6 Az adatok megsértése után nem szabad tennie

Az informatikai biztonság fenntartását és érvényesítését olyasmi, amit több szempontból lefedtünk, különös tekintettel a fejlesztési és fejlesztési tendenciákra, és ez minden bizonnyal olyan információ, amelyet alaposan el kell emésztni. Ezenkívül gondoskodnia kell arról, hogy vállalkozása megfelelő felszereltséggel rendelkezzen a számítógépes támadások megóvása és megvédése érdekében, különösen informatikai minőségű végpontvédelem, valamint szemcsés identitáskezelés és hozzáférés-ellenőrző intézkedések révén. A szilárd és tesztelt adatmentési folyamat is kötelező. Sajnos az adatok megsértésének playbookja folyamatosan változik, ami azt jelenti, hogy a katasztrófa alatt bekövetkezett néhány intézkedés ugyanolyan káros lehet, mint hasznos. Itt jön be ez a darab.

, megvitatjuk, hogy mit kell elkerülniük a vállalatoknak, mihelyt rájönnek a rendszerük megsértésére. A biztonsági és ipari elemző cégek több szakértőjével beszéltünk annak érdekében, hogy jobban megértsük a potenciális buktatókat és a katasztrófa forgatókönyveket, amelyek a kiberbűncselekmények nyomán alakulnak ki.

1. Ne javítson

Támadás esetén az első ösztön megmondja, hogy kezdje meg a helyzet orvoslását. Ez magában foglalhatja a megcélzott végpontok védelmét vagy a korábbi biztonsági másolatokhoz való visszatérést a támadók által használt belépési pont bezárásához. Sajnos, ha még nem dolgozott ki stratégiát, akkor a támadás után hozott sietős döntések ronthatják a helyzetet.

"Az első dolog, amelyet nem szabad megtennie a jogsértés után, az az, hogy repülés közben készítse el a válaszát" - mondta Mark Nunnikhoven, a Trend Micro kiberbiztonsági megoldások szolgáltatójának Cloud Research alelnöke. "Az eseményekre való reagálás tervének kritikus része az előkészítés. A kulcsfontosságú kapcsolatokat időben előre meg kell határozni és digitálisan tárolni kell. Katasztrófikus megsértés esetén nyomtatott formában is rendelkezésre kell állniuk. A megsértésre adott válaszként az utolsó dolog, amit te "Meg kell próbálnunk kitalálni, ki felelős miért, és mi engedélyezi a különféle válaszokat."

Ermis Sfakiyanudis, a Trivalent adatvédelmi szolgáltató cég elnöke és vezérigazgatója egyetért ezzel a megközelítéssel. Azt mondta, hogy kritikus fontosságú, hogy a vállalatok "ne kibújjanak", miután megsértették őket. "Míg az adatsértésekkel szembeni felkészületlenség helyrehozhatatlan károkat okozhat egy vállalatnak, a pánik és a rendezetlenség szintén rendkívül káros lehet" - magyarázta. "Rendkívül fontos, hogy a megsértett társaság ne távozzon az esetleges elhárítási tervétől, amelynek első lépésként fel kell tüntetnie az eset feltételezett okát. Például a sikeres ransomware támadás, a rendszer rosszindulatú programja által okozott jogsértés tűzfalat nyitott porttal, elavult szoftverekkel vagy véletlen bennfentes fenyegetéssel? Ezután szigetelje el az elvégzett rendszert, és távolítsa el a megsértés okát, hogy megbizonyosodjon arról, hogy rendszere nem kerül veszélybe."

Sfakiyanudis szerint létfontosságú, hogy a vállalatok segítséget kérjenek, amikor a feje fölött vannak. "Ha úgy találja, hogy a belső vizsgálatokat követően ténylegesen megsértették, kérjen harmadik féltől szakértőt, hogy segítsen kezelni és enyhíteni a csapadékot" - mondta. "Ide tartoznak a jogi tanácsadók, a külső nyomozók, akik alapos kriminalisztikai vizsgálatot folytathatnak, valamint a közönségkapcsolatok és a kommunikáció szakértői, akik stratégiát készíthetnek és kommunikálhatnak a médiával az Ön nevében.

"Ezzel az együttes szakértői útmutatással a szervezetek a káosz során nyugodtan maradhatnak, azonosíthatják, hogy mely biztonsági rések okozták az adat megsértését, orvosolhatják úgy, hogy a probléma nem forduljon elő a jövőben, és biztosítsák, hogy az érintett ügyfelekre adott válaszuk megfelelő és időszerű legyen. emellett együtt dolgoznak jogi tanácsadójukkal annak meghatározására, hogy kell-e értesíteni a bűnüldözést."

