Načrtovanje odziva na kršitev

Kršitev podatkov lahko vaše podjetje zaustavi kritično dolgo, včasih za vedno; zagotovo lahko ogrozi vašo finančno prihodnost in v nekaterih primerih vas lahko celo zapusti v zaporu. Toda nič od tega se ne sme zgoditi, ker lahko, če pravilno načrtujete, vi in ​​vaše podjetje okrevate in nadaljujete s poslovanjem, včasih v nekaj minutah. Navsezadnje se vse vsede na načrtovanje.

Pretekli teden smo razpravljali, kako se pripraviti na kršitev podatkov. Ob predpostavki, da ste to storili, preden se je zgodila vaša kršitev, so vaši naslednji koraki dokaj enostavni. Toda eden od teh korakov pripravljenosti je bil ustvariti načrt in ga nato preizkusiti. In ja, to bo zahtevalo veliko dela.

Razlika je v tem, da je načrtovanje vnaprejšnjega načrtovanja pred kršitvijo namenjeno zmanjšanju škode. Po kršenju se je treba načrt osredotočiti na postopek okrevanja in reševanje vprašanj po njegovem, če predpostavimo, da obstajajo. Ne pozabite na svoj splošni cilj, kot je bil pred kršitvijo, zmanjšati vpliv kršitve na vaše podjetje, zaposlene in vaše stranke.

Načrtovanje okrevanja

Načrtovanje obnovitve je sestavljeno iz dveh širokih kategorij. Prvi je popraviti škodo, ki jo povzroči kršitev, in zagotoviti, da se grožnja dejansko odpravi. Drugi je skrb za finančna in pravna tveganja, ki spremljajo kršitev podatkov. Kar zadeva zdravje vaše organizacije v prihodnosti, sta obe prav tako pomembni.

"Zadrževanje je ključno pri okrevanju, " je dejal Sean Blenkhorn, podpredsednik, Solutions Engineering in svetovalne službe za upravljavca ponudnika zaščite in odzivanja eSentire. "Hitreje ko lahko zaznamo grožnjo, bolje jo bomo lahko vsebovali."

Blenkhorn je dejal, da se vsebovanje grožnje lahko razlikuje glede na to, za kakšno nevarnost gre. V primeru odkupa programske opreme lahko to pomeni, da lahko z upravljano platformo za zaščito končnih točk izolirate zlonamerno programsko opremo skupaj z morebitnimi sekundarnimi okužbami, da se ne more širiti, in jo nato odstranite. To lahko pomeni tudi izvajanje novih strategij, tako da bodo prihodnje kršitve preprečene, kot je opremljanje gostujočih in telekomunikacijskih uporabnikov z osebnimi računi virtualnega zasebnega omrežja (VPN).

Vendar lahko druge vrste groženj zahtevajo različne taktike. Na primer, napad, ki išče finančne informacije, intelektualno lastnino (IP) ali druge podatke vašega podjetja, ne bo obravnavan enako kot napad z odkupno programsko opremo. V teh primerih boste morda morali najti in odpraviti pot vnosa in morali boste najti način, kako ustaviti ukaz in nadzor sporočil. To bo posledično zahtevalo, da spremljate in upravljate svoj omrežni promet za ta sporočila, da boste lahko videli, od kod izvirajo in kam pošiljajo podatke.

"Napadalci imajo prvo prednost, " je dejal Blenkhorn. "Iskati moraš anomalije."

Te anomalije vas bodo preusmerile do vira, običajno do strežnika, ki omogoča dostop ali zagotavlja izčrpanost. Ko to ugotovite, lahko odstranite zlonamerno programsko opremo in obnovite strežnik. Vendar Blenkhorn opozarja, da boste morda morali znova slikati strežnik, da se prepričate, da resnično ni več zlonamerne programske opreme.

Kršite korake za obnovitev

Blenkhorn je dejal, da morate pri načrtovanju obnovitve zaradi kršitve upoštevati tri dodatne stvari:

1. Kršitev je neizogibna,
2. Tehnologija sama ne bo rešila problema in
3. Morate domnevati, da gre za grožnjo, ki je še nikoli niste videli.

Ko pa ste grožnjo odpravili, ste opravili le polovico okrevanja. Druga polovica ščiti sam posel. Kot pravi Ari Vared, višji direktor produkta pri kibernetskem zavarovanju CyberPolicy, to pomeni, da svoje partnerje za obnovitev vnaprej pripravite.

"Tu lahko vzpostavimo načrt za obnovitev spletnega mesta, kar lahko prihrani podjetje, " je Vared povedal PCMag v e-poštnem sporočilu. "To pomeni, da se prepričate, da vaš pravni tim, skupina za forenzične podatke, PR-skupina in vaši ključni uslužbenci vnaprej vedo, kaj je treba storiti, kadar pride do kršitve."

