6 Čo robiť po porušení údajov

Udržiavanie a presadzovanie bezpečnosti IT je niečo, čo sme pokryli z niekoľkých uhlov, najmä z hľadiska spôsobov vývoja a vývoja bezpečnostných trendov, a to je určite informácia, ktorú by ste mali dôkladne stráviť. Okrem toho by ste sa mali ubezpečiť, že vaša firma je dobre vybavená na ochranu a ochranu pred počítačovým útokom, najmä prostredníctvom ochrany koncových bodov na úrovni IT a podrobnej správy identity a opatrení na kontrolu prístupu. Potrebný je aj solídny a otestovaný proces zálohovania údajov. Príručka pre porušenie ochrany údajov sa, žiaľ, neustále mení, čo znamená, že niektoré z vašich akcií počas katastrofy môžu byť rovnako škodlivé, ako sú užitočné. Tam prichádza tento kus.

, diskutujeme o tom, čo by spoločnosti nemali robiť, keď si uvedomia, že ich systémy boli porušené. Hovorili sme s niekoľkými odborníkmi z bezpečnostných spoločností a firiem z odvetvových analýz, aby sme lepšie porozumeli prípadným úskaliam a katastrofám, ktoré sa vyvinú v dôsledku kybernetických útokov.

1. Nerobte zlepšenie

V prípade útoku vám váš prvý inštinkt povie, aby ste začali proces nápravy situácie. Môže to zahŕňať ochranu cieľových koncových bodov, ktoré boli zacielené, alebo návrat k predchádzajúcim zálohám na uzavretie vstupného bodu, ktorý používajú vaši útočníci. Nanešťastie, ak ste predtým nevytvorili stratégiu, potom akékoľvek skrátené rozhodnutia, ktoré urobíte po útoku, môžu situáciu zhoršiť.

„Prvou vecou, ​​ktorú by ste nemali robiť po narušení, je vytvorenie vašej odpovede za chodu, “ povedal Mark Nunnikhoven, viceprezident spoločnosti Cloud Research u poskytovateľa riešení pre kybernetické zabezpečenie Trend Micro. „Kritickou súčasťou vášho plánu reakcií na incidenty je príprava. Kľúčové kontakty by sa mali vopred zmapovať a uložiť digitálne. Mali by byť k dispozícii aj v tlačenej podobe v prípade katastrofického porušenia. Pri reakcii na narušenie, posledná vec, ktorú je potrebné sa snažiť zistiť, kto je zodpovedný za aké činy a kto môže autorizovať rôzne reakcie. ““

Ermis Sfakiyanudis, prezident a generálny riaditeľ spoločnosti Trivalent Services Services, s týmto prístupom súhlasí. Povedal, že je kritické, aby spoločnosti „neboli vystrašené“ po tom, čo ich zasiahlo porušenie. „Aj keď nepripravenosť na porušenie údajov môže spôsobiť spoločnosti nenapraviteľné škody, panika a dezorganizácia môžu byť veľmi škodlivé, “ vysvetlil. „Je dôležité, aby porušená spoločnosť nezostala vo svojom pláne reakcie na incident, ktorý by mal zahŕňať identifikáciu podozrenia na príčinu nehody ako prvý krok. Napríklad bolo to porušenie spôsobené úspešným útokom ransomware, malvérom na systém, firewall s otvoreným portom, zastaralým softvérom alebo neúmyselnou hrozbou zasvätených? Ďalej izolujte vykonaný systém a odstráňte príčinu porušenia, aby ste sa uistili, že váš systém nie je v nebezpečenstve. ““

Sfakiyanudis vyhlásil, že je nevyhnutné, aby spoločnosti požiadali o pomoc, keď sú nad hlavou. „Ak zistíte, že po vašom vnútornom vyšetrovaní skutočne došlo k porušeniu, prineste odborné znalosti tretích strán, ktoré pomôžu zvládnuť a zmierniť spád, “ uviedol. „Zahŕňa to právneho poradcu, externých vyšetrovateľov, ktorí môžu viesť dôkladné forenzné vyšetrovanie, a odborníkov na styk s verejnosťou a komunikáciu, ktorí môžu vo vašom mene vytvárať stratégiu a komunikovať s médiami.

