برنامه‌ریزی برای حوادث سایبری مهم؛ مقدمه‌ای برای تصمیم‌گیران

امروزه حوادث و حملات سایبری به صورت گسترده در سطح جهان رخ می دهند. هرچه وسعت حمله بیشتر و نقطه هدف حوادث حساس‌تر باشد، تبعات مخرب بیشتری خواهد داشت و در نتیجه اهمیت بیشتری دارد. کشورها در راستای پاسخ‌گویی و مسئولیت‌پذیری نهادهای ذی‌ربط، مهار اثرات و کاهش پیامدهای یک حادثه‌ی سایبری مهم و ایجاد شرایط برای بهبود پیامدها در طولانی‌مدت، اقدام به برنامه‌ریزی برای مواجهه با حوادث سایبری مهم می‌کنند.

روند حوادث سایبری در سطح جهان عبارت است از اینکه تعداد این حوادث رو به ازدیاد است و این حوادث مخل‌تر و پرهزینه‌تر می‌شوند. برخی از چنین حوادثی از ظرفیت بازیگران فعلی در کشورها برای پاسخگویی با استفاده از وسایل روزمره فراتر است؛ بنابراین کشورها به دنبال برنامه‌ریزی جامع و هماهنگ هستند تا از ظرفیت بخش خصوصی نیز بهره‌مند باشند.

آژانس امنیت سایبری و امنیت زیرساخت (CISA)[۱] در وزارتخانه امنیت داخلی آمریکا (DHS)[۲] از مرکز تحلیل عملیاتی امنیت داخلی (HSOAC)[۳] درخواست کرد تا راهنمایی اجرایی در خصوص برنامه‌ریزی اضطراری تهیه کند که نهادهای حیاتی ایالات متحده بتوانند از آن برای توسعه‌ برنامه‌های اضطراری مخصوص خود استفاده کنند تا اثرات حوادث سایبری کاهش یابد. این گزارش که با اپراتوری موسسه رند[۴] انجام شده است، مروری بر چگونگی برنامه‌ریزی اضطراری برای یک حادثه‌ی سایبری مهم است.

با توجه به اینکه کشور ما نیز آماج حملات و حوادث سایبری قرار می‌گیرد، نیازمند تدوین برنامه‌ اقدام در زمینه مدیریت این حوادث هستیم. هرچندکه «علاج واقعه پیش از وقوع باید کرد»؛ اما امروزه بروز حوادث سایبری اجتناب‌ناپذیر شده است؛ بنابراین بعد از واقعه نیز به علاج نیاز دارد و باید از گسترش بحران جلوگیری کرد. در تلخیص حاضر، اجزاء یک برنامه اضطراری (ابزارهای مفید برای تسهیل پاسخ‌گویی هماهنگ، سریع و مؤثر به حوادث سایبری مهم) و اینکه چه فرایندی در تدوین آن برنامه طی می‌شود، مرور شده است تا بتوان از تجارب مذکور بهره‌مند شد.

بیان مسئله
تعداد حوادث سایبری در حال افزایش است و این حوادث روزبه‌روز مخربانه‌تر و پرهزینه‌تر می‌شوند و این در حالی است که ذی‌نفعان و استفاده‌کنندگان از فضای سایبر، از قابلیت لازم برای پاسخ‌گویی به این حوادث با استفاده از ابزارهای معمول، برخوردار نیستند.

سند سیاست‌گذاری دولتی ایالات متحده‌ آمریکا در سال ۲۰۱۶، حوادث سایبری مهم را این‌چنین تعریف می‌کند: «یک حادثه‌ی سایبری (یا گروهی از حوادث سایبری مرتبط که با هم‌دیگر رخ می‌دهند) که منجر به آسیب قابل اثبات در موارد ذیل می‌شود: منافع امنیت ملی، روابط خارجی یا اقتصاد ایالات متحده، اعتماد عمومی، آزادی‌های مدنی، سلامت عمومی یا ایمنی مردم آمریکا».

