6 Poslovi koji se ne smiju raditi nakon kršenja podataka

Održavanje i provođenje informatičke sigurnosti nešto je što smo pokrili iz nekoliko kutova, posebno kako razvojni i razvojni trendovi u sigurnosti, a to je sigurno informacija koju biste trebali temeljito probaviti. Uz to, trebali biste osigurati da je vaše poduzeće dobro opremljeno za zaštitu i obranu od cyber napada, posebno putem zaštite krajnje točke IT standarda i detaljnog upravljanja identitetom i mjera kontrole pristupa. Solidan i provjeren postupak izrade sigurnosne kopije podataka također je potreban. Nažalost, knjižica za povrede podataka neprekidno se mijenja, što znači da bi neki od vaših postupaka za vrijeme katastrofe mogli biti jednako štetni koliko i korisni. Tu dolazi ovaj komad.

, razgovaramo o tome što bi kompanije trebale izbjegavati raditi nakon što shvate da im je sustav narušen. Razgovarali smo s nekoliko stručnjaka iz sigurnosnih tvrtki i firmi za analizu industrije kako bismo bolje razumjeli potencijalne zamke i scenarije katastrofa koji se razvijaju nakon cyber napada.

1. Ne improvizirajte

U slučaju napada, vaš prvi instinkt reći će vam da započnete postupak ispravljanja situacije. To može uključivati ​​zaštitu krajnjih točaka koje su ciljane ili vraćanje na prethodne sigurnosne kopije radi zatvaranja ulazne točke koju koriste napadači. Nažalost, ako prije niste razvili strategiju, onda svaka ishitrena odluka koju donesete nakon napada može pogoršati situaciju.

"Prvo što ne biste trebali učiniti nakon kršenja zakona jest stvoriti svoj odgovor u letu", rekao je Mark Nunnikhoven, potpredsjednik tvrtke Cloud Research pri davatelju rješenja za cyber sigurnost Trend Micro. "Kritični dio vašeg plana reakcije na incident je priprema. Ključni kontakti trebaju se mapirati unaprijed i pohraniti na digitalni način. Također bi trebali biti dostupni u tiskanom obliku u slučaju katastrofalnog kršenja. Kada odgovarate na prekršaj, posljednja stvar koju treba pokušati otkriti tko je odgovoran za koje radnje i tko može odobriti različite odgovore."

Ermis Sfakiyanudis, predsjednik i izvršni direktor tvrtke za zaštitu podataka Trivalent, slaže se s takvim pristupom. Kazao je kako je kritično da kompanije "ne propadaju" nakon što ih je udario prekršaj. "Iako nepripremljenost za kršenje podataka može nanijeti nepopravljivu štetu tvrtki, panika i neorganizacija također mogu biti vrlo štetni", objasnio je. "Kritično je da tvrtka koja se pokvarila ne skrene sa svog plana reakcije na incident, koji bi trebao uključivati ​​identificiranje sumnjivog uzroka incidenta kao prvi korak. Na primjer, je li kršenje uzrokovano uspješnim napadom ransomwarea, zlonamjernim softverom na sustavu, vatrozid s otvorenim priključkom, zastarjelim softverom ili nenamjernom insajderskom prijetnjom? Zatim, izolirajte oštećeni sustav i uklonite uzrok kršenja kako biste osigurali da vaš sustav ne bude u opasnosti."

Sfakiyanudis je rekao da je od vitalnog značaja da kompanije zatraže pomoć kad im se nadglasa. "Ako utvrdite da je kršenje doista došlo nakon vaše interne istrage, unesite stručnost treće strane koja će vam pomoći u rješavanju i ublažavanju ispadanja", rekao je. "To uključuje pravne savjete, vanjske istražitelje koji mogu provoditi temeljitu forenzičku istragu i stručnjake za odnose s javnošću i komunikacije koji mogu stvoriti strategiju i komunicirati s medijima u vaše ime.

"Uz ovo kombinirano stručno vodstvo, organizacije mogu ostati mirne kroz kaos, identificirati koje su ranjivosti prouzročile kršenje podataka, ispraviti ih tako da se problem više ne ponovi u budućnosti i osigurati da njihov odgovor pogođenim kupcima bude odgovarajući i pravodoban. Oni mogu također rade sa svojim pravnim savjetnikom kako bi utvrdili treba li i kada treba obavijestiti policiju."

