امروزه حوادث و حملات سایبری به صورت گسترده در سطح جهان رخ می دهند. هرچه وسعت حمله بیشتر و نقطه هدف حوادث حساستر باشد، تبعات مخرب بیشتری خواهد داشت و در نتیجه اهمیت بیشتری دارد. کشورها در راستای پاسخگویی و مسئولیتپذیری نهادهای ذیربط، مهار اثرات و کاهش پیامدهای یک حادثهی سایبری مهم و ایجاد شرایط برای بهبود پیامدها در طولانیمدت، اقدام به برنامهریزی برای مواجهه با حوادث سایبری مهم میکنند.
روند حوادث سایبری در سطح جهان عبارت است از اینکه تعداد این حوادث رو به ازدیاد است و این حوادث مخلتر و پرهزینهتر میشوند. برخی از چنین حوادثی از ظرفیت بازیگران فعلی در کشورها برای پاسخگویی با استفاده از وسایل روزمره فراتر است؛ بنابراین کشورها به دنبال برنامهریزی جامع و هماهنگ هستند تا از ظرفیت بخش خصوصی نیز بهرهمند باشند.
آژانس امنیت سایبری و امنیت زیرساخت (CISA)[۱] در وزارتخانه امنیت داخلی آمریکا (DHS)[۲] از مرکز تحلیل عملیاتی امنیت داخلی (HSOAC)[۳] درخواست کرد تا راهنمایی اجرایی در خصوص برنامهریزی اضطراری تهیه کند که نهادهای حیاتی ایالات متحده بتوانند از آن برای توسعه برنامههای اضطراری مخصوص خود استفاده کنند تا اثرات حوادث سایبری کاهش یابد. این گزارش که با اپراتوری موسسه رند[۴] انجام شده است، مروری بر چگونگی برنامهریزی اضطراری برای یک حادثهی سایبری مهم است.
با توجه به اینکه کشور ما نیز آماج حملات و حوادث سایبری قرار میگیرد، نیازمند تدوین برنامه اقدام در زمینه مدیریت این حوادث هستیم. هرچندکه «علاج واقعه پیش از وقوع باید کرد»؛ اما امروزه بروز حوادث سایبری اجتنابناپذیر شده است؛ بنابراین بعد از واقعه نیز به علاج نیاز دارد و باید از گسترش بحران جلوگیری کرد. در تلخیص حاضر، اجزاء یک برنامه اضطراری (ابزارهای مفید برای تسهیل پاسخگویی هماهنگ، سریع و مؤثر به حوادث سایبری مهم) و اینکه چه فرایندی در تدوین آن برنامه طی میشود، مرور شده است تا بتوان از تجارب مذکور بهرهمند شد.
بیان مسئله
تعداد حوادث سایبری در حال افزایش است و این حوادث روزبهروز مخربانهتر و پرهزینهتر میشوند و این در حالی است که ذینفعان و استفادهکنندگان از فضای سایبر، از قابلیت لازم برای پاسخگویی به این حوادث با استفاده از ابزارهای معمول، برخوردار نیستند.
سند سیاستگذاری دولتی ایالات متحده آمریکا در سال ۲۰۱۶، حوادث سایبری مهم را اینچنین تعریف میکند: «یک حادثهی سایبری (یا گروهی از حوادث سایبری مرتبط که با همدیگر رخ میدهند) که منجر به آسیب قابل اثبات در موارد ذیل میشود: منافع امنیت ملی، روابط خارجی یا اقتصاد ایالات متحده، اعتماد عمومی، آزادیهای مدنی، سلامت عمومی یا ایمنی مردم آمریکا».
تهدید حوادث سایبری نسبت به نهادهای حیاتی و ملی ایالات متحده بسیار زیاد است. ایمنسازی نهادهای حیاتی و ملی مستلزم یکپارچگی تلاشها در داخل حاکمیت و همکاری مؤثر در داخل دولتهای ایالتی، محلی و بخش خصوصی است. در راستای تلاش برای این یکپارچگی و هماهنگی، در سال ۲۰۱۶، دولت ایالات متحده سیاست چهلویکم و یک برنامهی بالادستی ملی برای واکنش به حوادث سایبری را جهت ارتقای وحدت و یکپارچگی در میان پاسخدهندگان دولتی به چنین حوادثی تنظیم کرد. با این حال، این اسناد نقشها و مسئولیتهای ذینفعان بخش خصوصی را در واکنش به حوادث سایبری یا نحوهی هماهنگی تلاشهای تمام ذینفعان را در پاسخ به حوادث سایبری مهم، مشخص نمیکند. در این راستا، آژانس امنیت سایبری و امنیت زیرساخت در وزارتخانه امنیت داخلی از مرکز تحلیل عملیاتی امنیت داخلی (مرکز منتشرکنندهی این گزارش) درخواست کرد تا راهنمای اجرایی برنامهریزی اضطراری، شامل یک نمونهبرنامهی اضطراری را تهیه کند که نهادهای حیاتی و ملی ایالات متحده بتوانند از آن برای توسعه برنامههای اضطراری مخصوص خود استفاده کنند و از پاسخ مرکز مذکور برای کاهش اثرات حوادث سایبری قابل توجه که بر نهادهای حیاتی و ملی تأثیر میگذارد، استفاده کنند. این گزارش مروری بر چگونگی برنامهریزی اضطراری برای یک حادثهی سایبری مهم است.
