Vytvorenie efektívneho DR plánu

Ešte donedávna plán reakcie na incidenty (známejší ako disaster recovery, alebo DR plán) bol nevyhnutný iba pre veľké organizácie. Dnes už žiadny podnik či inštitúcia nedokážu vylúčiť možnosť kybernetického útoku a preto je DR plán vyslovene žiadúci a pre strategické podniky a ich dodávateľov, zákonom povinný.

V článku Testovanie plánu obnovy neradno podceňovať píšeme o potrebe udržiavania a aktualizácii DR plánu. Tento krát sa povenujeme tomu, ako vytvoriť efektívny DR plán.

Kroky ku vytvoreniu DR plánu

1. Definovanie tímu pre reakciu po incidente

• Vedúci tímu - obvykle osoba z vedenia podniku, ktorá v mimoriadnej situácii má právomoc rozhodovania (decision maker) o variantných riešeniach. 
• Odborný tím - vlastní (či externí) IT odborníci, expert na právo, bezpečnostný expert, osoba poverená komunikáciou s obchodnými partnermi, zodpovednými inštitúciami a verejnosťou.
• Verejné služby - hasiči, polícia, úrady, ...

2. Vyhodnotenie rizík

• Určenie systémov a dát, kritických pre chod podniku (výroba, mzdová agenda, dochádzka, CRM systém, ...)
• Rizika tretích strán (obchodní partneri, zmluvy, GDPR, ...)
• Bezpečnosť práce na diaľku (home office, pobočky, alokované pracoviska)
• Evidencia nedostatkov súčasných bezpečnostných opatrení 

3. Definovanie postupov a priorít

• Vyhodnotenie možných následkov incidentu pri bežných scenároch
• Definovanie priorít obnovy kritických údajov a systémov
• Kroky na izoláciu problému a zabránenie ďalším škodám
• Postupnosť pri obnove údajov, aplikácii a systémov pre základné fungovanie podniku
• Zdokumentovanie zvolenej reakcie a jej účinnosti 

4. Plán komunikácie a školení

• Komunikačný plán interný - aktualizácie poverených zamestnancov, aktualizácie DR plánu, informovanie a školenia zamestnancov
• Komunikačný plán externý - protokoly oznámení obchodným partnerom a príslušným inštitúciám

5. Testovania a aktualizácie DR plánu

• Simulácia výpadkov (Crache test) - podľa potreby, minimálne raz do roka
• Interné a externé, nedeštruktívne penetračné testy na overenie súladu s predpismi
• Aktualizácie ako napr. zmena personálu, systémov, ... - podľa potreby, minimálne raz ročne
• Povinné aktualizácie zohľadňujúce nove technológie, aktuálne hrozby a regulácie

Bežné chyby pri vytváraní DR plánu

• Neinformovanosť, zatajovanie - vyvoláva zmätky na začiatku či počas incidentu a zbytočne zvyšuje tenzie v spoločnosti a vo vzťahu ku obchodným partnerom
• Slabá koordinácia tímov - predlžuje čas na odstránenie problému
• Netestované zálohy - vedie k ďalšej katastrofe pri obnove produkcie
• Zle zvolené zálohovacie riešenie - pri incidente čas hra obrovskú rolu a pomalá obnova spôsobuje finančné škody.
• Zaplatenie výkupného - riziko ďalších útokov na platiaceho "zákazníka"
• Odmetanie odbornej pomoci - skúsený partner dokáže lepšie predchádzať rizikám a prevziať časť zodpovednosti za výsledok

Spoločnosť CDP sa bežne podieľa na tvorbe DR plánov pre malé a stredné podniky.