
波耐蒙研究所 (Ponemon Institute) 今年較早時間發表一項有關網絡防衞能力的研究報告,在環球八個國家或地區,訪問二千八百多位從事IT及資訊保安的人士。77% 受訪者表示他們的機構,沒有制訂正式的網絡保安事故應變計劃;接近一半受訪者的機構,只有非正式、臨時湊合的應變計劃,甚至沒有任何計劃。
波耐蒙報告又發現,亞太地區受訪者對所屬機構的網絡防衞能力,評分在八個地區排行最低,只有 31%。44% 亞太被訪者認為網絡保安事故對業務或 IT 服務,造成「非常頻繁」或「頻繁」的破壞。
由此可見,在網絡防衞能力上,很多機構還未準備好,受困於初階的障礙。隨著近年數據外洩及網絡攻擊日益頻繁,業內資訊保安顧問普遍認為,機構需要以更認真的態度看待事故應變,未雨綢繆作好準備。要確保應變計劃具備成效,應包含以下四個要點。
1. 反覆測試
不少機構都聲稱有制訂事故應變計劃,但甚少機構曾經進行測試。這是頭號錯誤,因為任何未經測試的計劃,成效都是不確定的。業內準備得最充足的機構,甚至會召開桌面演習,分紅藍兩隊進行對決。機構定期為應變計劃進行模擬測試,可尋找到應變計劃中的短板,加以改善;員工經歷過平時的模擬實測,對程序更熟練,遇事更能沉著應對。
2.列明細節,具靈活彈性
優秀的事故應變計劃,既要清楚列明各項細節,也要具備靈活彈性,能適用於不同類型的攻擊和事故。有些機構用試算表羅列應變計劃,每種事故都有對應的應變頁面表格,能方便負責人橫向快速查閱。注意網絡攻擊日新月異,應變計劃須定期更新,追上當前形勢。
3.清晰的通訊指引
應變計劃必須包括清晰的通訊方法。非正式的應變措施,往往沒有周詳考慮到通訊問題,導致遇事時計劃無法執行。特別是當網絡遇到攻擊,平時的通訊渠道嚴重失靈時,應變計劃要為員工預備穩妥的後備通訊途徑,讓他們彼此恢復通訊,並與外界取得聯絡。
4.包含各方持份者
應變計劃要列出一份精簡的持份者清單,註明每個持份者在應變計劃中的角色。要全面思考,機構有責任保護哪些持份者,哪些持份者會介入幫忙?若事故牽涉範圍大,機構的保安、網絡、業務、財務部門,都要有相應的分工回應。平時機構有既定分工,但如果成千上萬部電腦同時受到威脅,可能要另外安排資源,去完成工作。應變計劃應該注意,儘早讓法律部門參與,由法律團隊提供及時建議,例如是否要邀請執法部門或其他外界機構介入。
千里之行,始於足下。要提升機構的網絡防衞能力,以上四點都是切實可行的建議。
作者: Job Lam
IBM 香港資訊安全業務總經理
