6 Po kršitvi podatkov ne smete storiti ničesar

Vzdrževanje in uveljavljanje IT-varnosti je nekaj, kar smo obravnavali iz več zornih kotov, zlasti pri razvoju in razvijanju varnostnih trendov, in to so gotovo podatki, ki jih morate temeljito prebaviti. Poleg tega bi morali zagotoviti, da je vaše podjetje dobro opremljeno za zaščito in obrambo pred kibernetskimi napadi, zlasti z zaščito končnih točk IT-stopnje ter podrobno upravljanje identitete in ukrepi za nadzor dostopa. Trden in preizkušen postopek varnostne kopije podatkov je tudi nujen. Na žalost se knjiga za kršitev podatkov nenehno spreminja, kar pomeni, da so lahko nekatera vaša dejanja v času nesreče tako škodljiva, kot so koristna. Od tod pride ta kos.

, razpravljamo o tem, čemur naj se podjetja izognejo, ko ugotovijo, da so njihovi sistemi kršeni. Pogovarjali smo se z več strokovnjaki iz varnostnih podjetij in podjetij za analizo industrije, da bi bolje razumeli potencialne pasti in scenarije nesreč, ki se razvijejo po napadih kibernetskih napadov.

1. Ne improvizirajte

V primeru napada vam bo prvi nagon povedal, da začnete postopek odpravljanja situacije. To lahko vključuje zaščito končnih točk, ki so bile ciljno usmerjene ali preusmerjene na prejšnje varnostne kopije, da zaprete vstopno točko, ki so jo uporabili vaši napadalci. Na žalost, če prej niste razvili strategije, potem lahko kakršne koli prenagljene odločitve po napadu poslabšajo situacijo.

"Prva stvar, ki je ne bi smeli storiti po kršitvi, je ustvariti svoj odziv na poti, " je dejal Mark Nunnikhoven, podpredsednik oddelka za raziskave v oblaku pri ponudniku rešitev kibernetske varnosti Trend Micro. "Ključni del vašega načrta za odzivanje na nesreče je priprava. Ključne stike je treba pravočasno preslikati in shraniti v digitalni obliki. V primeru katastrofalne kršitve bi morali biti na voljo tudi v tiskani obliki. Ko se odzovete na kršitev, zadnja stvar treba je poskušati ugotoviti, kdo je odgovoren za katera dejanja in kdo lahko dovoli različne odgovore."

Ermis Sfakiyanudis, predsednik in izvršni direktor podjetja za varstvo podatkov Trivalent, se strinja s tem pristopom. Povedal je, da je ključnega pomena, da podjetja "ne zbledijo", potem ko jih je prizadela kršitev. "Medtem ko lahko nepripravljenost na področju kršitve podatkov podjetju povzroči nepopravljivo škodo, panika in neorganizacija lahko izredno škodita, " je pojasnil. "Ključno je, da podjetje, ki se je lomilo, ne odstopi od svojega načrta odzivanja na incident, ki bi moral kot prvi korak vključiti prepoznavanje domnevnega vzroka incidenta. Na primer, ali je bila kršitev posledica uspešnega napada ransomware, zlonamerne programske opreme v sistemu, požarni zid z odprtim vratom, zastarelo programsko opremo ali nenamerno notranjo grožnjo? Nato izolirajte izvršeni sistem in odpravite vzrok za kršitev, da zagotovite, da vaš sistem ne bo v nevarnosti."

Sfakiyanudis je dejal, da je ključnega pomena, da podjetja prosijo za pomoč, ko jim gre čez glavo. "Če ugotovite, da je prišlo do kršitve po vaši notranji preiskavi, pritegnite strokovno znanje tretjih oseb, ki bo pomagalo pri odpravljanju in blaženju napak, " je dejal. "To vključuje pravnega svetovalca, zunanje preiskovalce, ki lahko izvajajo temeljito forenzično preiskavo, in strokovnjake za odnose z javnostmi in komuniciranje, ki lahko ustvarijo strategijo in sporočijo medijem v vašem imenu.

"S pomočjo kombiniranega strokovnega vodenja lahko organizacije ostanejo mirne skozi kaos in ugotovijo, kakšne ranljivosti so povzročile kršitev podatkov, odpravijo, da se težava v prihodnosti ne ponovi, in zagotovijo, da je njihov odziv prizadetim strankam ustrezen in pravočasen. Lahko sodelujejo tudi s svojim pravnim svetovalcem, da določijo, ali in kdaj je treba obvestiti organe pregona."

