Καθώς οι κυβερνοεπιθέσεις  αυξάνονται σε κλίμακα και συχνότητα, η έννοια της αντιμετώπισης και απόκρισης των σχετικών περιστατικών – Incident Response – καθίστανται ζωτικά για την άμυνα ενός οργανισμό σε τέτοιες επιθέσεις. Η μη επαρκής ανταπόκριση σε ένα τέτοιο περιστατικό, μπορεί όχι μόνο να έχει αρνητικές επιπτώσεις στην σχέση του οργανισμού με  τους πελάτες του, αλλά και να αποτελέσει την βάση για την επιβολή κανονιστικών μέτρων και ρυθμίσεων.

 

Παναγιώτης Καλαντζής
Cyber Security & Data Privacy Expert

 

 

 

Τα πρόσφατα σχετικά παραδείγματα από τον διεθνή χώρο είναι πολυσυζητημένα, με χαρακτηριστικότερα την επανειλημμένη αποτυχία της Target για την ανάπτυξη αποτελεσματικής υποδομής εσωτερικής ασφάλειας, η οποία κατέστησε τα αποτελέσματα της κυβερνοεπίθεσης στην οποία ήταν στόχος το 2013, αισθητά χειρότερα. Ακόμα, η απόφαση της Equifax να μην μοιραστεί πληροφορίες σχετικά με την κυβερνοεπίθεση στην οποία ήτα στόχος το 2017 με το κοινό έβλαψε σημαντικά την εικόνα της επωνυμίας της. Τα παραπάνω περιστατικά, μεταξύ άλλων, καταδεικνύουν ότι η αποτελεσματική αντιμετώπιση περιστατικών ασφάλειας, τόσο σε τεχνικό, όσο και σε οργανωτικό επίπεδο είναι κρίσιμη, ανεξάρτητα από τον κλάδο του οργανισμού.

Αντιμετώπιση περιστατικών ασφάλειας – ανάγκη ή πολυτέλεια

Η έννοια της αντιμετώπισης περιστατικών ασφάλειας περιλαμβάνει την μεθοδολογία που χρησιμοποιεί ένας οργανισμός (σχέδια, μεθόδους και εργαλεία) ώστε με επάρκεια να διαχειριστεί τους διαθέσιμους πόρους για να προετοιμαστεί και να αντιμετωπίσει μια κυβερνοεπίθεση αλλά και να ελαχιστοποιήσει τις πιθανές επιπτώσεις.
Μια επιτυχημένη κυβερνοεπίθεση ή παραβίαση δεδομένων μπορεί να έχει καταστροφικά αποτελέσματα τόσο επηρεάζοντας τους υπάλληλους, τους πελάτες και τους συνεργάτες του οργανισμού, αλλά να έχει σοβαρές επιπτώσεις στον χρόνο και τους πόρους του οργανισμού, την αξία της επωνυμίας, ακόμα σε θέματα πνευματικής ιδιοκτησίας.
Αντίστοιχα, ο σκοπός μας επιτυχημένης αντίδρασης / αντιμετώπισης του περιστατικού αποσκοπεί στη μείωση της βλάβης και στην αποκατάσταση της λειτουργίας του οργανισμού όσο το δυνατόν γρηγορότερα. Η διερεύνηση του περιστατικού αποτελεί επίσης ένα βασικό στοιχείο μιας επιτυχημένης αντιμετώπισης, ώστε να μάθει κανείς από την επίθεση και να προετοιμαστεί καλύτερα για το μέλλον.