تهدید حوادث سایبری نسبت به نهادهای حیاتی و ملی ایالات متحده بسیار زیاد است. ایمن‌سازی نهادهای حیاتی و ملی مستلزم یکپارچگی تلاش‌ها در داخل حاکمیت و همکاری مؤثر در داخل دولت‌های ایالتی، محلی و بخش خصوصی است. در راستای تلاش برای این یکپارچگی و هماهنگی، در سال ۲۰۱۶، دولت ایالات متحده سیاست چهل‌ویکم و یک برنامه‌ی بالادستی ملی برای واکنش به حوادث سایبری را جهت ارتقای وحدت و یک‌پارچگی در میان پاسخ‌دهندگان دولتی به چنین حوادثی تنظیم کرد. با این حال، این اسناد نقش‌ها و مسئولیت‌های ذی‌نفعان بخش خصوصی را در واکنش به حوادث سایبری یا نحوه‌ی هماهنگی تلاش‌های تمام ذی‌نفعان را در پاسخ به حوادث سایبری مهم، مشخص نمی‌کند. در این راستا، آژانس امنیت سایبری و امنیت زیرساخت در وزارتخانه امنیت داخلی از مرکز تحلیل عملیاتی امنیت داخلی (مرکز منتشرکننده‌ی این گزارش) درخواست کرد تا راهنمای اجرایی برنامه‌ریزی اضطراری، شامل یک نمونه‌برنامه‌ی اضطراری را تهیه کند که نهادهای حیاتی و ملی ایالات متحده بتوانند از آن برای توسعه‌ برنامه‌های اضطراری مخصوص خود استفاده کنند و از پاسخ مرکز مذکور برای کاهش اثرات حوادث سایبری قابل توجه که بر نهادهای حیاتی و ملی تأثیر می‌گذارد، استفاده کنند. این گزارش مروری بر چگونگی برنامه‌ریزی اضطراری برای یک حادثه‌ی سایبری مهم است.

شایان ذکر است که یک برنامه را می‌توان در سه سطح «استراتژیک»، «اجرایی» و «تاکتیکی» مورد تدوین و توسعه قرار داد که البته در این گزارش، بر برنامه‌ریزی در سطح اجرایی تمرکز می‌شود. یک برنامه در سطح اجرایی می‌تواند به‌عنوان مبنایی برای برنامه‌ریزی در سطح «تاکتیکی» باشد و می‌تواند به ذی‌نفعان کمک کند تا منابع، آموزش و تجهیزات مورد نیاز را پیش از وقوع یک حادثه‌ی واقعی شناسایی کنند.

یافته‌ها
✔ تصمیم‌گیری برای پاسخ به یک حادثه‌ی سایبری مهم که بر عملکرد نهادهای حیاتی و ملی ایالات متحده تأثیر می‌گذارد، چالش‌برانگیز است؛ زیرا این حوادث سایبری شامل حوادثی هستند که با سرعت بالا رخ‌ می‌دهند، درجه‌ی بالایی از عدم قطعیت دارند و همچنین زمان شروع و پایان آن‌ها نامشخص بوده و علت آن‌ها نیز ناشناخته است.

✔ برنامه‌ریزی برای پاسخ به یک حادثه‌ی سایبری بسیار ضروری و مهم است؛ زیرا دولت و بخش خصوصی مسئول حوادث سایبری قابل توجهی هستند که بر نهادهای حیاتی و ملی اعمال می‌شود. به برنامه‌های مذکور، برنامه‌های اضطراری گفته می‌شود. برنامه‌های اضطراری ابزارهای مفیدی برای تسهیل پاسخ‌گویی هماهنگ، سریع و مؤثر به حوادث سایبری مهم و سایر موارد احتمالی هستند.