شایان ذکر است که یک برنامه را میتوان در سه سطح «استراتژیک»، «اجرایی» و «تاکتیکی» مورد تدوین و توسعه قرار داد که البته در این گزارش، بر برنامهریزی در سطح اجرایی تمرکز میشود. یک برنامه در سطح اجرایی میتواند بهعنوان مبنایی برای برنامهریزی در سطح «تاکتیکی» باشد و میتواند به ذینفعان کمک کند تا منابع، آموزش و تجهیزات مورد نیاز را پیش از وقوع یک حادثهی واقعی شناسایی کنند.
یافتهها
✔ تصمیمگیری برای پاسخ به یک حادثهی سایبری مهم که بر عملکرد نهادهای حیاتی و ملی ایالات متحده تأثیر میگذارد، چالشبرانگیز است؛ زیرا این حوادث سایبری شامل حوادثی هستند که با سرعت بالا رخ میدهند، درجهی بالایی از عدم قطعیت دارند و همچنین زمان شروع و پایان آنها نامشخص بوده و علت آنها نیز ناشناخته است.
✔ برنامهریزی برای پاسخ به یک حادثهی سایبری بسیار ضروری و مهم است؛ زیرا دولت و بخش خصوصی مسئول حوادث سایبری قابل توجهی هستند که بر نهادهای حیاتی و ملی اعمال میشود. به برنامههای مذکور، برنامههای اضطراری گفته میشود. برنامههای اضطراری ابزارهای مفیدی برای تسهیل پاسخگویی هماهنگ، سریع و مؤثر به حوادث سایبری مهم و سایر موارد احتمالی هستند.
✔ یک برنامه اضطراری در سطح اجرایی باید دربردارندهی موارد ذیل باشد:
هدف طرح: اهداف واکنش به حادثهی سایبری و وضعیت نهایی مطلوب؛
تهدیدها یا خطراتی که برنامه با آن مواجه خواهد بود؛
محدودهی کاربرد: شرایطی که برنامه برای آن شرایط تدوین شده و در نظر گرفته شده است؛
شرایطی که میتواند منجر به اجرای برنامه شود؛
نقشهای سازمانی، مسئولیتها و مکانیسمهای هماهنگی بین مسئولیتهای مختلف.
✔ بنابراین، برنامههای اضطراری به موارد ذیل کمک کرده و در آنها تأثیرگذار هستند:
روشن شدن نقشها و مسئولیتهای ذینفعان واکنش به حوادث سایبری؛
ایجاد الزامات برای اشتراکگذاری اطلاعات؛
مشخص کردن مکانیسمهای هماهنگی؛
شناسایی وابستگیهای متقابل احتمالی و اثرات دومینووار؛
شناسایی اقدامات برای بهبود آمادگی و انعطافپذیری قبل از وقوع یک حادثهی سایبری مهم.
✔ فرایند نگارش برنامههای اضطراری همانقدر دارای اهمیت است که سند نهایی موسوم به برنامهی اضطراری مهم است. فرآیند برنامهریزی و نگارش برنامههای اضطراری میتواند مقامات، قابلیتها و شایستگیهای مرتبط با واکنش به حادثه را روشن کند و درک ذینفعانِ پاسخگو به حوادث سایبری را از نقشها و مسئولیتهای مربوط به خود، بهتر و عمیقتر کند.
✔ ایجاد تیم اصلی برنامهریزی برای فرایند برنامههای اضطراری بسیار مهم است. این تیم باید شامل یک نهاد اصلی و نمایندگان سازمانهای کلیدی باشد که مسئول پاسخگویی به حوادث سایبری واقعشده علیه نهادهای حیاتی و ملی هستند.
