Poradnik BINGO 3. Uwaga, kryzys!

Niezależnie od tego, jak ostrożnie posługujesz się informacją ani jak wysublimowane środki profilaktyczne stosujesz, nie jesteś w stanie zabezpieczyć się przed każdym zagrożeniem. Dlatego zarządzanie ryzykiem polega nie tylko na zapobieganiu, ale też na przygotowaniu się na wystąpienie kryzysu – i wyciąganiu z niego wniosków. W tym odcinku Poradnika BINGO przyjrzymy się kilku sytuacjom związanym z bezpieczeństwem informacji. Oparliśmy się na prawdziwych historiach.
1. Przejęcie kontroli nad profilem społecznościowym
Któregoś dnia wszyscy administratorzy facebookowego profilu Stowarzyszenia Aberracja zorientowali się, że nie mogą dodawać postów, a na profilu pojawiły się treści reklamowe. Uprawnienia stracili wszyscy dotychczasowi administratorzy – wykluczyli więc, że któryś z nich przejął profil.
Diagnoza sytuacji
Prawdopodobnie ktoś przejął hasło do Facebooka jednej z osób z uprawnieniami administratora.
Scenariusz zarządzania kryzysem
Co można zrobić:
- Zgłoście sprawę do Facebooka, na policję. W zależności od diagnozy sytuacji próbujcie negocjować ze sprawcami.
- Zadbajcie o komunikację z odbiorcami: zdejmijcie ze strony internetowej organizacji link do Facebooka, załóżcie nowy profil, poinformujcie na stronie lub innym kanałem, którym organizacja komunikuje się z odbiorcami, że straciliście dostęp do dotychczasowego profilu i – jeśli nie ma szans na jego odzyskanie – że zapraszacie na nowy.
Lekcje po kryzysie
By uniknąć podobnych kryzysów w przyszłości:
- Zrewidujcie, kto ma jakie uprawnienia dostępu do profilu organizacji – nie każdy musi być administratorem.
- Wprowadźcie dwustopniową autoryzację – logowanie do serwisu za pomocą hasła użytkownika i kodu SMS.
- Przestrzegajcie – indywidualnie i na poziomie organizacji – zasad bezpiecznego korzystania z urządzeń, tworzenia i przechowywania haseł.
- Budujcie inną formę komunikacji z odbiorcami, korzystając z kanałów, nad którymi organizacja ma większą kontrolę (np. strona internetowa). Kontrolę nad profilem na Facebooku można utracić także w przypadku arbitralnej decyzji tego portalu (jak w przypadku blokowania stron organizacji narodowców).
Zasady te warto rozciągnąć na inne usługi online, wprowadzając dodatkowe zabezpieczenia: na stronie internetowej, w CRM-ie, poczcie elektronicznej, Slacku, Instagramie, banku…
Przejęcie kontroli nad profilem organizacji może nastąpić też bez utraty hasła: np. gdy administrator odchodzi z organizacji wraz z profilem, odbierając uprawnienia innym, zmieniając hasła. Eksperci od bezpieczeństwa są w takich przypadkach bezradni, ale „Lekcje po kryzysie” mogłyby być pomocne (np. budowanie komunikacji z odbiorcami poza Facebookiem). Jak poradzilibyście sobie z taką sytuacją w swojej organizacji?
2. Wyciek prywatnej korespondencji
Członkowie i członkinie Stowarzyszenia „Zwierzę też Człowiek” często występują w mediach w dyskusjach z przedstawicielami firmy, której nieetyczne działania wobec zwierząt krytykuje organizacja. Podczas ostatniego występu reprezentant Stowarzyszenia odniósł wrażenie, że przedstawiciel firmy doskonale wiedział, co ma on zamiar powiedzieć; że wyprzedzał przygotowane przez niego wcześniej argumenty. Rozmówca wspomniał też o planach organizacji, o których zespół nigdy nie rozmawiał z osobami z zewnątrz. Zespół wykluczył, że ktoś osobiście przekazał firmie informacje.
Diagnoza sytuacji
Wszystko wskazuje na to, że firma zdobyła informacje, czytając korespondencję między członkami Stowarzyszenia.
Scenariusz zarządzania kryzysem
Działania, które należy podjąć:
- „Zarchiwizujcie” wyciek: uważnie sprawdźcie i zapiszcie, jakie informacje wyciekły.
- Przeanalizujcie, którędy mógł nastąpić wyciek. Czy to kradzież hasła? A może do wspólnego dysku podpięte są osoby, które już od dawna nie współpracują z organizacją? Działania naprawcze powinny być adekwatne do tej analizy.
- Warto sprawdzić, czy procedury są aktualne i kompletne i czy zespół (oraz współpracownicy, którzy mają dostęp do informacji) się do nich stosuje.
