6 Co dělat po narušení dat

Udržování a vynucování bezpečnosti IT je něco, co jsme pokryli z několika úhlů, zejména způsobů vývoje a vyvíjejících se bezpečnostních trendů, a to je určitě informace, kterou byste měli důkladně strávit. Kromě toho byste se měli ujistit, že je vaše firma dobře vybavena k ochraně a obraně před kybernetickým útokem, zejména prostřednictvím ochrany koncových bodů na úrovni IT a podrobných opatření pro správu identity a kontrolu přístupu. Nezbytným je také solidní a vyzkoušený proces zálohování dat. Příručka pro narušení dat se bohužel neustále mění, což znamená, že některé z vašich akcí během katastrofy mohou být stejně škodlivé, jako jsou užitečné. Tam přichází tento kus.

, diskutujeme o tom, co by společnosti neměly dělat, jakmile si uvědomí, že jejich systémy byly porušeny. Mluvili jsme s několika odborníky z bezpečnostních společností a firem z průmyslové analýzy, abychom lépe porozuměli možným scénářům nástrah a katastrof, které se vyvíjejí v důsledku kybernetických útoků.

1. Nezlepšujte

V případě útoku vám váš první instinkt řekne, abyste zahájili proces nápravy situace. To může zahrnovat ochranu koncových bodů, které byly zacíleny, nebo návrat k předchozím zálohám, aby se uzavřel vstupní bod používaný útočníky. Bohužel, pokud jste dříve nevyvinuli strategii, pak jakákoli unáhlená rozhodnutí, která učiníte po útoku, by mohla situaci zhoršit.

„První věc, kterou byste po narušení neměli dělat, je vytvoření vaší reakce za chodu, “ řekl Mark Nunnikhoven, viceprezident Cloud Research u poskytovatele řešení kybernetického zabezpečení Trend Micro. „Zásadní součástí vašeho plánu reakce na incidenty je příprava. Klíčové kontakty by měly být předem zmapovány a uloženy digitálně. Také by měly být k dispozici v tištěné podobě v případě katastrofického porušení. Když odpovíte na porušení, poslední věc, kterou je třeba se snažit zjistit, kdo je zodpovědný za jaké činy a kdo může autorizovat různé reakce. “

Ermis Sfakiyanudis, prezident a generální ředitel společnosti poskytující služby ochrany údajů Trivalent, souhlasí s tímto přístupem. Řekl, že je důležité, aby společnosti „nezasahovaly“ poté, co byly zasaženy porušením. "I když nepřipravenost tváří v tvář narušení dat může způsobit nenapravitelné poškození společnosti, panika a dezorganizace mohou být také velmi škodlivé, " vysvětlil. „Je zásadní, aby porušená společnost nezůstala ve svém plánu reakce na incident, který by měl zahrnovat identifikaci podezření na příčinu incidentu jako první krok. Například bylo to porušení způsobené úspěšným útokem ransomware, malwarem v systému, firewall s otevřeným portem, zastaralým softwarem nebo neúmyslným ohrožením zasvěcenými? Dále izolujte provedený systém a vymažte příčinu narušení, abyste zajistili, že váš systém nebude v nebezpečí. ““

Sfakiyanudis prohlásil, že je zásadní, aby společnosti požádaly o pomoc, když jsou nad hlavou. „Pokud zjistíte, že po vašem interním vyšetřování skutečně došlo k porušení, využijte odborné znalosti třetích stran, které pomohou zvládnout a zmírnit dopad, “ uvedl. „Patří sem právní poradce, externí vyšetřovatelé, kteří mohou provádět důkladné forenzní vyšetřování, a odborníci na styk s veřejností a komunikaci, kteří mohou za vás vytvářet strategii a komunikovat s médii.

