A kiberbiztonságban sokáig az volt a központi kérdés, hogy egy vállalat mennyire gyorsan veszi észre a támadást. Erre épültek a drága védelmi rendszerek, a monitorozás, az automatizált riasztások és a különböző biztonsági irányítópultok. Csakhogy a mostani fenyegetési környezetben egyre látványosabban kiderül, hogy az észlelés önmagában már nem elég. A valódi gyenge pont sok szervezetnél nem az, hogy nem látják időben a bajt, hanem az, hogy a riasztás után túl lassan fordítják le a technikai problémát üzleti döntésekké. Egy incidens első perceiben vagy óráiban gyakran már működésbe lép a technikai oldal. Megérkezik a riasztás, létrejön a válságkommunikációs csatorna, belépnek a biztonsági, informatikai, jogi, üzemeltetési és kommunikációs szereplők. A szervezet azonban ekkor sokszor még mindig csak azt próbálja megérteni, pontosan mivel áll szemben. Melyik rendszert kell először leválasztani, melyik adat a legfontosabb, milyen szolgáltatásnak kell mindenképpen életben maradnia, melyik beszállító vagy háttérrendszer válhat kritikus szűk keresztmetszetté a következő órákban. Ezeket a válaszokat nem éles helyzetben kellene keresni, mégis sok cégnél ekkor derül ki, hogy a tudás szétszórt, informális, vagy néhány kulcsember fejében van.
Ez azért veszélyesebb, mint valaha, mert a támadások tempója megváltozott. A Microsoft nemrég arra figyelmeztetett, hogy egyes Medusa zsarolóvírus-kampányoknál a sérülékeny, internet felől elérhető rendszerek kihasználásától az adatlopásig és a zsarolóvírus telepítéséig akár nagyjából 24 óra is elég lehet. Egy nap alatt nincs sok idő arra, hogy a vállalat akkor kezdje el feltérképezni, mi számít igazán kritikusnak. Ilyenkor már nem stratégiai gondolkodásra van szükség, hanem előre begyakorolt, gyorsan végrehajtható döntési rendre.
A probléma gyökere az, hogy a szervezetek rengeteget költöttek jobb detektorokra, de jóval kevesebbet arra, hogy a riasztás után hogyan mozogjon a teljes vállalat. Megtalálni a tüzet csak az első lépés. A következő az lenne, hogy legyenek jól felkészített "tűzoltók", akik pontosan tudják, mit kell elzárni, mit kell megmenteni, kit kell értesíteni, milyen döntést ki hozhat meg, és milyen sorrendben kell helyreállítani a rendszereket. Sok helyen azonban a válaszfolyamat nem ilyen feszes. Kritikus rendszerek listái túl általánosak, eszkalációs útvonalak táblázatokban élnek, tartalék eljárások hónapokkal korábbi állapotot tükröznek, az éves válsággyakorlat pedig inkább kipipált kötelező kör, mint valódi felkészítés. A modern kiberreziliencia ezért nem több biztonsági terméket jelent, hanem fegyelmezettebb működési modellt. Egy vállalatnak támadás előtt kell tudnia, mely adatok, szolgáltatások, üzleti folyamatok és kommunikációs csatornák létfontosságúak. Azt is előre kell rögzíteni, mit lehet ideiglenesen feláldozni, mi az, amit mindenáron meg kell őrizni, és mely döntések nem csúszhatnak bizonytalanságba még néhány órára sem. Ez nem papíron jól mutató megfelelőségi lista, hanem a működés valós térképe.
Ugyanilyen fontos a gyakorlás. A nagy, évente egyszer megtartott asztali szimulációknál sokkal többet érnek a kisebb, ismételhető, célzott gyakorlatok. A csapatoknak nem általánosságban kell tudniuk, hogy "incidens esetén együttműködnek", hanem konkrét döntési helyzeteket kell újra és újra elpróbálniuk. Ki szigetel le egy rendszert, ki mondja ki, hogy válsághelyzet van, ki beszél az alkalmazottakkal, ki tájékoztatja az ügyfeleket, milyen szolgáltatás áll helyre először, és melyik külső függőség akaszthatja meg az egész folyamatot. Ezek a döntések nyugodt helyzetben kezelhetőnek tűnnek, időnyomás alatt viszont gyorsan drágává válnak.
A kommunikációt sem lehet utólag hozzáragasztani a technikai válaszhoz. Egy támadásnál a kommunikáció maga is része az incidenskezelésnek. Ha az alkalmazottak nem tudják, melyik csatorna biztonságos, a partnerek nem kapnak egyértelmű kontaktpontot, a vezetők pedig olyan rendszeren próbálnak egyeztetni, amelyet éppen érinthet a támadás, akkor a válaszidő azonnal nő. A technikai csapat közben dolgozhat hatékonyan, de ha a szervezet többi része bizonytalanul mozog körülötte, az egész védekezés lelassul. Erre jó példa az is, amikor egy kibertámadás már nem csak informatikai ügyként jelenik meg. Az Egyesült Államokban Minnesota államban idén tavasszal egy támadás annyira megzavarta egy megye kritikus rendszereit és digitális szolgáltatásait, hogy Tim Walz kormányzó a Nemzeti Gárda támogatását is engedélyezte. Ez pontosan megmutatja, hol húzódik a határ: egy kiberincidens abban a pillanatban válik szélesebb működési válsággá, amikor az alapvető szolgáltatások, a döntési útvonalak és a kommunikáció is meginog.
A következő években ezért nem az választja majd el egymástól az érett és az éretlen szervezeteket, hogy ki kap riasztást és ki nem. A detekció sokat fejlődött, és egyre több cég látja időben, hogy baj van. A valódi különbség ott jelenik meg, hogy ki képes nyomás alatt cselekedni, és ki kezd el akkor vitatkozni arról, mi számít fontosnak, amikor a támadás már halad előre. Ez az új kiberbiztonsági rés: nem az információ hiánya, hanem a válasz késése. A riasztás és a döntés közötti idő ma már kritikus üzleti kockázat. Egy jó biztonsági rendszer csak jelezni tudja, hogy gond van. A szervezetnek kell tudnia, mit kezd ezzel a jelzéssel. Ha ez a tudás nincs előre felépítve, begyakorolva és vezetői szinten is tisztázva, akkor a legmodernebb eszközök mellett is elveszhetnek értékes órák. A támadóknak pedig sokszor már ennyi is elég.