2. Ne menj el csendben

Miután megtámadtak, megnyugtató azt gondolni, hogy a belső körön kívül senki sem tudja, mi történt. Sajnos a kockázat itt nem éri meg a jutalmat. Érdemes kommunikálni az alkalmazottakkal, az eladókkal és az ügyfelekkel, hogy mindenkinek megismerje, mi volt a hozzáférés, mit tettél a helyzet orvoslása érdekében, és mit tervez tenni annak biztosítása érdekében, hogy a jövőben ne történjen hasonló támadás. "Ne hagyja figyelmen kívül a saját alkalmazottait" - tanácsolta Heidi Shey, a Forrester Research biztonsági és kockázatért felelős vezető elemzője. "Kommunikálni kell az alkalmazottakkal az eseményről, és útmutatást kell adnia az alkalmazottainak arról, hogy mit kell tenniük, vagy mondani, ha megkérdezték a szabálysértést."

Shey, akárcsak a Sfakiyanudis, elmondta, hogy érdemes megfontolni egy PR-csoport felvételét, hogy segítsen ellenőrizni a válasz mögött álló üzenetkezelést. Ez különösen igaz a nagy és drága, a fogyasztókkal szembeni adatsértésekre. "Ideális esetben azt akarja, hogy egy ilyen szolgáltatót előzetesen azonosítsanak az eseményekre való reagálás tervezésének részeként, így készen állhat arra, hogy elindítsa a válaszát" - magyarázta.

Csak azért, mert proaktív módon értesíti a nyilvánosságot arról, hogy megsértették, ez nem azt jelenti, hogy elkezdi vad nyilatkozatok és kihirdetések kiadását. Például, ha a játékkészítő VTech-et megsértették, egy hacker hozzáférést kapott a gyermekek fotóihoz és a csevegési naplókhoz. A helyzet pusztulása után a játékkészítő megváltoztatta Szolgáltatási feltételeit, hogy megszegje felelősségét jogsértés esetén. Mondanom sem kell, hogy az ügyfelek nem voltak boldogok. "Nem akarja úgy kinézni, mintha a jogi eszközök mögé bújna, függetlenül attól, hogy elkerüli a felelősséget vagy ellenőrzi a narratívát" - mondta Shey. "Jobb, ha rendelkezésére áll a szabálysértésre adott válasz és a válságkezelési terv, hogy segítsen a jogsértésekkel kapcsolatos kommunikációban."

3. Ne tegyen hamis vagy félrevezető állításokat

Ez nyilvánvaló, de a lehető legpontosabbnak és őszintenek kell lennie, amikor a nyilvánosság felé fordul. Ez előnyös a márkája számára, de az is hasznos, ha mennyi pénzt fog megtéríteni a kiberbiztosítási kötvényből, ha van ilyen. "Ne tegyen közzé nyilatkozatokat anélkül, hogy figyelembe venné a mondandó és a hangzás következményeit" - mondta Nunnikoven.

"Valóban egy" kifinomult "támadás volt? Ennek önmagában történő megjelölése nem feltétlenül teszi valóra" - folytatta. "Vajon a vezérigazgatónak ezt tényleg" terrorcselekménynek "kell neveznie? Elolvasta-e az internetes biztosítási kötvényed finom nyomtatása, hogy megértse a kizárásokat?"

Nunnikhoven azt ajánlja, hogy olyan üzeneteket dolgozzanak ki, amelyek "nem bika, gyakoriak, és amelyek egyértelműen meghatározzák a végrehajtott és a megteendő intézkedéseket". A helyzet centrifugálása - mondta - inkább még rosszabbá teszi a helyzetet. "Amikor a felhasználók egy harmadik féltől meghallják a jogsértést, az azonnal rontja a nehezen megszerzett bizalmat" - magyarázta. "Gyere ki a helyzet elõtt és maradjon elõre, folyamatos tömör kommunikáció útján minden olyan csatornán, ahol már aktív."

4. Ne felejtse el az Ügyfélszolgálatot

Ha az adatsértés online szolgáltatást, az ügyfelek tapasztalatait vagy vállalkozásának olyan egyéb aspektusát érinti, amely miatt az ügyfelek érdeklődést küldhetnek Önnek, ügyeljen arra, hogy erre külön, fontos kérdésként összpontosítson. Ha figyelmen kívül hagyja az ügyfelek problémáit, vagy akár nyíltan megkísérelheti rossz szerencséjét nyereséggé változtatni, akkor a súlyos adatsértés gyorsan rémálomszerű üzleti és bevételi veszteséggé válhat.

