Incydenty bezpieczeństwa przestały być czymś, co dotyczy wyłącznie dużych organizacji albo wyłącznie branż wrażliwych. Dla większości firm to scenariusz, który może wydarzyć się w najmniej oczekiwanym momencie: w środku wdrożenia, w trakcie urlopów, przy brakach kadrowych albo wtedy, gdy kluczowa osoba jest poza zasięgiem. Wtedy liczy się nie to, czy mamy dokumenty w folderze, tylko czy ludzie wiedzą, co robić i potrafią działać wspólnie pod presją czasu.
W praktyce różnica między organizacją, która wraca do działania sprawnie, a taką, która tygodniami odtwarza systemy i tłumaczy się przed klientami, często wynika z prostych rzeczy: czy wiadomo, kto podejmuje decyzje, czy są ustalone kanały komunikacji, czy ktoś ma mandat do wstrzymania zmian, czy zespół rozumie zależności usług i czy da się odtworzyć najważniejsze elementy środowiska bez improwizacji. To są elementy, które da się przećwiczyć wcześniej.
ENISA opublikowała metodykę, która porządkuje sposób planowania, prowadzenia i oceny ćwiczeń cyber. Jej największa wartość jest w tym, że traktuje ćwiczenie jako proces, a nie jednorazowe wydarzenie. Najpierw trzeba ustalić, po co ćwiczymy i co ma zostać sprawdzone, potem zaprojektować przebieg i przygotować uczestników, a na koniec zebrać dane, wyciągnąć wnioski i dopilnować, żeby zmiany zostały wdrożone. Dzięki temu ćwiczenia nie kończą się poczuciem, że było intensywnie, tylko konkretną listą usprawnień, które zwiększają gotowość organizacji.
Jeśli sprowadzić tę metodykę do zaleceń, układają się w prostą sekwencję:
- Zacznij od celu: po co robicie ćwiczenie i co dokładnie ma zostać sprawdzone (decyzje, komunikacja, odtwarzanie usług).
- Ustal zakres i role: kto bierze udział, kto podejmuje decyzje, kto prowadzi ćwiczenie oraz jakie są kanały komunikacji.
- Zaprojektuj scenariusz pod zależności usług: ma ujawnić punkty styku między IT, bezpieczeństwem i biznesem, a nie być historią do odegrania.
- Przygotuj ewaluację przed startem: co obserwujecie, jakie metryki zbieracie i skąd będą dane do oceny.
- Zadbaj o przygotowanie uczestników: zasady, materiały, logistyka i warunki, żeby ćwiczenie nie rozjechało się organizacyjnie.
- Przeprowadź ćwiczenie z facylitacją i monitoringiem: notuj decyzje, opóźnienia, konflikty priorytetów i momenty blokad.
- Oceń wyniki względem celów: co zadziałało, co nie zadziałało i dlaczego, na podstawie zebranych danych.
- Zamknij ćwiczenie planem działań: właściciele, terminy, priorytety i kontrola wdrożenia zmian, żeby wnioski nie utknęły w raporcie.
Ten układ brzmi prosto, ale właśnie dlatego działa. Najczęstszy problem polega na tym, że organizacje zaczynają od scenariusza, a nie od celu. Wtedy ćwiczenie robi się zbyt ogólne, każdy rozumie je inaczej i trudno później ocenić, co faktycznie zostało sprawdzone. Drugi typowy problem pojawia się po zakończeniu: są wnioski, jest podsumowanie, czasem nawet prezentacja, ale bez przypisania odpowiedzialności i terminów wszystko rozmywa się w bieżącej pracy.
Warto też pamiętać, że ćwiczenia nie muszą od razu być duże i wielowątkowe. Dobrym początkiem jest krótki format, który testuje jeden konkretny obszar. Na przykład: incydent, który wpływa na dostępność jednej krytycznej usługi, wymusza decyzję o priorytetach, uruchamia komunikację wewnętrzną i zewnętrzną oraz sprawdza, czy odtworzenie tej usługi jest wykonalne w założonym czasie. Taki wariant szybko pokazuje, gdzie są wąskie gardła: czy decyzje się nie dublują, czy ktoś nie czeka na zgodę, której nikt nie potrafi udzielić, czy brakuje uprawnień, czy zespół ma dostęp do niezbędnych informacji i czy procedury są w ogóle używalne w sytuacji stresu.