Cele ce urmează sînt scrise din perspectiva une cerințe NIS2: managementul organizației trebuie să aibă cunoștințe despre…managementul riscurilor. Iar managementul riscurilor nu este despre prognoze. Prin urmare, pentru cititorii non-tehnici care ajung să citească aceste rînduri, voi da o definiție simplă: un ransomware este un fel de virus/malware care criptează toate datele companiei și blochează accesul organizației la sistemele sale critice: e-mail, ERP, baze de date, fișiere. Criptează tot ce găsește.

Teoria sau/și standardele ne învață că ”lucruri rele” precum raansomware se pot întîmpla din varii motive, mai mult sau mai puțin aflate sub controlul nostru. Este bine să fim pregătiți cu două instrumente:

• Business Continuity Plan (BCP) – asigură instrucțiuni pentru continuarea funcțiilor companiei prin operare manuală, comunicații și procesări alternative etc.
• Disaster Recovery Plan (DRP) – asigură instrucțiuni pentru recuperarea datelor și a sistemelor IT

Ambele lucrează în timpul (BCP) și după (DRP) perturbări/întreruperi/dezastre, dar din unghiuri diferite: prin BCP tratezi efectul iar prin DRP cauza. Dacă în anii în care procesele economice nu erau așa dependente de tehnologie aceste două activități puteau fi privite separat, astăzi lucrurile nu mai stau așa.

BCP presupune:

1. Activarea planului de comunicare în caz de criză (cineva știe ce reprezintă o criză pentru organizație): notificarea personalului, clienților și partenerilor; utilizarea instrumentelor alternative de comunicare (de exemplu, telefoane personale, aplicații de mesagerie securizate).
2. Trecerea la procese manuale sau alternative: utilizarea instrumentelor offline (hârtie, foi de calcul) pentru a continua procesarea vânzărilor, facturilor sau asistenței pentru clienți.
3. Relocarea funcțiilor critice: Dacă sistemele sunt inaccesibile în rețeaua principală, personalul critic poate trece la sisteme de rezervă neafectate de atac.
4. Colaborarea cu departamentul juridic, de conformitate și de relații publice: pregătirea declarațiilor publice și notificarea organismelor de reglementare (de exemplu, ANSPDCP dacă datele personale sunt afectate, DNSC)

DRP presupune:

1. Izolarea sistemelor infectate: deconectarea mașinilor și rețelelor compromise pentru a opri răspândirea.
2. Inițierea investigației criminalistice: identificarea modului în care a intrat ransomware-ul și a sistemelor/date afectate.
3. Restaurarea sistemelor din copii de rezervă curate: utilizarea de copii de rezervă offline pentru a readuce online serverele
4. Reconstruire și securizare infrastructură: corectare vulnerabilitățile, resetare credențiale… 
5. Testare pentru a obține asigurări că sistemele restaurate funcționează corect și în siguranță înainte de a fi puse în funcțiune.

Din cele scrise mai sus poți deja să ai imaginea resurselor de care ai nevoie: oameni, tehnologie (SOC?)….și bani.

(Clarificare ulterioră publicării inițiale.

Mi s-a atras atenția pe Linkedin că am inclus în cazul DRP ”izolarea”. Așa este. Înainte ar fi trebuit să scriu despre ”managementul incidentelor. Dar nu asta mi-am propus cînd am scris: să fiu riguros academic/tehnic Regret neclaritatea.

Cele de mai sus nu reprezintă conținutul/etapele/procesele unui BCP sau DRP conform vreunui manual/standard bună practică. Și în cazul BCP și în cazul DRP, ”cineva” declară criza (și se trece la ”managementul crizei”)/dezastrul. Și acel ”cineva” nu este nici de la IT nici de la securitate. Este un reprezentat al managementului superior. Textul meu acestora din urmă se adresează. De ”rigoarea” proceselor conform standardelor/bunelor practici/cerințelor legale se ocupă responsabilul în cauză)