„Díky tomuto kombinovanému odbornému vedení mohou organizace zůstat v klidu díky chaosu, identifikovat zranitelnosti, které způsobily narušení dat, napravit, aby se problém v budoucnu už neopakoval, a zajistit, aby jejich reakce na postižené zákazníky byly přiměřené a včasné. spolupracují také s právním poradcem, aby určili, zda a kdy by mělo být vymáhání práva oznámeno. “

2. Nepokládejte ticho

Jakmile jste byli napadeni, je uklidňující si myslet, že nikdo mimo váš vnitřní kruh neví, co se právě stalo. Riziko zde bohužel nestojí za odměnu. Budete chtít komunikovat se zaměstnanci, prodejci a zákazníky, abyste všem věděli, co bylo zpřístupněno, co jste udělali pro nápravu situace a jaké plány hodláte přijmout, aby v budoucnu nedošlo k podobným útokům. „Neignorujte své vlastní zaměstnance, “ radil Heidi Shey, hlavní analytik bezpečnosti a rizik ve společnosti Forrester Research. "Musíte se svými zaměstnanci komunikovat o této události a poskytnout svým zaměstnancům návod, co dělat nebo co říci, pokud se ptají na porušení."

Shey, stejně jako Sfakiyanudis, řekl, že byste se měli podívat na najmutí týmu pro styk s veřejností, který vám pomůže kontrolovat zprávy za vaší odpovědí. To platí zejména pro velké a nákladné narušení dat ze strany zákazníků. „V ideálním případě byste chtěli, aby byl takový poskytovatel předem identifikován jako součást plánování reakce na incidenty, abyste mohli být připraveni zahájit vaši odpověď, “ vysvětlila.

Jen proto, že jste aktivní při informování veřejnosti o tom, že jste byli porušeni, to neznamená, že můžete začít vydávat divoká prohlášení a proklamace. Například když došlo k porušení toymakeru VTech, hacker dostal přístup k fotografiím dětí a protokolům chatu. Poté, co situace zmizela, toymaker změnil své smluvní podmínky, aby se v případě porušení vzdal své odpovědnosti. Netřeba dodávat, že zákazníci nebyli šťastní. "Nechceš vypadat, jako by ses uchýlila k úkrytu za legálními prostředky, ať už se jedná o vyhýbání se odpovědnosti nebo kontrolu nad vyprávěním, " řekl Shey. „Je lepší mít zaveden plán reakce a řešení krizí, který pomůže s komunikací související s porušením.“

3. Neprovádějte nepravdivá nebo zavádějící prohlášení

Je to zřejmé, ale při oslovování veřejnosti budete chtít být co nejpřesnější a nejpřímější. To je výhodné pro vaši značku, ale také pro to, kolik peněz budete mít zpět z kybernetického pojištění, pokud je máte. "Nevydávejte veřejná prohlášení bez ohledu na důsledky toho, co říkáte a jak zníte, " řekl Nunnikoven.

„Byl to opravdu„ sofistikovaný “útok? Označování jako takové nemusí nutně znamenat, že je to pravda, “ pokračoval. „Opravdu to musí váš generální ředitel nazvat„ teroristickým činem “? Četli jste drobné výtisky vaší politiky kybernetického pojištění, abyste pochopili vyloučení?“

Nunnikhoven doporučuje vytvářet zprávy, které jsou „ne býčí, časté a které jasně uvádějí přijatá opatření a ty, které je třeba přijmout“. Pokoušel se situaci zvrátit, řekl, má tendenci zhoršovat situaci. "Když uživatelé slyší o porušení od třetí strany, okamžitě to narušuje těžce získanou důvěru, " vysvětlil. "Dostaňte se před situaci a zůstaňte před ní, se stálým proudem stručných komunikací na všech kanálech, na kterých jste již aktivní."

4. Nezapomeňte na zákaznický servis

Pokud narušení vašich dat ovlivní službu online, zkušenosti vašich zákazníků nebo jiný aspekt vaší firmy, který by mohl mít zákazníky, aby vám zasílali dotazy, zaměřte se na to jako na samostatný a důležitý problém. Ignorování problémů vašich zákazníků nebo dokonce zjevné pokusy proměnit jejich smůlu v váš zisk může rychle změnit vážné porušení dat na hroznou ztrátu podnikání a příjmů.

Jako příklad uvedla narušení společnosti Equifax, společnost původně řekla zákazníkům, že by mohli mít rok bezplatného hlášení úvěrů, pokud by jen žalovali. Dokonce se pokusil proměnit porušení v ziskové středisko, když chtěl účtovat zákazníkům navíc, pokud požádali o zmrazení svých zpráv. To byla chyba a dlouhodobě to poškodilo vztahy se zákazníky společnosti. To, co měla společnost udělat, bylo umístit své zákazníky na první místo a jednoduše jim nabídnout bezpodmínečné hlášení, možná i bezplatně, za stejné časové období, aby zdůraznili svůj závazek udržovat zákazníky v bezpečí.