- Podejmijcie działania komunikacyjne (kryzysem komunikacyjnym zajmiemy się w późniejszych odcinkach Poradnika BINGO).
Lekcje po kryzysie
Warto przypomnieć sobie podstawowe zasady bezpiecznej komunikacji:
- przekazywanie wrażliwych informacji tylko szyfrowanym kanałem komunikacji (szyfrowanym mailem, aplikacją taką jak Signal, szyfrowanym komunikatorem Jitsi, Pidgin) albo na żywo;
- trudne do odgadnięcia, regularnie zmieniane i bezpiecznie przechowywane hasła do usług;
- regularne sprawdzanie logów najważniejszych miejsc dostępu do wewnętrznych informacji w celu szybkiego wykrycia nieautoryzowanego wejścia.
Te zasady trzeba rozciągnąć na inne usługi: wspólny dysk, wspólną chmurę, wspólne dokumenty.
3. Podstawiona strona internetowa
Fundacja Panorama otrzymała mail z ofertą pomocy w przygotowaniu wniosku do konkursu o grant na działania rzecznicze. Z oferty wprawdzie nie skorzystała, ale przygotowała wniosek. Opisała w nim swoje plany kontroli władz centralnych i samorządowych oraz pomysł na kampanię społeczną, w której chciała nagłośnić nadużycia. Kilka godzin przed upływem terminu na składanie wniosków koordynator zaczął przenosić treść wniosku do elektronicznego systemu podawczego, do którego link był podany w mailu z ofertą. Gdy skończył, otrzymał komunikat, że aby złożyć wniosek, musi wysłać przelew na konto nieznanej mu wcześniej firmy. W tym momencie zorientował się, że nie jest w systemie podawczym grantodawcy, ale na stronie, która go świetnie udaje. Koordynator zorientował się również, że treść wniosku przesłana przez „system” jest widoczna publicznie w sieci.
Diagnoza sytuacji
Fundacja Panorama padła ofiarą phishingu: trafiła na podstawioną stronę udającą stronę grantodawcy, której twórca chciał zarobić na nieuwadze odbiorcy. Chociaż organizacja zorientowała się w porę i nie straciła pieniędzy, jej wewnętrzne plany i informacje wyciekły. Mogło też dojść do zainstalowania na komputerze złośliwego oprogramowania.
Scenariusz zarządzania kryzysem
- Gdy do zdarzenia już doszło, niewiele da się z tym zrobić – poza zgłoszeniem tego faktu prawdziwemu grantodawcy. Jeśli dane zostały opublikowane w sieci, można zgłosić się na policję w sprawie wyłudzania informacji.
- Phishing często wiąże się z próbą zainfekowania komputerów złośliwym oprogramowaniem – konieczne będzie zatem dokładne przeskanowanie urządzeń.
Lekcje po kryzysie
Warto przypomnieć sobie zasady bezpiecznego korzystania z sieci:
- Nie klikaj w linki zamieszczone w wyglądających podejrzanie mailach reklamowych wysłanych z niezaufanych adresów; w powiadomieniach o fakturach czy przesyłkach kurierskich – lepiej samodzielnie wyszukaj firmę/organizację, która Cię interesuje.
- Sprawdzaj domenę i certyfikat strony.
Słowem: ostrożność i ograniczone zaufanie. Jeśli zagrożenie już wystąpi, jedynym ratunkiem może okazać się backup. Jeśli nie uda się oczyścić komputera ze złośliwego oprogramowania, trzeba będzie od nowa postawić system, a dane odzyskać z kopii zapasowej. Dlatego należy wykonywać ją regularnie.
--
Kryzys może wystąpić w każdej chwili – nawet w organizacji, która dobrze dba o bezpieczeństwo. Jednak taka, w której jest to temat obecny na co dzień, łatwiej go opanuje i wyciągnie z niego wnioski na przyszłość. Dbałości o bezpieczeństwo nie da się jednak zadekretować. Warto zacząć od rozmowy, a zmiany wdrażać stopniowo, przyzwyczajając współpracowników do nowych rozwiązań. Osoby o większych kompetencjach technicznych mogą pomagać pozostałym, w ten sposób zdejmując część tego niełatwego zadania z barków administratora/informatyka.
Anna Obem
Współpraca: Małgorzata Szumańska, Izabela Meyza
Konsultacja merytoryczna: Marcin Karpezo, Kamil Śliwowski
Poradnik BINGO powstaje w ramach projektu „BINGO, czyli bezpieczne organizacje” finansowanego ze środków Fundacji im. S. Batorego. Możesz dołożyć się do naszych działań, wspierając nas darowiznami i przekazując 1% na rzecz Panoptykonu.
<< Poradnik BINGO 2. Bezpieczeństwo informacji: wybrane narzędzia | Poradnik BINGO 4. Bezpieczna siedziba organizacji: ewakuacja i pierwsza pomoc >> |