✔ یک برنامه‌ اضطراری در سطح اجرایی باید دربردارنده‌ی موارد ذیل باشد:

هدف طرح: اهداف واکنش به حادثه‌ی سایبری و وضعیت نهایی مطلوب؛
تهدیدها یا خطراتی که برنامه با آن مواجه خواهد بود؛
محدوده‌ی کاربرد: شرایطی که برنامه برای آن شرایط تدوین شده و در نظر گرفته شده است؛
شرایطی که می‌تواند منجر به اجرای برنامه شود؛
نقش‌های سازمانی، مسئولیت‌ها و مکانیسم‌های هماهنگی بین مسئولیت‌های مختلف.
✔ بنابراین، برنامه‌های اضطراری به موارد ذیل کمک کرده و در آن‌ها تأثیرگذار هستند:

روشن شدن نقش‌ها و مسئولیت‌های ذی‌نفعان واکنش به حوادث سایبری؛
ایجاد الزامات برای اشتراک‌گذاری اطلاعات؛
مشخص کردن مکانیسم‌های هماهنگی؛
شناسایی وابستگی‌های متقابل احتمالی و اثرات دومینووار؛
شناسایی اقدامات برای بهبود آمادگی و انعطاف‌پذیری قبل از وقوع یک حادثه‌ی سایبری مهم.
✔ فرایند نگارش برنامه‌های اضطراری همان‌قدر دارای اهمیت است که سند نهایی موسوم به برنامه‌ی اضطراری مهم است. فرآیند برنامه‌ریزی و نگارش برنامه‌های اضطراری می‌تواند مقامات، قابلیت‌ها و شایستگی‌های مرتبط با واکنش به حادثه را روشن کند و درک ذی‌نفعانِ پاسخ‌گو به حوادث سایبری را از نقش‌ها و مسئولیت‌های مربوط به خود، بهتر و عمیق‌تر کند.

✔ ایجاد تیم اصلی برنامه‌ریزی برای فرایند برنامه‌های اضطراری بسیار مهم است. این تیم باید شامل یک نهاد اصلی و نمایندگان سازمان‌های کلیدی باشد که مسئول پاسخ‌گویی به حوادث سایبری واقع‌شده علیه نهادهای حیاتی و ملی هستند.

✔ فرایند برنامه‌ریزی اضطراری دارای پنج مرحله است:

جمع‌آوری داده‌ها و بررسی تهدیدات: جمع‌آوری داده‌ها برنامه‌ریزان را به سمت مسأله و پرسش اصلی هدایت می‌کند، نقطه‌ی شروعی را برای برنامه‌ریزی فراهم می‌کند و برنامه را مشخص می‌کند. برنامه‌ریزان باید سعی کنند اسنادی را شناسایی کنند که می‌تواند به تیم برنامه‌ریزی کمک کند تا خود نهادهای حیاتی و ملی، خطرات و تهدیدات موجود برای نهادهای حیاتی و ملی و روش‌هایی را که ذی‌نفعانِ نهادهای حیاتی و ملی در حال حاضر در واکنش به حوادث سایبری مهم به‌کار می‌گیرند، درک ‌کنند. جمع‌آوری داده‌ها می‌تواند یک فرایند تکراری باشد که در طول فرایند برنامه‌ریزی نیز منجر به کشف داده‌های بیشتر شده و ادامه می‌یابد.
تدوین بیانیه‌های مأموریت و اهداف: برنامه‌ریزان باید یک بیانیه‌ی مأموریت اولیه تهیه کنند که می‌تواند به برنامه‌ریزان جهت رسیدن به اهداف مورد نظر در واکنش به حادثه کمک کند. بیانیه‌ی مأموریت، هدف سازمانی و نهایی است که شامل اقدامات و فعالیت‌هایی است که باید اجرا شوند. برای یک برنامه‌ اضطراری، بیانیه‌ی مأموریت باید بیان روشنی از این باشد که چه کسی برای دست‌یابی به نتیجه‌ی کلی، چه کاری انجام می‌دهد.
تشریح بازه‌های زمانی و دوره‌های اقدام: گام بعدی در فرایند برنامه‌ریزی، تدوین بازه‌های زمانی و تشریح دوره‌های اقدام جایگزین است؛ یعنی توالی اقداماتی که یک فرد یا سازمان می‌تواند برای دست‌یابی به یک هدف معین انجام دهد. چندین دوره‌ی اقدام و بازه‌ی زمانی می‌تواند به برنامه‌ریزان کمک کند تا راه‌های جایگزینی را برای پرداختن به مجموعه‌ای از چالش‌ها شناسایی کرده و سپس آن گزینه‌ها را برای تعیین مؤثرترین رویکرد از نظر عملیاتی، به حداقل رساندن ریسک و به حداکثر رساندن احتمال موفقیت، ارزیابی کنند. هر دوره‌ی اقدام باید یک جدول زمانی حادثه، نقاط کلیدی تصمیم‌گیری و وظایف عملیاتی تعیین‌شده برای سازمان‌های خاص ذی‌نفع را مشخص کند. هر اقدامی باید متناسب با هدف مورد نظر، امکان‌پذیر، کامل و از نظر ریسک قابل قبول باشد.
شناسایی اقدامات اصلی و پیش‌نویس برنامه‌ اضطراری: پس از طی مراحل قبل، برنامه‌ریزان برای تدوین و توسعه‌ی برنامه‌ اضطراری آماده می‌شوند. چهار جزء اصلی برای نگارش برنامه‌ی اضطراری وجود دارد:
الف. وضعیت: توضیح می‌دهد که چرا برنامه تدوین و تشریح شده است و اطلاعاتی را در خصوص دامنه و مفروضات کلیدی طرح ارائه می‌دهد؛