5. Nezavírejte incidenty příliš brzy

Uzavřeli jste poškozený koncový bod. Kontaktovali jste své zaměstnance a zákazníky. Obnovili jste všechna svá data. Mraky se rozpadly a na stůl se kaskádoval paprsek slunce. Ne tak rychle. I když se to může zdát, jako by vaše krize skončila, budete chtít pokračovat v agresivním a proaktivním sledování vaší sítě, abyste zajistili, že nedojde k následným útokům.

„Existuje obrovský tlak na obnovení služeb a zotavení po narušení, “ řekl Nunnikhoven. „Útočníci se rychle pohybují v sítích, jakmile získají oporu, takže je těžké učinit konkrétní rozhodnutí, že jste celý problém vyřešili. Důsledný pobyt a agresivnější sledování je důležitým krokem, dokud si nejste jisti, že organizace je v jasném. “

Sfakiyanudis s tímto hodnocením souhlasí. "Po vyřešení narušení dat a obnovení běžných obchodních operací nepředpokládejte stejnou technologii a plány, které jste měli na svém místě, budou stačit, " uvedl. „Ve vaší bezpečnostní strategii byly mezery, které byly využity, a to i poté, co jsou tyto mezery odstraněny, to neznamená, že v budoucnu už nebude více. Aby bylo možné zaujmout aktivnější přístup k ochraně údajů směrem vpřed, zacházejte s nimi váš plán reakce na narušení dat jako živý dokument. Protože jednotlivci mění role a organizace se vyvíjí prostřednictvím fúzí, akvizic atd., musí se plán také změnit. ““

6. Nezapomeňte na vyšetřování

„Při vyšetřování porušení dokumentujte vše, “ řekl Sfakiyanudis. „Shromažďování informací o incidentu je rozhodující pro ověření toho, že došlo k porušení, jaké systémy a data byla ovlivněna a jak bylo řešeno zmírnění nebo náprava. Protokolovejte výsledky vyšetřování prostřednictvím zachycování a analýzy dat, aby byly k dispozici pro přezkoumání post mortem.

„Nezapomeňte také pohovořit se všemi zúčastněnými a pečlivě zdokumentovat jejich odpovědi, “ pokračoval. „Vytváření podrobných zpráv s obrazy disků, jakož i podrobnosti o tom, kdo, co, kde a kdy došlo k incidentu, vám pomůže s implementací jakýchkoli nových nebo chybějících opatření ke zmírnění rizika nebo ochrany údajů.“

Taková opatření jsou zjevně možnými právními důsledky, ale to není jediný důvod, proč útok prošetřit. Zjištění, kdo byl zodpovědný a kdo byl zasažen, je pro právníky klíčovou znalostí a měl by být jistě vyšetřen. Ale jak k porušení došlo a co bylo cíleno, jsou klíčové informace pro IT a váš bezpečnostní personál. Která část obvodu potřebuje zlepšení a jaké části vašich dat jsou (zřejmě) cenné pro ne'er-do-wells? Ujistěte se, že prozkoumáte všechny cenné úhly k tomuto incidentu a ujistěte se, že vaši vyšetřovatelé to vědí hned od začátku.

Pokud je vaše společnost příliš analogická na to, aby provedla tuto analýzu sama, pravděpodobně budete chtít najmout externí tým, který by provedl toto šetření za vás (jak již bylo zmíněno Sfakiyanudis). Dělejte si poznámky k procesu vyhledávání. Všimněte si, jaké služby vám byly nabídnuty, se kterými prodejci jste hovořili, a zda jste byli s vyšetřovacím procesem spokojeni či nikoli. Tyto informace vám pomohou určit, zda se budete držet svého dodavatele, vybrat si nového prodejce, nebo najmout interního zaměstnance, který je schopen tyto procesy provádět, pokud by vaše společnost byla nešťastná, aby utrpěla druhé porušení.