„S týmto kombinovaným odborným vedením môžu organizácie zostať pokojné v chaose, identifikovať, ktoré zraniteľné miesta spôsobili porušenie údajov, napraviť, aby sa problém v budúcnosti opakoval, a zabezpečiť, aby ich reakcia na postihnutých zákazníkov bola primeraná a včasná. Môžu tiež spolupracujú so svojím právnym zástupcom na určení, či a kedy by sa malo presadzovanie práva oznámiť. ““

2. Nechoďte ticho

Akonáhle ste boli napadnutí, je príjemné myslieť si, že nikto mimo vášho vnútorného kruhu nevie, čo sa práve stalo. Bohužiaľ, riziko tu nestojí za odmenu. Budete chcieť komunikovať so zamestnancami, predajcami a zákazníkmi, aby ste vedeli, čo sa stalo, čo ste urobili na nápravu situácie a aké plány plánujete prijať, aby ste v budúcnosti zabránili podobným útokom. „Neignorujte svojich vlastných zamestnancov, “ radil Heidi Shey, hlavný analytik bezpečnosti a rizika vo Forrester Research. „Musíte o svojich udalostiach komunikovať so svojimi zamestnancami a poskytnúť svojim zamestnancom pokyny, čo majú robiť alebo povedať, ak sa pýtajú na porušenie.“

Shey, podobne ako Sfakiyanudis, povedal, že by ste sa mali pozrieť na najatie tímu pre styk s verejnosťou na pomoc pri kontrole správ za vašou odpoveďou. Platí to najmä pre veľké a drahé porušenia údajov o zákazníkoch. „V ideálnom prípade by ste chceli, aby bol takýto poskytovateľ identifikovaný vopred ako súčasť plánovania reakcie na incidenty, aby ste boli pripravení svoju reakciu začať, “ vysvetlila.

Len preto, že ste aktívny pri informovaní verejnosti o tom, že ste boli porušený, to neznamená, že môžete začať vydávať divoké vyhlásenia a vyhlásenia. Napríklad, keď bolo porušené toymaker VTech, hacker dostal prístup k fotografiám detí a protokolom rozhovoru. Po tom, čo situácia zmizla, toymaker zmenil svoje Podmienky poskytovania služieb, aby sa v prípade porušenia vzdal svojej zodpovednosti. Netreba dodávať, že zákazníci neboli spokojní. „Nechcete vyzerať, akoby ste sa uchyľovali k úkrytu za zákonnými prostriedkami, či už ide o vyhýbanie sa zodpovednosti alebo kontrolu nad rozprávaním, “ povedal Shey. „Lepšie je mať k dispozícii reakciu na narušenie bezpečnosti a plán krízového manažmentu, ktorý by pomohol pri komunikáciách súvisiacich s porušením.“

3. Nerobte nepravdivé alebo zavádzajúce vyhlásenia

Je to zrejmé, ale pri oslovovaní verejnosti budete chcieť byť čo najpresnejší a úprimnejší. Je to prospešné pre vašu značku, ale je to tiež prospešné pre to, koľko peňazí budete získavať z vašej kybernetického poistenia, ak by ste ju mali. „Nevydávajte verejné vyhlásenia bez ohľadu na dôsledky toho, čo hovoríte a ako znie, “ povedal Nunnikoven.

„Bol to skutočne„ sofistikovaný “útok? Označiť ho ako také nemusí nevyhnutne urobiť to pravda, “ pokračoval. „Skutočne to musí váš výkonný riaditeľ nazvať teroristickým činom? Čítali ste drobné výtlačky svojej politiky v oblasti kybernetického poistenia, aby ste pochopili vylúčenia?“

Nunnikhoven odporúča vytvárať správy, ktoré sú „býčie, časté a ktoré jasne uvádzajú kroky, ktoré sa prijímajú, a tie, ktoré je potrebné prijať“. Pokúsil sa situáciu zvrátiť, povedal, má tendenciu zhoršovať situáciu. „Keď používatelia počujú o porušení od tretej strany, okamžite to narúša tvrdú dôveru, “ vysvetlil. „Dostaňte sa pred situáciu a zostaňte pred nami, so stálym prúdom stručných komunikácií na všetkých kanáloch, na ktorých ste už aktívny.“

4. Nezabudnite na zákaznícky servis

Ak narušenie vašich údajov ovplyvní službu online, skúsenosti zákazníkov alebo iný aspekt vašej firmy, ktorý by mohol prinútiť zákazníkov, aby vám posielali otázky, nezabudnite sa na to zamerať ako na samostatný a dôležitý problém. Ignorovanie problémov vašich zákazníkov alebo dokonca zjavné pokusy premeniť ich smolu na váš zisk môžu rýchlo zmeniť vážne porušenie údajov na hroznú stratu podnikania a výnosov.