✔ فرایند برنامهریزی اضطراری دارای پنج مرحله است:
جمعآوری دادهها و بررسی تهدیدات: جمعآوری دادهها برنامهریزان را به سمت مسأله و پرسش اصلی هدایت میکند، نقطهی شروعی را برای برنامهریزی فراهم میکند و برنامه را مشخص میکند. برنامهریزان باید سعی کنند اسنادی را شناسایی کنند که میتواند به تیم برنامهریزی کمک کند تا خود نهادهای حیاتی و ملی، خطرات و تهدیدات موجود برای نهادهای حیاتی و ملی و روشهایی را که ذینفعانِ نهادهای حیاتی و ملی در حال حاضر در واکنش به حوادث سایبری مهم بهکار میگیرند، درک کنند. جمعآوری دادهها میتواند یک فرایند تکراری باشد که در طول فرایند برنامهریزی نیز منجر به کشف دادههای بیشتر شده و ادامه مییابد.
تدوین بیانیههای مأموریت و اهداف: برنامهریزان باید یک بیانیهی مأموریت اولیه تهیه کنند که میتواند به برنامهریزان جهت رسیدن به اهداف مورد نظر در واکنش به حادثه کمک کند. بیانیهی مأموریت، هدف سازمانی و نهایی است که شامل اقدامات و فعالیتهایی است که باید اجرا شوند. برای یک برنامه اضطراری، بیانیهی مأموریت باید بیان روشنی از این باشد که چه کسی برای دستیابی به نتیجهی کلی، چه کاری انجام میدهد.
تشریح بازههای زمانی و دورههای اقدام: گام بعدی در فرایند برنامهریزی، تدوین بازههای زمانی و تشریح دورههای اقدام جایگزین است؛ یعنی توالی اقداماتی که یک فرد یا سازمان میتواند برای دستیابی به یک هدف معین انجام دهد. چندین دورهی اقدام و بازهی زمانی میتواند به برنامهریزان کمک کند تا راههای جایگزینی را برای پرداختن به مجموعهای از چالشها شناسایی کرده و سپس آن گزینهها را برای تعیین مؤثرترین رویکرد از نظر عملیاتی، به حداقل رساندن ریسک و به حداکثر رساندن احتمال موفقیت، ارزیابی کنند. هر دورهی اقدام باید یک جدول زمانی حادثه، نقاط کلیدی تصمیمگیری و وظایف عملیاتی تعیینشده برای سازمانهای خاص ذینفع را مشخص کند. هر اقدامی باید متناسب با هدف مورد نظر، امکانپذیر، کامل و از نظر ریسک قابل قبول باشد.
شناسایی اقدامات اصلی و پیشنویس برنامه اضطراری: پس از طی مراحل قبل، برنامهریزان برای تدوین و توسعهی برنامه اضطراری آماده میشوند. چهار جزء اصلی برای نگارش برنامهی اضطراری وجود دارد:
الف. وضعیت: توضیح میدهد که چرا برنامه تدوین و تشریح شده است و اطلاعاتی را در خصوص دامنه و مفروضات کلیدی طرح ارائه میدهد؛
ب. نمای کلی: مأموریت، اهداف، نقشها و وظایف ذینفعان کلیدی که طرح را اجرا میکنند، توصیف میکند؛
ج. اجرا: گام به گام توضیح میدهد که چگونه ذینفعان به یک حادثهی سایبری مهم واکنش نشان خواهند داد؛ از جمله نحوهی شناسایی و ارزیابی حوادث (فاز ۱)، هماهنگی و اصلاح حادثه (فاز ۲) و کاهش و انتقال به عملیات پس از حادثه (فاز ۳) و همچنین هماهنگی عملیاتی و بهاشتراکگذاری اطلاعات را توضیح میدهد؛
د. ضمیمهها: اطلاعات اضافی را ارائه میدهد که مستقل از برنامه است؛ اما برای اجرای طرح اصلی مفید خواهد بود.