2. Ne bodi tiho

Ko ste napadli, je tolažje misliti, da nihče zunaj vašega notranjega kroga ne ve, kaj se je pravkar zgodilo. Na žalost tveganje ni vredno nagrajevati. Želeli boste komunicirati z osebjem, prodajalci in strankami, da bodo vsi vedeli, do česa je dostopen, kaj ste naredili za odpravo razmer in kakšne načrte nameravate sprejeti, da v prihodnosti ne bi prišlo do podobnih napadov. "Ne prezrite lastnih zaposlenih, " je svetovala Heidi Shey, višja analitičarka varnosti in tveganj pri Forrester Research. "Z dogodkom morate komunicirati s svojimi zaposlenimi in svojim zaposlenim zagotoviti navodila, kaj storiti ali povedati, če so vprašali o kršitvi."

Shey je, tako kot Sfakiyanudis, dejal, da boste morda želeli najeti ekipo za stike z javnostmi, ki bo pomagala nadzirati sporočanje, ki stoji za vašim odzivom. To še posebej velja za velike in drage kršitve podatkov, s katerimi se soočajo potrošniki. "V idealnem primeru bi si želeli, da bi takšnega ponudnika vnaprej opredelili kot del načrtovanja odzivanja na nesreče, da bi lahko bili pripravljeni na začetek svojega odgovora, " je pojasnila.

To, da ste dejavni glede obveščanja javnosti o kršitvi, še ne pomeni, da lahko začnete izdajati divje izjave in izjave. Na primer, ko je izdelovalec igrač VTech pokvarjen, je heker dostopil do fotografij otrok in dnevnikov za klepete. Potem ko je situacija zamrla, je izdelovalec igrač spremenil svoje pogoje storitve in se v primeru kršitve odpovedal odgovornosti. Ni treba posebej poudarjati, da kupci niso bili zadovoljni. "Ne želite videti, da se zatečete k zakonitim sredstvom, ne glede na to, ali gre za izogibanje odgovornosti ali nadzoru nad pripovedjo, " je dejala Shey. "Bolje bi bilo vzpostaviti načrt odzivanja na kršitve in krizno upravljanje za pomoč pri komunikacijah, povezanih s kršitvami."

3. Ne dajajte lažnih ali zavajajočih izjav

To je očitno, vendar boste želeli biti čim bolj natančni in pošteni pri nagovarjanju javnosti. To je koristno za vašo blagovno znamko, koristno pa je tudi, koliko denarja boste odkupili od police kibernetskega zavarovanja, če bi jo imeli. "Ne objavljajte javnih izjav brez upoštevanja posledic tega, kar govorite in kako zvenite, " je dejal Nunnikoven.

"Je bil to res" prefinjen "napad? Če ga označevanje kot takega ne pomeni nujno, " je nadaljeval. "Ali mora vaš izvršni direktor resnično to poimenovati" teroristično dejanje "? Ste prebrali droben tisk svoje police za kibernetsko zavarovanje, da bi razumeli izključitve?"

Nunnikhoven priporoča, da se oblikujejo sporočila, ki so "brezglava, pogosta in ki jasno navajajo ukrepe, ki se izvajajo, in tiste, ki jih je treba sprejeti." Poizkus, da bi situacijo spremenil, se poostri. "Ko uporabniki s strani tretje osebe slišijo za kršitev, to takoj pokvari težko pridobljeno zaupanje, " je pojasnil. "Pojdite pred situacijo in ostanite spredaj s stalnim tokom strnjenih komunikacij v vseh kanalih, kjer ste že aktivni."

4. Ne pozabite na storitve za stranke

Če vaše kršitve podatkov vplivajo na spletno storitev, izkušnje vaših strank ali kakšen drug vidik vašega podjetja, zaradi katerega bi stranke lahko pošiljale poizvedbe, se na to osredotočite kot ločeno in pomembno vprašanje. Če ignorirate težave svojih strank ali celo odkrito poskušate svojo slabo srečo spremeniti v svoj dobiček, lahko hitro resno kršitev podatkov pretvori v nočno izgubo posla in prihodkov.