Σχέδιο αντιμετώπισης περιστατικών ασφάλειας

Λαμβάνοντας ως δεδομένο ότι το διακύβευμα για τους οργανισμούς στο σύγχρονο περιβάλλον δεν είναι το αν θα αντιμετωπίζουν μια κυβερνοεπίθεση, αλλά σε πιο χρονικό σημείο θα συμβεί αυτό, είναι αναγκαίο οι οργανισμοί να έχουν, τουλάχιστον, ένα σαφές σχέδιο αντιμετώπισης περιστατικών. Είναι γνωστή εξάλλου η ρήση του Winston Churchill, ότι όποιος αποτυγχάνει να σχεδιάσει, σχεδιάζει να αποτύχει.
Ένα σχέδιο αντιμετώπισης περιστατικών ασφάλειας θα πρέπει να ορίζει τι αποτελεί συμβάν για τον οργανισμό, και να παρέχει μια σαφή, λεπτομερή και καθοδηγούμενη διαδικασία που πρέπει να ακολουθείται όταν συμβεί κάποιο περιστατικό. Επιπρόσθετα, είναι σκόπιμο να προσδιοριστούν οι ομάδες, οι υπάλληλοι ή οι διοικητικοί ηγέτες που είναι υπεύθυνοι τόσο για τη διαχείριση της πρωτοβουλίας συνολικής αντιμετώπισης περιστατικών όσο και για εκείνους που είναι επιφορτισμένοι με τη λήψη κάθε δράσης που καθορίζεται στο σχέδιο αντιμετώπισης περιστατικών.
Σύμφωνα με το αμερικανικό ινστιτούτο SANS[1], ένα συνεκτικό και ολοκληρωμένο σχέδιο αντιμετώπισης περιστατικών ασφάλειας αποτελείται από έξι στάδια:
Στάδιο Προετοιμασίας: το στάδιο αυτό αποτελεί την κινητήρια δύναμη του σχεδίου αντιμετώπισης περιστατικών και, τελικά, την πιο κρίσιμη φάση για την προστασία οργανισμού. Μέρος αυτής της φάσης περιλαμβάνει:

  • Ανάπτυξη πολιτικών και διαδικασιών που πρέπει να ακολουθηθούν σε περίπτωση περιστατικού κυβερνοασφάλειας, περιλαμβάνοντας τον προσδιορισμό της ακριβούς σύνθεσης της ομάδας αντιμετώπισης και των παραγόντων ενεργοποίησης των εσωτερικών εταίρων.
  • Ανάπτυξη σεναρίων αντιμετώπισης περιστατικών και τακτική διεξαγωγή σχετικών ασκήσεων για την αξιολόγηση του σχεδίου αντιμετώπισης περιστατικών
  • Εξασφάλιση ότι οι εργαζόμενοι είναι κατάλληλα εκπαιδευμένοι σχετικά με τους ρόλους και τις ευθύνες τους όσον αφορά την αντιμετώπιση περιστατικών ασφάλειας
  • Εξασφάλιση έγκρισης και χρηματοδότησης του συνόλου των πτυχών του  ίου αντιμετώπισης περιστατικών (εκπαίδευση, εκτέλεση, υλικό και λογισμικό κ.λπ.)

Το σχέδιο αντιμετώπισης  πρέπει να είναι καλά τεκμηριωμένο, εξηγώντας πλήρως τους ρόλους και τις ευθύνες όλων. Στη συνέχεια, το σχέδιο πρέπει να δοκιμαστεί προκειμένου να διασφαλιστεί ότι οι συμμετέχοντες θα αντιδράσουν όπως προβλέπεται στα πλαίσια της εκπαίδευσής τους. Βασικό στοιχείο αυτής της διαδικασίας είναι η αποτελεσματική εκπαίδευση για την αντιμετώπιση παραβίασης και τεκμηρίωσης για την καταγραφή των ενεργειών που γίνονται για μεταγενέστερη αναθεώρηση.

Σε αυτό το στάδιο, πρέπει να απαντηθούν οι ακόλουθες ερωτήσεις.

Στάδιο Αναγνώρισης: Αυτή είναι η διαδικασία ανίχνευσης παραβίασης και η δυνατότητα γρήγορης και εστιασμένης αντίδρασης. Οι παραβιάσεις εντοπίζονται χρησιμοποιώντας διάφορους μηχανισμούς threat intelligence, συστήματα ανίχνευσης εισβολών και τείχη προστασίας. Σε κάθε περίπτωση, στο στάδιο αναγνώρισης, πρέπει να καταγράφονται κατ’ ελάχιστον, οι κάτωθι πληροφορίες:

  • Πότε συνέβη το περιστατικό
  • Πως ανακαλύφθηκε και από ποιόν
  • Διαδικασίες, τμήματα του οργανισμού ή συστήματα που το περιστατικό επηρέασε
  • Ποιο είναι το εύρος του περιστατικού
  • Σε ποιο βαθμό το περιστατικό επηρεάζει την λειτουργία του οργανισμού
  • Ποια είναι η «πηγή» του περιστατικού