Prvi korak pomeni, da vnaprej določite svoje partnerje za obnovitev, jih obvestite o svojem načrtu in izvedete vse potrebne ukrepe za ohranitev njihovih storitev v primeru kršitve. To se sliši kot veliko upravno breme, vendar je Vared navedel štiri pomembne razloge, zaradi katerih je postopek vreden truda:

1. Če obstaja potreba po sporazumih o nerazkrivanju podatkov in zaupnosti, se lahko dogovorite o njih vnaprej, skupaj s pristojbinami in drugimi pogoji, da ne izgubljate časa po spletnem napadu, ki bi se poskušal pogajati z novim prodajalcem.
2. Če imate kibernetsko zavarovanje, je morda v vaši agenciji že določenih partnerjev. V tem primeru boste želeli uporabiti te vire za zagotovitev kritja stroškov v skladu s pravilnikom.
3. Vaš ponudnik kibernetskih zavarovanj ima lahko smernice za znesek, ki ga je pripravljen kriti za nekatere vidike, lastnik malih in srednje velikih podjetij (SMB) pa bo želel zagotoviti, da njihove pristojbine za prodajalce spadajo v te smernice.
4. Nekatere zavarovalnice za kibernetsko zavarovanje bodo imele potrebne partnerje za obnovitev, zato je rešitev na ključ za lastnika podjetja, saj so odnosi že vzpostavljeni in storitve bodo samodejno zajete v politiki.

Reševanje pravnih in forenzičnih vprašanj

Vared je dejal, da sta pravna in forenzična ekipa po napadu velika prednost. Skupina za forenzike bo naredila prve korake pri okrevanju, kot je poudaril Blenkhorn. Kot že ime pove, je ta ekipa tam, da ugotovi, kaj se je zgodilo, in kar je še pomembneje, kako. To ni namenjanje krivde; je prepoznati ranljivost, ki je kršitev omogočila, da jo lahko priklopite. To je pomembno razliko med zaposlenimi pred prihodom forenzične ekipe, da se izognemo neupravičenim strašanjem ali skrbi.

Vared je ugotovil, da pravna skupina, ki se odzove na kršitev, verjetno ne bo ista oseba, ki se ukvarja s tradicionalnimi pravnimi nalogami za vaše podjetje. Namesto tega bodo specializirane skupine z izkušnjami za reševanje posledic kibernetskih napadov. Ta ekipa vas lahko brani pred tožbami zaradi kršitve, ravnanjem z regulatorji ali celo vodenjem pogajanj s kibernetskimi tatovi in ​​njihovimi odkupnimi pravicami.

Medtem bo vaša PR-skupina sodelovala z vašo pravno ekipo, da bo obravnavala zahteve po obveščanju, komunicirala s strankami, da bi pojasnila kršitev in vaš odziv ter po možnosti celo pojasnila iste podatke medijem.

Nazadnje, ko boste sprejeli vse potrebne ukrepe za izterjavo od kršitve, boste morali zbrati te skupine skupaj z voditelji na ravni C in imeti sestanek in poročilo. Poročilo o ukrepih je ključnega pomena za pripravo vaše organizacije na naslednjo kršitev z določitvijo, kaj je šlo narobe, kaj je šlo narobe in kaj bi lahko naredili za izboljšanje svojega odziva naslednjič.

Testiranje vašega načrta

• 6 stvari, ki jih po kršitvi podatkov ne bi smeli storiti, 6 stvari, ki jih po kršitvi podatkov ne počnete
• Kršitve podatkov ogrožene 4, 5 milijarde zapisov v prvi polovici leta 2018 Kršitve podatkov ogrožene 4, 5 milijarde zapisov v prvi polovici leta 2018
• Cathay Pacific razkrije kršitve podatkov, ki vplivajo na 9.4M potnike Cathay Pacific razkrije kršitve podatkov, ki vplivajo na 9.4M potnike

Vse to predvideva, da je bil vaš načrt v primeru slabe stvari dobro zasnovan in izbran. Na žalost to nikoli ni varna domneva. Edini način, da si zanesljivo prepričamo, da ima vaš načrt kakršno koli možnost za uspeh, je, da ga izvajamo, ko bo pripravljen. Strokovnjaki, ki ste jih angažirali in ki se ukvarjajo s spletnimi napadi kot rednimi dogodki v svojem poslu, vam ne bodo nudili veliko odpora pri izvajanju vašega načrta - tega so navajeni in verjetno pričakujejo. Ker pa so zunanji sodelavci, boste morali poskrbeti, da bodo načrtovani za vadbo, in verjetno jih boste morali plačati za svoj čas. To pomeni, da je to pomembno upoštevati pri pripravi proračuna, ne le enkrat, ampak redno.

Od tega, kako redna je ta osnova, je odvisno od tega, kako se bodo vaši zaposleni odzvali na prvi preizkus. Vaš prvi preizkus bo skoraj zagotovo neuspešen v nekaterih ali morda vseh vidikih. To je pričakovati, saj bo ta odziv za mnoge veliko bolj zapleten in obremenjujoč kot preprosta vaja. Kar morate storiti, je izmeriti resnost tega neuspeha in ga uporabiti kot izhodišče za odločitev, kako pogosto in v kolikšni meri morate vaditi svoj odziv. Ne pozabite, da je požarna vaja tam za katastrofo, ki je večina podjetij nikoli ne bo doživela. Vaša vaja za kibernetske napade je katastrofa, ki je na neki stopnji praktično neizogibna.