ب. نمای کلی: مأموریت، اهداف، نقش‌ها و وظایف ذی‌نفعان کلیدی که طرح را اجرا می‌کنند، توصیف می‌کند؛

ج. اجرا: گام به گام توضیح می‌دهد که چگونه ذی‌نفعان به یک حادثه‌ی سایبری مهم واکنش نشان خواهند داد؛ از جمله نحوه‌ی شناسایی و ارزیابی حوادث (فاز ۱)، هماهنگی و اصلاح حادثه (فاز ۲) و کاهش و انتقال به عملیات پس از حادثه (فاز ۳) و همچنین هماهنگی عملیاتی و به‌اشتراک‌گذاری اطلاعات را توضیح می‌دهد؛

د. ضمیمه‌ها: اطلاعات اضافی را ارائه می‌دهد که مستقل از برنامه است؛ اما برای اجرای طرح اصلی مفید خواهد بود.

ارزیابی موانع و خطرات اجرای برنامه: برنامه‌ریزان باید خطرات اجرای برنامه را ارزیابی کنند. هدف برنامه‌ اضطراری، بسیج و هماهنگ کردن منابع و قابلیت‌ها در زمان و مکان برای پاسخ‌گویی، مهار اثرات و کاهش پیامدهای یک حادثه‌ی سایبری مهم و ایجاد شرایط برای بهبود پیامدها در طولانی‌مدت است. بنابراین، ارزیابی موانع و خطرات باید بر خطرهایی تمرکز کند که در صورت تحقق، توانایی اجرای موفقیت‌آمیز برنامه‌ی اضطراری را به خطر بیندازند و منجر به تأخیر در ارائه‌ی پاسخ کافی به یک حادثه‌ی سایبری مهم شوند. چنین خطراتی می‌توانند شامل چالش‌هایی در شناسایی به‌موقع یک حادثه‌ی سایبری مهم، ناتوانی در دسترسی به منابع برای پاسخ لازم یا مشکلات در به‌اشتراک‌گذاری اطلاعات باشد. دو دسته‌ی کلی از این نوع خطرات وجود دارد که هر دو باید در فرایند ارزیابی خطرات، به‌عنوان بخشی از فرایند تدوین یک برنامه‌ اضطراری موفق، شناسایی، ارزیابی و اصلاح شوند:
الف. خطراتی که ممکن است مانع از رفع موفقیت‌آمیز حادثه‌ سایبری برای نهادهای ملی و حیاتی و مانع از اجرای برنامه‌ اضطراری شود.