ارزیابی موانع و خطرات اجرای برنامه: برنامهریزان باید خطرات اجرای برنامه را ارزیابی کنند. هدف برنامه اضطراری، بسیج و هماهنگ کردن منابع و قابلیتها در زمان و مکان برای پاسخگویی، مهار اثرات و کاهش پیامدهای یک حادثهی سایبری مهم و ایجاد شرایط برای بهبود پیامدها در طولانیمدت است. بنابراین، ارزیابی موانع و خطرات باید بر خطرهایی تمرکز کند که در صورت تحقق، توانایی اجرای موفقیتآمیز برنامهی اضطراری را به خطر بیندازند و منجر به تأخیر در ارائهی پاسخ کافی به یک حادثهی سایبری مهم شوند. چنین خطراتی میتوانند شامل چالشهایی در شناسایی بهموقع یک حادثهی سایبری مهم، ناتوانی در دسترسی به منابع برای پاسخ لازم یا مشکلات در بهاشتراکگذاری اطلاعات باشد. دو دستهی کلی از این نوع خطرات وجود دارد که هر دو باید در فرایند ارزیابی خطرات، بهعنوان بخشی از فرایند تدوین یک برنامه اضطراری موفق، شناسایی، ارزیابی و اصلاح شوند:
الف. خطراتی که ممکن است مانع از رفع موفقیتآمیز حادثه سایبری برای نهادهای ملی و حیاتی و مانع از اجرای برنامه اضطراری شود.
ب. خطراتی که اگر بهعنوان جزئی از فرایند اجرای برنامه اضطراری تحقق یابد، میتواند توانایی سایر نهادهای ملی و حیاتی را نیز برای ارائه خدمات ضروری بهخطر بیندازد.
ارزیابی خطرات شامل مراحل زیر میشود:
الف. شناسایی خطرات برنامه اضطراری: شامل تهیه فهرست مطولی از خطرات است. این فهرست ممکن است از طریق مصاحبههای گروهی، بحثهای گروهی متمرکز (فوکوس گروپ) یا مصاحبههای فردی با ذینفعان آگاه و کارشناسان تهیه شود.
ب. تجزیه و تحلیل خطرات: شامل تشریح پیامدهای احتمالی خطرات مختلف است. بنابراین، تشخیص اینکه کدام خطر ممکن است مهم باشد، حائز اهمیت است. این تحلیلها میتوانند بر اساس ارزیابیهای کیفی مانند ارزیابی کارشناسان و تحلیلهای کمی که احتمالات و تأثیرات را تعیین میکند، باشد.
ج. کاهش خطرات: کاهش خطرات را میتوان به روشهای مختلفی انجام داد؛ مانند تقویت حفاظتهای طراحیشده برای جلوگیری از حملات سایبری و ایجاد خرابیهای پیاپی اساسی، بهبود شناسایی تهدیدهای نوظهور برای کاهش تأخیر در پاسخگویی از طریق ارزیابی خطرات و به اشتراکگذاری اطلاعات؛ اختصاص بودجه و منابع و انجام آموزش و تمرینهای منظم برای اطمینان از اینکه برنامهها دارای بودجهی مناسب هستند و کارکنان آمادگی لازم را دارند.
✔ ذینفعان میتوانند برنامه اضطراری تأییدشده را با انتشار آن عملیاتی کرده و به اجرا گذارند. اجرای مذکور با گذراندنِ این مراحل انجام میپذیرد: آزمایش کردن، عملیاتی نمودن و آموزش با آن؛ مستندسازی و ثبت و مرور درسهای آموختهشده؛ توسعهی پایگاههای دانش در خصوص امنیت سایبری و انعطافپذیری و نهایتاً، حفظ و به روزرسانی برنامه.
جمعبندی
تدوین و توسعه یک برنامهی واکنشی و پاسخدهنده نسبت به حوادث مهم سایبری یک کار پیچیده است که نیاز به همکاری نزدیک بین ذینفعان متعدد دارد. راهنمای تهیهشده توسط محققان مرکز تحلیل عملیاتی امنیت داخلی و کارمندانِ آژانس امنیت سایبری و امنیت زیرساخت در خصوص برنامهریزی اضطراری برای حوادث سایبری مهم، یک چارچوب گام به گام برای توسعهی یک برنامهی مؤثر (شامل یک برنامهی نمونهی قوی) ارائه میدهد که میتواند توسط ذینفعان نهادهای ملی و حیاتی ایالات متحده، برای توسعه طرحهای بخشها و نهادهای مذکور استفاده شود. همانگونه که برنامهریزان و سایر ذینفعان این تلاشها را برای برنامهریزی انجام دادهاند، آنها تشویق میشوند تا درسها و تجربههای آموختهشده را با آژانس امنیت سایبری و امنیت زیرساخت به اشتراک بگذارند تا از آژانس مذکور برای برنامهریزی اضطراری در پاسخ به حوادث سایبری، حمایت نمایند.
[۱] Cybersecurity and Infrastructure Security Agency
[۲] Department of Homeland Security
[۳] Homeland Security Operational Analysis Center
[۴] the RAND Corporation