2023 年初,奥克兰市遭遇了一次大规模的勒索软件攻击,瘫痪的不仅仅是网络。由于无法访问公共服务、医疗记录和各种基本需求,该市的许多居民陷入了混乱、痛苦和信任度下降的境地。网络安全团队看到的是技术故障。但是,对于 2200 万受到暗网上公布的 600 多千兆字节机密信息影响的人来说,这却是一场严重的个人灾难。
这不仅是一个警示故事,更是一记警钟。
如今,网络攻击已不再是孤立的 IT 事件。它们波及生活、企业和社区。然而,许多事件响应计划(IRP)仍将其视为需要修补的系统故障,导致情感和声誉受损的情况屡禁不止。
是时候转向了。以人为本的 IRP 不仅能保护基础设施,还能保护完整性。
为什么在网络事件中必须以人为本
这里有一个我们谈论得不够多的事实:你可以在一夜之间重新启动服务器。重建信任?那可是一场马拉松。
网络安全战略家莎拉-阿姆斯特朗-史密斯在最新一期《Trust.ID Talk》节目中指出:"当事情出错时,最能感受到后果的是技术背后的人。无论是面临工作不稳定的员工、因潜在身份盗窃而恐慌的客户,还是无法访问重要系统的公共部门工作人员,都会让真实的人感受到冲击波。
其影响远不止于挫败感。在客户敏感数据被泄露的情况下,尤其是在医疗保健、法律或教育等行业,下游损害可能包括欺诈、身份盗窃和公共服务中断。英国国家医疗服务系统(NHS)勒索软件恐慌仍是一个令人警醒的例子,它说明了网络事件如何通过系统瘫痪危及生命。
信任,尤其是数字信任,不再是软资产,而是基础资产。
以人为本的事件响应计划的关键要素
- 准备工作:
同理心不仅是一项软技能,还是网络安全的肌肉。使用考虑到心理压力和情绪反应的模拟方法对团队进行培训。绘制利益相关者地图,优先考虑人,而不仅仅是硬件。 - 检测和分析:
不要只评估技术严重性,还要评估人为后果。从第一天起,就将人力资源、通信和客户支持纳入应对策略。事件不是孤立的,所以你的团队也不应该是孤立的。 - 遏制、根除和恢复:
恢复不仅是行动上的,也是情感上的。快速、清晰、频繁地进行沟通。对内,以透明度为先导,让员工立足于现实。对外,要把客户的信任当作最宝贵的财富来对待--因为事实的确如此。 - 事故后回顾:
跳过空洞的汇报。更深入一些。不仅要从日志中收集反馈,还要从人们那里收集反馈。哪些地方感觉混乱?哪些地方本可以有所帮助?情绪化的事后总结是 IRP 隐藏的超级能力。
平衡人类影响与财务和声誉风险
IBM 将漏洞的平均成本定为 445 万美元。这是一个很高的数字。但是,当客户离开,或者更糟糕的是,您的合作伙伴公开质疑您的可靠性时,您的业务可能会损失更长的时间。
Armstrong-Smith 指出,中小企业尤其面临着严峻的现实 :
“实际上,80% 至 90% 的勒索软件目标都是员工人数少于 500 人的公司”。
在内部安全能力有限的情况下,支付赎金的决定可能会让人觉得是在求生存。但往往被忽视的是声誉成本。恐慌性支付可能会适得其反,扩大不信任,无意中助长有组织犯罪。
在事故发生后,不仅要考虑恢复的速度,还要考虑恢复的人性化程度。快速、感同身受的反应可以保护品牌资产,这是金钱无法做到的。
想要更多证据?单击此处了解为什么保护数字信任要从强大的网站安全开始。
以人为本的 IRP 的 10 个最佳做法
- 优先考虑对人的影响
- 尽早并经常保持透明
- 让沟通变得简单而富有情感
- 将人力资源和内部沟通纳入每项响应
- 预先指定冷静、训练有素的发言人
- 平衡资金和人力的恢复
- 将员工视为合作伙伴,而非负债
- 增强跨职能团队的能力(IT + 人力资源 + 法律 + 通信)
- 法律和财务追偿在人之后
- 在事后分析中纳入情感反馈
从恢复到复原--信任第一的方法
每家企业都有自己的内部审计计划,但很少有企业的内部审计计划是以同理心为主导的。现在是时候了,各组织应该认真审视自己的游戏规则,并问:"我们是在保护我们的员工,还是仅仅保护我们的利润?
网络复原力不仅仅是技术层面的。它更需要信任。这要从 Sarah Armstrong-Smith 所倡导的心态开始: “安全、隐私和复原力必须融入您的业务流程,而不是事后修修补补”。
你不需要一夜之间彻底改变一切。从小事做起。从换位思考开始。从今天开始。