2. Ne šuti tiho

Nakon što ste napadnuti, utješno je pomisliti da nitko izvan vašeg unutarnjeg kruga ne zna što se upravo dogodilo. Nažalost, rizik ovdje nije vrijedan nagrade. Morat ćete komunicirati sa zaposlenicima, dobavljačima i kupcima kako biste svima priopćili čemu se pristupa, što ste poduzeli kako biste popravili situaciju i koje planove namjeravate poduzeti kako se ne bi dogodili slični napadi u budućnosti. "Ne zanemarujte vlastite zaposlenike", savjetovala je Heidi Shey, viša analitičarka sigurnosti i rizika u kompaniji Forrester Research. "Morate komunicirati sa svojim zaposlenicima o događaju i pružiti smjernice zaposlenicima što učiniti ili reći ako su pitali za kršenje."

Shey je, poput Sfakiyanudisa, rekla da ćete možda htjeti razmotriti angažiranje tima za odnose s javnošću koji će vam pomoći u kontroli poruka koji stoji iza vašeg odgovora. To se posebno odnosi na velika i skupa kršenja podataka okrenutih potrošačima. "U idealnom slučaju, željeli biste takvog pružatelja usluga unaprijed identificirati kao dio vašeg planiranja reakcije na incident, tako da možete biti spremni započeti svoj odgovor", objasnila je.

Samo zato što ste aktivni u obavještavanju javnosti da ste prekršeni, to ne znači da možete početi izdavati divlje izjave i proklamacije. Na primjer, kada je proizvođač igračaka VTech pokrenut, haker je pristupio fotografijama djece i zapisnicima chata. Nakon što se situacija smirila, proizvođač igračaka promijenio je Uvjete pružanja usluge kako bi se odrekao svoje odgovornosti u slučaju kršenja. Ne treba reći da kupci nisu bili zadovoljni. "Ne želite izgledati kao da pribjegavate skrivanju iza legalnih sredstava, bilo da je to u izbjegavanju odgovornosti ili kontroli naracije", rekla je Shey. "Bolje je uspostaviti plan za reagiranje na kršenje zakona i upravljanje krizama za pomoć u komunikacijama vezanim za kršenje."

3. Nemojte davati lažne ili pogrešne izjave

Ovo je očito, ali želite biti što precizniji i iskreniji kada se obraćate javnosti. To je korisno za vašu marku, ali također je korisno koliko novca ćete dobiti od svoje police osiguranja cyber osiguranja ako je imate. "Ne objavljujte javne izjave bez obzira na implikacije onoga što govorite i kako zvučite", rekao je Nunnikoven.

"Je li to zaista bio 'sofisticirani' napad? Označivanje takvim ne mora nužno i istiniti", nastavio je. "Morate li vaš predsjednik uprave to zvati" terorističkim aktom "? Jeste li pročitali sitan otisak polise za cyber osiguranje da biste razumjeli isključenja?"

Nunnikhoven preporučuje izradu poruka koje su "bez problema, česte i u kojima se jasno navode akcije koje se poduzimaju i one koje je potrebno poduzeti". Pokušavajući zavrtjeti situaciju, rekao je, teži pogoršavanju stvari. "Kad korisnici čuju za kršenje od treće strane, to odmah narušava teško stečeno povjerenje", objasnio je. "Izađite pred situaciju i ostanite ispred, neprekidnim tijekom sažetu komunikaciju na svim kanalima na kojima ste već aktivni."

4. Sjetite se službe za korisnike

Ako kršenje vaših podataka utječe na internetsku uslugu, iskustvo vaših kupaca ili neki drugi aspekt vašeg poslovanja zbog kojeg bi kupci mogli slati vaše upite, obavezno se usredotočite na to kao zasebno i važno pitanje. Zanemarivanje problema kupaca ili čak pretjeran pokušaj pretvorbe njihove loše sreće u vaš dobitak može brzo pretvoriti ozbiljno kršenje podataka u košmarni gubitak poslovanja i prihoda.