ب. خطراتی که اگر به‌عنوان جزئی از فرایند اجرای برنامه‌ اضطراری تحقق یابد، می‌تواند توانایی سایر نهادهای ملی و حیاتی را نیز برای ارائه‌ خدمات ضروری به‌خطر بیندازد.

ارزیابی خطرات شامل مراحل زیر می‌شود:

الف. شناسایی خطرات برنامه‌ اضطراری: شامل تهیه‌ فهرست مطولی از خطرات است. این فهرست ممکن است از طریق مصاحبه‌های گروهی، بحث‌های گروهی متمرکز (فوکوس گروپ) یا مصاحبه‌های فردی با ذی‌نفعان آگاه و کارشناسان تهیه شود.

ب. تجزیه و تحلیل خطرات: شامل تشریح پیامدهای احتمالی خطرات مختلف است. بنابراین، تشخیص این‌که کدام خطر ممکن است مهم باشد، حائز اهمیت است. این تحلیل‌ها می‌توانند بر اساس ارزیابی‌های کیفی مانند ارزیابی کارشناسان و تحلیل‌های کمی که احتمالات و تأثیرات را تعیین می‌کند، باشد.

ج. کاهش خطرات: کاهش خطرات را می‌توان به روش‌های مختلفی انجام داد؛ مانند تقویت حفاظت‌های طراحی‌شده برای جلوگیری از حملات سایبری و ایجاد خرابی‌های پیاپی اساسی، بهبود شناسایی تهدیدهای نوظهور برای کاهش تأخیر در پاسخ‌گویی از طریق ارزیابی خطرات و به اشتراک‌گذاری اطلاعات؛ اختصاص بودجه و منابع و انجام آموزش و تمرین‌های منظم برای اطمینان از این‌که برنامه‌ها دارای بودجه‌ی مناسب هستند و کارکنان آمادگی لازم را دارند.

✔ ذی‌نفعان می‌توانند برنامه‌ اضطراری تأییدشده را با انتشار آن عملیاتی کرده و به اجرا گذارند. اجرای مذکور با گذراندنِ این مراحل انجام می‌پذیرد: آزمایش کردن، عملیاتی نمودن و آموزش با آن؛ مستندسازی و ثبت و مرور درس‌های آموخته‌شده؛ توسعه‌ی پایگاه‌های دانش در خصوص امنیت سایبری و انعطاف‌پذیری و نهایتاً، حفظ و به ‌روزرسانی برنامه.

جمع‌بندی
تدوین و توسعه‌ یک برنامه‌ی واکنشی و پاسخ‌دهنده نسبت به حوادث مهم سایبری یک کار پیچیده است که نیاز به همکاری نزدیک بین ذی‌نفعان متعدد دارد. راهنمای تهیه‌شده توسط محققان مرکز تحلیل عملیاتی امنیت داخلی و کارمندانِ آژانس امنیت سایبری و امنیت زیرساخت در خصوص برنامه‌ریزی اضطراری برای حوادث سایبری مهم، یک چارچوب گام به گام برای توسعه‌ی یک برنامه‌ی مؤثر (شامل یک برنامه‌ی نمونه‌ی قوی) ارائه می‌دهد که می‌تواند توسط ذی‌نفعان نهادهای ملی و حیاتی ایالات متحده، برای توسعه‌ طرح‌های بخش‌ها و نهادهای مذکور استفاده شود. همان‌گونه که برنامه‌ریزان و سایر ذی‌نفعان این تلاش‌ها را برای برنامه‌ریزی انجام داده‌اند، آن‌ها تشویق می‌شوند تا درس‌ها و تجربه‌های آموخته‌شده را با آژانس امنیت سایبری و امنیت زیرساخت به اشتراک بگذارند تا از آژانس مذکور برای برنامه‌ریزی اضطراری در پاسخ به حوادث سایبری، حمایت نمایند.

[۱] Cybersecurity and Infrastructure Security Agency

[۲] Department of Homeland Security

[۳] Homeland Security Operational Analysis Center

[۴] the RAND Corporation