Plánovanie odpovede na porušenie pravidiel

Porušenie údajov môže zastaviť vašu spoločnosť na kritickú dobu, niekedy aj navždy; určite to môže ohroziť vašu finančnú budúcnosť av niektorých prípadoch vás dokonca môže uväzniť. Nič z toho sa však nemusí stať, pretože ak plánujete správne, vy a vaša spoločnosť sa môžete zotaviť a pokračovať v podnikaní, niekedy v priebehu niekoľkých minút. Nakoniec, všetko sa to týka plánovania.

Minulý týždeň sme diskutovali o tom, ako sa pripraviť na porušenie údajov. Za predpokladu, že ste to urobili skôr, ako k porušeniu došlo, sú vaše ďalšie kroky primerane jednoduché. Jedným z týchto krokov pripravenosti však bolo vytvoriť plán a potom ho otestovať. A, áno, bude to vyžadovať značné množstvo práce.

Rozdiel je v tom, že predbežné plánovanie vykonané pred akýmkoľvek porušením má minimalizovať škodu. Po porušení musí byť plán zameraný na proces obnovy a riešenie následných problémov, za predpokladu, že existujú nejaké. Nezabudnite, že vaším celkovým cieľom, rovnako ako pred porušením, je minimalizovať dopad porušenia na vašu spoločnosť, vašich zamestnancov a vašich zákazníkov.

Plánovanie obnovy

Plánovanie obnovy pozostáva z dvoch hlavných kategórií. Prvým je oprava škody spôsobenej porušením a uistenie sa, že hrozba je skutočne odstránená. Druhým je starostlivosť o finančné a právne riziká, ktoré sprevádzajú porušenie údajov. Pokiaľ ide o budúce zdravie vašej organizácie, obe sú rovnako dôležité.

„Úspešnosť je kľúčová z hľadiska obnovy, “ povedal Sean Blenkhorn, viceprezident oddelenia riešenia inžinierstva a poradenstva pre riadenú ochranu a poskytovateľa reakcií eSentire. „Čím rýchlejšie dokážeme odhaliť hrozbu, tým lepšie ju dokážeme udržať.“

Blenkhorn uviedol, že zadržiavanie hrozby sa môže líšiť v závislosti od toho, aké hrozby sa týkajú. Napríklad v prípade ransomware to môže znamenať použitie vašej spravovanej platformy na ochranu koncových bodov, ktorá pomôže izolovať malware spolu so sekundárnymi infekciami, aby sa nemohol šíriť, a potom ho odstrániť. Môže to tiež znamenať implementáciu nových stratégií, aby boli blokované budúce porušenia, napríklad vybavenie roamingových a telekomunikačných používateľov pomocou účtov virtuálnej súkromnej siete (VPN).

Iné typy hrozieb však môžu vyžadovať odlišné taktiky. Napríklad útok, ktorý hľadá finančné informácie, duševné vlastníctvo (IP) alebo iné údaje z vášho podniku, nebude spracovaný rovnakým spôsobom ako útok s ransomware. V týchto prípadoch bude možno potrebné nájsť a odstrániť cestu vstupu a budete musieť nájsť spôsob, ako zastaviť príkazové a riadiace správy. To bude zase vyžadovať, aby ste monitorovali a spravovali sieťový prenos týchto správ, aby ste videli, odkiaľ pochádzajú a odkiaľ odosielajú údaje.

„Útočníci majú výhodu prvého ťahača, “ povedal Blenkhorn. "Musíte hľadať anomálie."

Tieto anomálie vás zavedú k prostriedku, zvyčajne k serveru, ktorý poskytuje prístup alebo poskytuje exfiltráciu. Keď to zistíte, môžete malware odstrániť a obnoviť server. Spoločnosť Blenkhorn však varuje, že bude potrebné server znova prekopírovať, aby ste si boli istí, že všetok škodlivý softvér skutočne zmizol.

Kroky na obnovenie porušenia

Blenkhorn uviedol, že pri plánovaní obnovy porušenia pravidiel treba pamätať na tri ďalšie veci:

1. Porušenie je nevyhnutné,
2. Samotná technológia problém nevyrieši, a
3. Musíte predpokladať, že je to hrozba, ktorú ste nikdy predtým nevideli.

Po odstránení hrozby ste však vykonali iba polovicu obnovy. Druhá polovica chráni samotný podnik. Podľa Ari Vareda, hlavného riaditeľa produktu u poskytovateľa kybernetického poistenia CyberPolicy, to znamená, že si vopred pripravíte svojich partnerov na vymáhanie.