Ako príklad uviedla porušenie zásady Equifax, spoločnosť pôvodne povedala zákazníkom, že by mohli mať rok bezplatného nahlasovania úveru, iba ak by sa nespravili. Dokonca sa pokúsil zmeniť porušenie na ziskové stredisko, keď chceli zákazníkom účtovať poplatok navyše, ak požiadali o zmrazenie svojich správ. Bola to chyba a dlhodobo to poškodilo vzťahy so zákazníkmi spoločnosti. To, čo mala spoločnosť urobiť, bolo umiestniť zákazníkov na prvé miesto a jednoducho ponúknuť všetkým bezpodmienečné správy, možno dokonca bezplatne, za rovnaké časové obdobie, aby zdôraznili svoje odhodlanie udržiavať zákazníkov v bezpečí.

5. Prípady nezatvárajte príliš skoro

Uzavreli ste poškodené koncové body. Kontaktovali ste svojich zamestnancov a zákazníkov. Obnovili ste všetky svoje údaje. Mraky sa rozdelili a na váš stôl sa kaskádoval lúč slnka. Nie tak rýchlo. Aj keď sa môže zdať, že vaša kríza skončila, budete chcieť naďalej agresívne a aktívne monitorovať svoju sieť, aby ste sa uistili, že nedochádza k následným útokom.

"Existuje obrovský tlak na obnovenie služieb a zotavenie po porušení, " uviedol Nunnikhoven. „Útočníci sa rýchlo pohybujú v sieťach, keď získajú oporu, takže je ťažké urobiť konkrétne rozhodnutie, že ste riešili celý problém. Dôsledný a agresívnejší monitoring je dôležitým krokom, pokiaľ si nie ste istí, že organizácia je na jasnom mieste.."

Sfakiyanudis súhlasí s týmto hodnotením. „Po odstránení porušenia údajov a obnovení bežných obchodných operácií nepredpokladajte rovnakú technológiu a postačia plány, ktoré ste mali na svojom mieste, bude dostatočné, “ uviedol. „Vo vašej bezpečnostnej stratégii existujú medzery, ktoré sa využili, a to ani po ich odstránení, to neznamená, že v budúcnosti už nebude viac. Aby sme mohli postupovať proaktívnejším spôsobom vpred v ochrane údajov, plán reakcie na porušenie ochrany údajov ako živý dokument. Keďže jednotlivci menia svoje úlohy a organizácia sa vyvíja prostredníctvom fúzií, akvizícií atď., je potrebné zmeniť aj plán. ““

6. Nezabudnite na vyšetrovanie

„Pri vyšetrovaní porušenia dokumentujte všetko, “ povedal Sfakiyanudis. „Zhromažďovanie informácií o incidente je rozhodujúce pre potvrdenie toho, že došlo k porušeniu, ktoré systémy a údaje boli ovplyvnené a ako sa riešilo zmierňovanie alebo náprava. Protokoly o výsledkoch vyšetrovaní prostredníctvom zachytávania a analýzy údajov sú dostupné na preskúmanie po zabití.

„Nezabudnite tiež vypočuť rozhovor so všetkými zúčastnenými a dôkladne zdokumentovať ich odpovede, “ pokračoval. „Vytváranie podrobných správ s obrázkami diskov, ako aj podrobnosti o tom, kto, čo, kde a kedy došlo k incidentu, vám pomôže implementovať akékoľvek nové alebo chýbajúce opatrenia na zmiernenie rizika alebo ochranu údajov.“

Takéto opatrenia sú evidentne možné z právnych následkov po tom, čo to bolo, ale nie je to jediný dôvod na vyšetrenie útoku. Zistenie, kto bol zodpovedný a kto bol zasiahnutý, je kľúčovou znalosťou právnikov a určite by sa mal vyšetriť. Ako k porušeniu došlo a čo bolo zamerané, sú kľúčové informácie pre IT a vašich bezpečnostných pracovníkov. Ktorá časť obvodu potrebuje zlepšenie a ktoré časti vašich údajov sú (zrejme) cenné pre nové studne? Uistite sa, že vyšetrujete všetky cenné uhly tohto incidentu a uistite sa, že vaši vyšetrovatelia to vedia hneď od začiatku.

Ak je vaša spoločnosť príliš analogická na to, aby mohla vykonať túto analýzu samostatne, pravdepodobne by ste si najali externého tímu, ktorý by za vás vykonal toto vyšetrovanie (ako už bolo spomenuté Sfakiyanudis). Robte si poznámky aj k procesu vyhľadávania. Všimnite si, aké služby vám boli ponúknuté, s ktorými predajcami ste hovorili, a či ste boli s vyšetrovacím procesom spokojní alebo nie. Tieto informácie vám pomôžu určiť, či sa budete držať svojho dodávateľa, vyberiete si nového dodávateľa alebo najmete interného personálu, ktorý je schopný tieto procesy viesť, ak by vaša spoločnosť bola nešťastná, aby mohla utrpieť druhé porušenie.