Plan odłączania i wyłączania komputerów

Twój plan reakcji musi określać, jaka sytuacja usprawiedliwia odłączenie albo wyłączenie komputerów i kto może podjąć taką decyzję. Co najważniejsze jak już powiedzieliśmy w podrozdziale „Ściganie i chwytanie napastnika” czy zamierzasz pozwalać zidentyfikowanym intruzom na pozostawanie połączonymi z twoim systemem? Jeśli nie, czy wyłączysz system, czy też odłączysz go od sieci?

Jeśli w twojej sieci jest wiele ośrodków komputerowych, czy odłączysz od Internetu całą sieć, kiedy jeden z ośrodków padnie ofiarą ataku, czy też będzie lepiej (i czy w ogóle się da) odłączyć tylko jeden ośrodek?

W większości sieci najrozsądniej będzie odłączyć sieć jako całość, jeśli zyskasz pewność, że intruz połączył się z twoimi systemami. Może masz dziesiątki wewnętrznych połączeń, z potrójnie nadmiarową, krzyżowo okablowaną i zabezpieczoną przez UPSy strukturą trasującą, co może zniechęcić do „odłączania” ośrodka (system wciąż się sam „naprawia”). Z drugiej strony, masz tylko jedno, a co najwyżej kilka połączeń ze światem zewnętrznym, które będzie łatwiej odciąć.

Twój plan powinien informować, w jaki sposób można odłączyć sieć i jak należy wyłączać komputery. Bądź przy tym bardzo ostrożny. Nie mów ludziom, żeby reagowali na każde podejrzane wydarzenie wyłączeniem bezpieczników i odcięciem dopływu prądu do wszystkich maszyn w sali komputerowej. Z drugiej strony, jeśli intruz akurat usuwa wszystkie pliki z komputera, nie powinieneś go ostrzegać, że za 15 minut zacznie się zwykła procedura zamykania systemu.

Jest to jeden z przypadków, w których twój plan musi zawierać jasne instrukcje postępowania. Oto nasze zalecenia: W większości sytuacji wiążących się z zagrożeniem bezpieczeństwa poprawny sposób wyłączenia komputerów polega na natychmiastowym, ale łagodnym zamknięciu systemu, bez wysyłania żadnych wyjaśnień ani ostrzeżeń. Plan powinien to wyraźnie stwierdzać i określać polecenia, które należy wydać komputerowi.

Jeśli intruz aktywnie niszczy pliki, komputer należy wyłączyć możliwie najszybszą metodą. Jeśli ktoś znajduje się blisko komputera, powinien natychmiast wyłączyć go z prądu albo odciąć zasilanie dysku, pomimo uszkodzeń, które może w ten sposób spowodować. To wymaga, żeby wyłączniki prądu były łatwo dostępne, a każdy komputer wyposażony w wyłącznik główny.