Kot primer naj bi kršitev portala Equifax kupcem kupcem prvotno dejal, da lahko dobijo leto brezplačnega kreditnega poročanja, če le ne bodo tožili. Kršitev je celo poskušala spremeniti v profitni center, ko je želela strankam dodatno zaračunati, če bi zahtevali, da se njihova poročila zamrznejo. To je bila napaka in dolgoročno je škodila odnosom s strankami. Podjetje bi moralo najprej postaviti svoje stranke in jim preprosto ponuditi brezpogojno poročanje, morda celo brezplačno, za isto časovno obdobje, da bi poudarili svojo zavezanost k ohranjanju strank.

5. Ne zapiraj incidentov prehitro

Zaprli ste poškodovane končne točke. Povezali ste se s svojimi zaposlenimi in strankami. Izterjali ste vse svoje podatke. Oblaki so se razšli in sončni žarek se je zakadil na vašo mizo. Ne tako hitro. Čeprav se morda zdi, kot da se je vaša kriza končala, boste želeli še naprej agresivno in proaktivno spremljati svoje omrežje, da preprečite nadaljnje napade.

"Obstaja velik pritisk za obnovitev storitev in okrevanje po kršitvi, " je dejal Nunnikhoven. "Napadalci se hitro pomerijo po omrežjih, ko se ustavijo, zato je težko sprejeti konkretno odločitev, da ste se lotili celotne težave. Pomemben korak je biti skrbni in bolj agresivno spremljati, dokler niste prepričani, da je organizacija jasna.."

Sfakiyanudis se strinja s to oceno. "Po odpravi kršitve podatkov in nadaljevanju rednega poslovanja ne predvidevajte, da bo enaka tehnologija in načrti, ki ste jih imeli pred kršitvijo, zadostni, " je dejal. "V vaši varnostni strategiji so bile izkoriščene vrzeli in tudi potem, ko se te vrzeli odpravijo, to še ne pomeni, da jih v prihodnosti ne bo več. Če želite nadaljevati bolj proaktiven pristop k varstvu podatkov, obravnavajte vaš načrt odzivanja na kršitev podatkov kot živi dokument. Ko posamezniki spreminjajo vloge in se organizacija razvija prek združitev, prevzemov itd., se mora načrt spremeniti tudi."

6. Ne pozabite preiskati

"Ko preiskujete kršitev, dokumentirajte vse, " je dejal Sfakiyanudis. "Zbiranje informacij o incidentu je ključnega pomena za preverjanje, ali je prišlo do kršitve, na katere sisteme in podatke so vplivali in kako so bile ublažene ali odpravljene težave. Zabeležite rezultate preiskav z zajemom podatkov in analizo, tako da bodo na voljo za pregled po zakolu.

"Bodite prepričani, da se pogovarjate tudi z vsemi vpletenimi in natančno dokumentirajte njihove odzive, " je nadaljeval. "Ustvarjanje podrobnih poročil s slikami diskov, pa tudi podrobnosti o tem, kdo, kaj, kje in kdaj se je zgodil incident, vam bo pomagal izvesti nove ali manjkajoče ukrepe za zmanjšanje tveganja ali zaščito podatkov."

Takšni ukrepi so očitno možne pravne posledice po dejstvu, vendar to ni edini razlog za preiskavo napada. Ugotovitev, kdo je odgovoren in kdo je bil prizadet, je ključno znanje za odvetnike in ga je vsekakor treba raziskati. Kako so se kršitve zgodile in kaj je bil ciljno usmerjen, so ključne informacije za IT in vaše varnostno osebje. Kateri del perimetra je potreben za izboljšanje in kateri deli vaših podatkov so (očitno) dragoceni za ne-do-well-wells? Prepričajte se, da ste preiskali vse pomembne vidike tega dogodka in se prepričajte, da vaši preiskovalci to vedo že na začetku.

Če je vaše podjetje preveč analogno, da bi samostojno opravilo to analizo, boste verjetno želeli najeti zunanjo ekipo za izvedbo te preiskave za vas (kot je že prej omenil Sfakiyanudis). Zapišite si tudi postopek iskanja. Upoštevajte, katere storitve so vam bile ponujene, s katerimi prodajalci ste govorili in ali ste bili zadovoljni s preiskovalnim postopkom. Te informacije vam bodo pomagale ugotoviti, ali se boste lahko obrnili na prodajalca ali ne, izbrali novega prodajalca ali najeli interno osebje, ki je sposobno voditi te procese, če bo vaše podjetje dovolj nesrečno, da bo utrpelo drugo kršitev.