Uzimajući primjer kršenja Equifaxa, tvrtka je izvorno rekla kupcima da mogu imati godinu dana besplatnog kreditnog izvješćivanja, samo ako ne bi podneli tužbu. Čak je pokušao prekršaj pretvoriti u profitni centar kad je želio dodatno naplatiti kupce ako zatraže zamrzavanje njihovih izvještaja. To je bila pogreška, a dugoročno je naštetila odnosima s kupcima tvrtke. Tvrtka je trebala učiniti prvo staviti svoje kupce i jednostavno im ponudila bezuvjetno izvještavanje, možda čak i bez naknade, u istom vremenskom razdoblju kako bi naglasila njihovu predanost očuvanju kupaca.

5. Ne zatvarajte incidente prerano

Zatvorili ste svoje pokvarene krajnje točke. Kontaktirali ste svoje zaposlenike i kupce. Povratili ste sve svoje podatke. Oblaci su se razišli i sunčeva zraka je pala na vaš stol. Ne tako brzo. Iako se može činiti kao da je kriza završila, morat ćete i dalje agresivno i proaktivno pratiti mrežu kako biste osigurali da nema napada.

"Postoji ogroman pritisak za obnavljanje usluga i oporavak nakon kršenja", rekao je Nunnikhoven. "Napadači se brzo kreću mrežama nakon što stvore uporište, pa je teško donijeti konkretnu odluku da ste se pozabavili cijelim problemom. Pridno i pažljivo pratiti važan je korak dok ne budete sigurni da je organizacija jasna. „.

Sfakiyanudis se slaže s ovom procjenom. "Nakon što se riješi kršenje podataka i nastavi redovno poslovanje, nemojte pretpostavljati da će biti dovoljna ista tehnologija i planovi koje ste imali prije povrede", rekao je. "Postoje nedostaci u vašoj sigurnosnoj strategiji koji su iskorišteni i, čak i nakon što se te praznine riješe, to ne znači da ih u budućnosti neće biti više. Kako biste se kretali naprijed, tretirajte vaš plan reagiranja na kršenje podataka kao živi dokument. Dok pojedinci mijenjaju uloge i organizacija se razvija spajanjem, akvizicijom itd., taj se plan također mora promijeniti."

6. Ne zaboravite istražiti

"Kada istražujete kršenje zakona, dokumentirajte sve", rekao je Sfakiyanudis. "Prikupljanje podataka o incidentu od presudne je važnosti za provjeru kršenja pravila, utjecaja na sustave i podatke i na rješavanje problema ublažavanja ili sanacije. Zabilježite rezultate istraga putem prikupljanja i analiza podataka kako bi bili dostupni za pregled naknadno.

"Obavezno intervjuirajte i sve koji su uključeni i pažljivo dokumentirajte njihove odgovore", nastavio je. "Izrada detaljnih izvještaja sa slikama diska, kao i detalji o tome tko, što, gdje i kada se incident dogodio, pomoći će vam da implementirate nove ili nestale mjere ublažavanja rizika ili zaštite podataka."

Takve su mjere očigledno za moguće pravne posljedice nakon činjenice, ali to nije jedini razlog da se istraži napad. Otkrivanje tko je odgovoran i tko je pogođen ključno je znanje za odvjetnike i svakako bi ga trebalo istražiti. No kako su se povrede dogodile i na što je ciljao ključne su informacije za IT i vaše zaštitarsko osoblje. Koji dio perimetra treba poboljšati i koji su dijelovi vaših podataka (naizgled) vrijedni za ne-well-do-wells? Obavezno istražite sve vrijedne uglove ovog događaja i budite sigurni da vaši istražitelji to znaju od samog početka.

Ako je vaša tvrtka previše analogna da sama provede ovu analizu, vjerojatno ćete htjeti angažirati vanjski tim koji će za vas sprovesti ovu istragu (kao što je ranije spomenuo Sfakiyanudis). Vodite bilješke i o procesu pretraživanja. Zabilježite koje su vam usluge bile ponuđene, s kojim dobavljačima ste razgovarali i jeste li bili zadovoljni s istražnim postupkom ili ne. Ove će vam informacije pomoći da odredite hoćete li se pridržavati vašeg dobavljača, odabrati novog dobavljača ili unajmiti interno osoblje koje je sposobno voditi te procese ukoliko vaša tvrtka bude dovoljno nesretna da pretrpi drugo kršenje.