Στάδιο Περιορισμού: Όταν ένα περιστατικό ανακαλυφθεί για πρώτη φορά, η αρχική αντίδραση μπορεί να είναι η άμεση επαναφορά των συστημάτων στην πρότερη κατάσταση, ώστε να μπορέσουμε να απαλλαγούμε από το περιστατικό άμεσα και να επανέλθουμε σε ομαλή λειτουργία. Ωστόσο, αυτή η δράση θα αποδειχθεί προβληματική μακροπρόθεσμα μια και θα καταστραφούν πολύτιμα αποδεικτικά στοιχεία που μπορεί να αποκαλύψουν την πηγή του περιστατικού και να αποτελέσουν την βάση για την δημιουργία σχεδίου που θα βοηθήσει στην αποφυγή παρόμοιων περιστατικών.
Αντίθετα, το ενδεδειγμένο βήμα μετά το στάδιο της αναγνώρισης, είναι ο περιορισμός  της βλάβης και η αποφυγή περαιτέρω διείσδυσης που μπορεί να προκαλέσει πρόσθετη ζημιά στον οργανισμό, έχοντας έτοιμες βραχυπρόθεσμες και μακροπρόθεσμες στρατηγικές περιορισμού οι οποίες μπορεί να περιλαμβάνουν την αποσύνδεση των επηρεαζόμενων συστημάτων από το δίκτυο ή την χρήση εφεδρικών συστημάτων για την επαναφορά των επιχειρησιακών λειτουργιών. Είναι επίσης, η κατάλληλη στιγμή για την ενημέρωση και την αναβάθμιση των συστημάτων, τον έλεγχο των πρωτοκόλλων απομακρυσμένης πρόσβασης, καθώς και της αλλαγής των διαπιστευτηρίων πρόσβασης χρηστών και διαχειριστών.
Σε κάθε περίπτωση, πρέπει να είναι κατανοητό ότι ο οργανισμός πιθανότατα θα παραμείνει σε κατάσταση έκτακτης ανάγκης μέχρι να περιέλθει η επίθεση και εξαλειφθούν το σύνολο των επιπτώσεων. Παρόλα αυτά, κατά το στάδιο του περιορισμού, πρέπει να είμαστε σε θέση να απαντήσουμε στις ακόλουθες ερωτήσεις:

  • Ποιες δράσεις λήφθησαν για να περιοριστεί η παραβίαση βραχυπρόθεσμα
  • Ποιες δράσεις λήφθησαν για να περιοριστεί η παραβίαση μακροπρόθεσμα
  • Έχει απομακρυνθεί πιθανό κακόβουλο λογισμικό από τα συστήματα
  • Τι είδους αντίγραφα ασφαλείας υπάρχουν
  • Αν έχουν επανεξετάσει όλα τα διαπιστευτήρια πρόσβασης για λόγους νομιμότητας και αλλαγής
  • Αν έχουν επιλεγεί κατάλληλα διαπιστευτήρια
  • Αν έχουν εφαρμοστεί όλες τις πρόσφατες ενημερώσεις και αναβαθμίσεις των συστημάτων

Στάδιο Εξάλειψης: Άπαξ και το περιστατικό έχει περιοριστεί, πρέπει να εντοπιστεί και να εξαλειφθεί η βασική αιτία του περιστατικού ασφάλειας. Θα πρέπει, με άλλα λόγια να εξουδετερωθεί η απειλή και να ολοκληρωθεί η αποκατάσταση των εσωτερικών συστημάτων όσο το δυνατόν πλησιέστερα στην προηγούμενη κατάστασή τους. Αυτό σημαίνει ότι όλα τα κακόβουλα προγράμματα θα πρέπει να απομακρυνθούν  με ασφάλεια, τα συστήματα θα πρέπει να διορθωθούν και θα πρέπει να εφαρμοστούν ενημερώσεις. Επίσης, το στάδιο αυτό μπορεί να περιλαμβάνει τη δευτεροβάθμια παρακολούθηση για να εξασφαλιστεί ότι τα επηρεαζόμενα συστήματα δεν είναι πλέον ευάλωτα σε επακόλουθη επίθεση.