„To je miesto, kde môže mať počítačový plán obnovy zavedený obchod, “ varoval Vared e-mailom spoločnosti PCMag. „To znamená, že váš právny tím, tím forenzných údajov, váš tím PR a vaši kľúčoví zamestnanci vopred vedia, čo treba urobiť, keď dôjde k porušeniu.“

Prvý krok v tomto prípade znamená, že vopred identifikujete svojich partnerov na obnovenie účtu, informujete ich o svojom pláne a podniknete všetky kroky potrebné na zachovanie ich služieb v prípade porušenia. Znie to ako veľa administratívnej záťaže, ale Vared vymenoval štyri dôležité dôvody, ktoré spôsobujú, že tento proces stojí za námahu:

1. Ak sú potrebné dohody o mlčanlivosti a utajení, je možné s nimi vopred dohodnúť poplatky a ďalšie podmienky, aby ste nestratili čas po kybernetickom útoku, ktorý sa snaží vyjednávať s novým predajcom.
2. Ak máte kybernetické poistenie, vaša agentúra už môže mať identifikovaných konkrétnych partnerov. V takom prípade budete chcieť použiť tieto zdroje na zabezpečenie pokrytia nákladov v súlade s pravidlami.
3. Váš poskytovateľ kybernetického poistenia môže mať usmernenia pre sumu, ktorú je ochotný pokryť v určitých aspektoch, a majiteľ malých a stredných podnikov (SMB) bude chcieť zaistiť, aby ich poplatky za dodávateľa spadali pod tieto usmernenia.
4. Niektoré kybernetické poisťovne budú mať interných nevyhnutných partnerov na obnovenie účtu, čím sa pre majiteľa podniku stane riešením na kľúč, pretože vzťahy už existujú a služby budú automaticky kryté touto politikou.

Riešenie právnych a forenzných otázok

Vared povedal, že váš právny tím a forenzný tím sú po útoku vysokou prioritou. Forenzný tím podnikne prvé kroky k uzdraveniu, ako to načrtol Blenkhorn. Ako už názov napovedá, tento tím je tu, aby zistil, čo sa stalo, a čo je dôležitejšie, ako. Toto nie je vina; slúži na identifikáciu zraniteľnosti, ktorá umožnila porušenie, takže ju môžete pripojiť. Je dôležité rozlišovať medzi zamestnancami pred príchodom forenzného tímu, aby sa predišlo zbytočným nepríjemnostiam alebo obavám.

Vared poznamenal, že právny tím reagujúci na porušenie pravdepodobne nebude rovnakými ľuďmi, ktorí sa zaoberajú tradičnými právnymi úlohami pre vaše podnikanie. Bude to skôr špecializovaná skupina so skúsenosťami v riešení následkov počítačových útokov. Tento tím vás môže chrániť pred súdnymi spormi vyplývajúcimi z porušenia, konania s regulátormi alebo dokonca z rokovania s kybernetickými zlodejmi a ich výkupnými.

Medzitým bude váš tím PR spolupracovať s vašim právnym tímom pri vybavovaní požiadaviek na oznamovanie, komunikácii so zákazníkmi s cieľom vysvetliť porušenie a vašu odpoveď a prípadne aj vysvetliť rovnaké podrobnosti médiám.

Akonáhle podniknete kroky potrebné na zotavenie sa z porušenia, budete musieť zhromaždiť tieto tímy spolu s vedúcimi pracovníkmi na úrovni C a mať stretnutie a správu po akcii. Správa o následných krokoch je rozhodujúca pre prípravu vašej organizácie na ďalšie porušenie určením toho, čo sa stalo, čo sa pokazilo a čo by sa mohlo urobiť, aby sa nabudúce zlepšila vaša reakcia.

Testovanie vášho plánu

• 6 vecí, ktoré sa nemajú robiť po porušení údajov 6 vecí, ktoré sa nemajú robiť po porušení údajov
• Narušení ochrany údajov v prvom polroku 2018 narušilo 4, 5 miliárd záznamov.
• Cathay Pacific zverejňuje priestupky ovplyvňujúce 9, 4M cestujúcich Cathay Pacific zverejňuje priestupky ovplyvňujúce 9, 4M cestujúcich

To všetko predpokladá, že váš plán bol dobre koncipovaný a vykonaný kompetentne v prípade zlej veci. Bohužiaľ, nikdy to nie je bezpečný predpoklad. Jediným spôsobom, ako si byť primerane istý, že má váš plán akúkoľvek šancu na úspech, je precvičiť ho, keď bude pripravený. Špecialisti, s ktorými ste sa zaoberali a ktorí sa zaoberajú kybernetickými útokmi ako s bežnými udalosťami v ich podnikaní, vám nedovolia príliš veľa cvičiť s vašim plánom - sú na to zvyknutí a pravdepodobne ho očakávajú. Ale keďže ide o outsiderov, musíte sa uistiť, že sú naplánovaní na cvičenie a pravdepodobne ich budete musieť zaplatiť za svoj čas. To znamená, že je dôležité, aby sa to zohľadnilo vo vašom rozpočte, a to nielen raz, ale pravidelne.

To, ako je tento základ pravidelný, závisí od toho, ako vaši interní zamestnanci reagujú na váš prvý test. Váš prvý test takmer určite zlyhá v niektorých alebo možno vo všetkých aspektoch. Dá sa to očakávať, pretože táto reakcia bude pre mnohých oveľa zložitejšia a náročnejšia ako jednoduchá požiarna vŕtačka. Musíte zmerať závažnosť tohto zlyhania a použiť ho ako základ pre rozhodovanie o tom, ako často a do akej miery musíte uplatniť svoju reakciu. Nezabudnite, že pri katastrofe, ktorú väčšina podnikov nikdy nezažije, existuje požiarna vŕtačka. Vaše cvičenie proti kybernetickému útoku je pre katastrofu, ktorá je v určitom štádiu prakticky nevyhnutná.