Στάδιο Ανάκτησης: αυτό είναι το στάδιο αποκατάστασης και επιστροφής των επηρεαζόμενων συστημάτων και συσκευών σε περιβάλλον παραγωγής. Κατά τη διάρκεια αυτής της φάσης, είναι σημαντικό να επανέλθουν τα συστήματά και οι επιχειρηματικές λειτουργίες χωρίς τον φόβο μιας άλλης παραβίασης.
Οι ομάδες ασφάλειας πρέπει να επικυρώσουν ότι όλα τα επηρεαζόμενα συστήματα δεν διακυβεύονται πλέον και μπορούν να επιστρέψουν σε κατάσταση λειτουργίας. Αυτό απαιτεί επίσης τον καθορισμό χρονικών ορίων για την πλήρη αποκατάσταση των λειτουργιών και τη συνέχιση της παρακολούθησης για τυχόν μη φυσιολογικές δραστηριότητες δικτύου. Σε αυτό το στάδιο, είναι δυνατό να υπολογιστεί το κόστος της παραβίασης και των επακόλουθων ζημιών.
Σε κάθε περίπτωση, πρέπει να απαντηθούν τα ακόλουθα ερωτήματα:

  • Πότε μπορούν να επιστρέψουν τα συστήματα σε περιβάλλον παραγωγής
  • Αν τα συστήματα έχουν διορθωθεί, αναβαθμιστεί και δοκιμαστεί
  • Αν υπάρχουν αξιόπιστα αντίγραφα ασφαλείας για την αποκατάσταση των συστημάτων
  • Πόσο καιρό θα παρακολουθούνται τα επηρεαζόμενα συστήματα, καθώς και ποιο το αντικείμενο και στόχος της παρακολούθησης
  • Ποια εργαλεία θα εξασφαλίσουν ότι παρόμοιες επιθέσεις δεν θα επαναληφθούν

Στάδιο καταγραφής διδαγμάτων: το στάδιο της καταγραφής των διδαγμάτων από την αντιμετώπιση ενός περιστατικού ασφάλειας, αποτελεί ένα από τα πιο σημαντικά και συχνά παραλειπόμενα στάδια. Κατά τη διάρκεια αυτού του σταδίου, η ομάδα αντιμετώπισης περιστατικών και οι συνεργάτες συναντώνται για να καθορίσουν τον τρόπο βελτίωσης των μελλοντικών προσπαθειών Αυτό μπορεί να περιλαμβάνει την αξιολόγηση των τρεχουσών πολιτικών και διαδικασιών, των συγκεκριμένων αποφάσεων που έλαβε η ομάδα κατά τη διάρκεια του συμβάντος, καθώς και τον προσδιορισμό των παραγόντων εκείνων που λειτούργησαν με επιτυχία στο σχέδιο αντιμετώπισης, αλλά και πού υπήρχαν κενά. Η τελική ανάλυση πρέπει να συμπυκνωθεί σε μια έκθεση που θα χρησιμοποιηθεί για μελλοντική κατάρτιση, και πρέπει αν περιλαμβάνει κατ’ ελάχιστον:

  • απαραίτητες αλλαγές στην πολιτική ασφάλειας και τις σχετικές διαδικασίες
  • αναγκαίες αλλαγές στην εκπαίδευση των εργαζομένων
  • καταγραφή των αδυναμιών που έγιναν αντικείμενο εκμετάλλευσης κατά την διάρκεια του περιστατικού ασφάλειας
  • μέτρα διασφάλισης ότι μια παρόμοια παραβίαση δεν θα συμβεί ξανά

Διαδικασία δημιουργίας σχεδίου αντιμετώπισης περιστατικών ασφάλειας

Ενώ η ύπαρξη ενός σχεδίου αντιμετώπισης περιστατικών ασφάλειας με τα παραπάνω χαρακτηριστικά, είναι αναγκαία συνθήκη για την αποτελεσματική αντιμετώπιση της πλειονότητας αυτών, δεν είναι ικανή συνθήκη αν κατά την δημιουργία του σχεδίου δεν λάβουμε υπόψη τις ακόλουθες παραμέτρους.

Προσδιορισμός και προτεραιοποίηση πόρων. Πρέπει να είμαστε σε θέση να προσδιορίσουμε το είδος, το πλήθος και την τοποθεσία επεξεργασίας και αποθήκευσης των κρίσιμων πόρων του οργανισμού. Αυτά, εκτός των άλλων, περιλαμβάνουν τα συστήματα, τους ανθρώπους και τις διεργασίες που αν επηρεαστούν κατά την διάρκεια ενός περιστατικού, θα μπορούσαν να έχουν επίπτωση στην λειτουργία του οργανισμού.
Μόλις εντοπιστούν τα κρίσιμα στοιχεία, πρέπει να δοθεί προτεραιότητα στην αντιμετώπιση περιστατικών ανάλογα με τη σημασία και τον υψηλότερο κίνδυνο. Σημαντικό επίσης είναι η διενέργεια ποσοτικοποίησης της χρηματοοικονομικής αξίας των κρίσιμων στοιχείων, γεγονός που θα βοηθήσει στην δικαιολόγηση του απαραίτητου προϋπολογισμού ασφαλείας, και στην απόδειξη της αξίας και της αναγκαιότητας του σχεδίου αντιμετώπισης.
Προσδιορισμός των δυνητικών κινδύνων. Κάθε οργανισμός αντιμετωπίζει διαφορετικές απειλές ανάλογα με το μέγεθος, το είδος, τους επιχειρησιακούς στόχους, τα συστήματα που χρησιμοποιεί και το περιβάλλον που δραστηριοποιείται.

Τέτοιες απειλές μπορεί να είναι:

  • Εξωτερικά ή αφαιρούμενα μέσα
  • Περιβαλλοντικοί παράγοντες
  • Διαδίκτυο
  • Ασφάλεια ηλεκτρονικού ταχυδρομείου
  • Κοινωνική μηχανική
  • Απώλεια ή κλοπή
  • Πολιτικό περιβάλλον

 Καθιέρωση διαδικασιών. Είναι απαραίτητος ο καθορισμός πρακτικών και διαδικασιών που θα πρέπει να ακολουθηθούν στην περίπτωση κάποιου περιστατικού. Οι διαδικασίες αυτές, πρέπει να είναι όχι μόνο κοινοποιημένες στους εμπλεκόμενους, θα πρέπει να είναι αντικείμενο δοκιμών και εκπαίδευσης. Αν δεν υπάρχει μια σειρά από δοκιμασμένες διαδικασίες, ένας πανικοβλημένος υπάλληλος θα μπορούσε να καταλήξει να κάνει κρίσιμα λάθη που θα μπορούσαν να είναι δαπανηρά για τον οργανισμό.

Τέτοιες πολιτικές και οι διαδικασίες για τη διαχείριση παραβίασης δεδομένων πρέπει να περιλαμβάνουν κατ’ ελάχιστον:

  • Προσδιορισμός και παραβίαση
  • Καταγραφή πληροφοριών σχετικά με την παραβίαση
  • Σχέδιο κοινοποίησης και επικοινωνίας
  • Αμυντική προσέγγιση
  • Εκπαίδευση υπαλλήλων

Προφανώς, οι σχετικές διαδικασίες πρέπει να είναι προσαρμοσμένες στις απαιτήσεις και τις ανάγκες του οργανισμού, κυρίως όσον αφορά την προτεραιοποίηση των πόρων και τον προσδιορισμό των δυνητικών κινδύνων. Σε κάθε περίπτωση οι οργανισμοί θα πρέπει να επικεντρωθούν σε μεγάλο βαθμό στην κατάρτιση και ενημέρωση των εργαζομένων για πιθανούς κίνδυνους και απειλές (ασφαλής χειρισμός μηνυμάτων ηλεκτρονικού ταχυδρομείου, άμυνα κατά των επιθέσεων ηλεκτρονικού “ψαρέματος” και κοινωνικής μηχανικής κ.λπ.)

Δημιουργία ομάδας αντιμετώπισης. Ο ορισμός ομάδας αντιμετώπισης είναι απαραίτητος για τον συντονισμό των ενεργειών του οργανισμού μετά την ανακάλυψη ενός περιστατικού ασφάλειας. Ο στόχος αυτής της ομάδας είναι να βοηθήσει τον συντονισμό των πόρων κατά τη διάρκεια συμβάντος ασφαλείας, ώστε να ελαχιστοποιηθούν οι επιπτώσεις και να αποκατασταθούν οι εργασίες όσο το δυνατόν γρηγορότερα.

Μερικοί από τους απαραίτητους ρόλους της ομάδας είναι:

  • Επικεφαλής ομάδας
  • Διευθυντής IT
  • Υπεύθυνος επικοινωνιών
  • Υπευθυνος Τεκμηρίωσης
  • ΥΕ / νομικός εκπρόσωπος

Είναι απαραίτητο, σε κάθε περίπτωση, ότι η ομάδα σας καλύπτει όλες τις πτυχές του οργανισμού, καθώς και ότι τα μέλη της κατανοούν τους ιδιαίτερους ρόλους τους στο σχέδιο αντιμετώπισης.

Υποστήριξη από την διοίκηση. Το σχέδιο αντιμετώπισης περιστατικών δεν θα είναι αποτελεσματικό εάν δεν έχει την κατάλληλη υποστήριξη και πόρους για την εκτέλεσή του. Αυτό ισχύει για το σύνολο των οργανισμών, ανεξαρτήτως μεγέθους. Αυτός είναι ο λόγος για τον οποίο πρέπει οι αρμόδιοι να κατανοούν την ανάγκη και τα οφέλη της ύπαρξης ενός προγράμματος αντιμετώπισης περιστατικών.

Η παρουσίαση του σχεδίου με τα πλεονεκτήματα (οικονομικά, εμπορικά, φήμης κα) είναι καταλυτική.

Όσο καλύτερα παρουσιαστούν οι στόχοι για την προστασία του οργανισμού, τόσο πιο εύκολη θα είναι η εξασφάλιση της αναγκαία χρηματοδότησης για τη δημιουργία, την άσκηση και την εκτέλεση του σχεδίου.

Εκπαίδευση εργαζομένων. Μόνο η ύπαρξη σχεδίου αντιμετώπισης περιστατικών δεν θα βοηθήσει αποτελεσματικά σε ένα περιστατικό ασφάλειας. Οι εμπλεκόμενοι στο σχέδιο πρέπει να γνωρίζουν τις λεπτομέρειες και να είναι κατάλληλα εκπαιδευμένοι για το τι αναμένεται να κάνουν κατά την εκτέλεσή του.

Η δοκιμή του σχεδίου αντιμετώπισης μέσω επιτραπέζιων ασκήσεων είναι μια αποδεκτή πρόταση. Αυτές οι ασκήσεις εξοικειώνουν τους εμπλεκόμενους με τους ιδιαίτερους ρόλους τους σε περίπτωση περιστατικού ασφάλειας, ελέγχοντας το σχέδιο απόκρισης μέσω ενός πιθανών σεναρίων. Με τη δοκιμή του σχεδίου, είναι εφικτός ο εντοπισμό και η αντιμετώπιση κενών και προβλημάτων, καθώς και η βοήθεια στους εμπλεκόμενους να δουν πού μπορούν να βελτιωθούν και να το κάνουν όταν δεν υπάρχει πραγματικός κίνδυνος για τα περιουσιακά στοιχεία του οργανισμού.

Επίλογος

Στο σύγχρονο τεχνολογικό περιβάλλον, οι κυβερνοεπιθέσεις  μπορεί να φαίνονται αναπόφευκτες και κανείς δεν θέλει να υποστεί ένα περιστατικό ασφάλειας, είναι απαραίτητο να υπάρχει σχεδιασμός αντιμετώπισης για την απευκταία περίπτωση.
Ο σχεδιασμός αυτός, είναι αναγκαία συνθήκη για την αντιμετώπιση περιστατικών ασφάλειας, αλλά δεν είναι και ικανή αν περιοριστούμε σε αυτόν. Το πρόβλημα με τα σχέδια είναι ότι έχουν σχεδιαστεί για να κάθονται στο ράφι μέχρι την ημέρα που οι μάσκες οξυγόνου πέφτουν από την οροφή. Διαφορετικά, συλλέγουν μόνο σκόνη εκτός από τις περιστασιακές επισκέψεις στον ελεγκτή ή τις εκτελεστικές κριτικές.
Είναι απαραίτητο λοιπόν, εκτός από την ύπαρξη του σχεδίου, η διαρκής προτεραιοποίηση των αναγκών, καθώς και η διαρκής προετοιμασία και εξάσκηση του προσωπικού, ώστε να είναι γνωστό σε όλους τους εμπλεκόμενους το πρέπει να γίνει όταν υπάρχει κάποιο συμβάν, αλλά και αυτό να αποτελέσει την πηγή για την διαρκή βελτίωση των σχεδίων στη συνέχεια.

[1] https://www.sans.org/reading-room/whitepapers/incident/incident-handlers-handbook-33901