Az Equifax megsértését példaként véve a vállalat eredetileg azt mondta az ügyfeleknek, hogy egy évnyi ingyenes hiteljelentést készíthetnek, hacsak nem kezdenek perben. Még akkor is megpróbálta a jogsértést profitszervé alakítani, amikor külön díjat akart fizetni az ügyfeleknek, ha kérik, hogy jelentéseiket befagyasztják. Ez egy hiba volt, és hosszú távon sértette a vállalat ügyfélkapcsolatát. A társaságnak az kellett volna, hogy először helyezze ügyfeleit, és egyszerűen csak feltétel nélküli jelentést ajánlott fel, talán akár ingyen, ugyanabban az időszakban, hogy hangsúlyozzák elkötelezettségüket az ügyfelek biztonságában.

5. Ne zárja be az eseményeket hamarosan

Zártad a sérült végpontokat. Felvette a kapcsolatot az alkalmazottakkal és az ügyfelekkel. Az összes adatot helyreállította. A felhők elváltak, és az asztalra napsugár hullott. Nem olyan gyorsan. Noha úgy tűnik, hogy a válság véget ért, továbbra is agresszíven és proaktív módon monitoroznia kell hálózatát, hogy ne legyen utólagos támadás.

"Nagyon nagy nyomás nehezedik a szolgáltatások helyreállítására és a jogsértés utáni helyreállításra" - mondta Nunnikhoven. "A támadók gyorsan mozognak a hálózatokon, miután megszerezték a lábaikat, így nehéz konkrét döntést hozni arról, hogy az egész problémával foglalkozott-e. A szorgalmas viselkedés és az agresszívebb monitorozás fontos lépés, amíg nem biztos abban, hogy a szervezet tiszta.”

Sfakiyanudis egyetért ezzel az értékeléssel. "Miután az adatmegsértés megoldódott, és folytatódott a rendszeres üzleti működés, ne vegye fel ugyanazt a technológiát, és elegendőek lesznek az ön megsértésének előtti tervei" - mondta. "A biztonsági stratégiában vannak olyan hiányosságok, amelyeket kihasználtak, és még e hiányosságok kiküszöbölése után sem azt jelenti, hogy a jövőben nem lesz több. Annak érdekében, hogy proaktívabb megközelítést alkalmazzunk az adatvédelem terén, az adatsértésekkel kapcsolatos reagálási terv, mint élő dokumentum. Mivel az egyének megváltoznak a szerepekben és a szervezet fúziók, felvásárlások stb. révén fejlődik, a tervnek is meg kell változnia."

6. Ne felejtse el kivizsgálni

"A jogsértés kivizsgálásakor mindent dokumentálj" - mondta Sfakiyanudis. "Az eseményekkel kapcsolatos információk gyűjtése kritikus fontosságú a jogsértés bekövetkezésének megalapozásakor, a rendszerekre és az adatokra, amelyekre hatást gyakoroltak, és hogyan kezelik a mérséklést vagy a helyreigazítást. Az adatgyűjtés és -elemzés révén naplózza a vizsgálatok eredményeit, így azok rendelkezésre állnak a post mortem felülvizsgálatához.

"Feltétlenül kérdezzen meg minden résztvevőt, és gondosan dokumentálja válaszát" - folytatta. "Részletes jelentések készítése lemezképekkel, valamint annak részletei, hogy ki, mi, hol és mikor történt az esemény, segít új vagy hiányzó kockázatcsökkentő vagy adatvédelmi intézkedések végrehajtásában."

Az ilyen intézkedések nyilvánvalóan a tényt követő lehetséges jogi következményekkel járnak, de ez nem az egyetlen ok a támadás kivizsgálására. Az ügyvédek számára kulcsfontosságú tudás, hogy ki volt felelős és ki volt az érintett, és ezt mindenképpen ki kell vizsgálni. Az IT és a biztonsági személyzet számára azonban kulcsfontosságú információ, hogy a szabálysértés hogyan történt és mi volt a célpont. A kerületnek melyik részét kell javítani, és adatainak melyik része (látszólag) értékes a ne-do-well számára? Feltétlenül vizsgálja meg ennek az eseménynek az összes értékes szöget, és győződjön meg arról, hogy a nyomozók már a kezdetektől is tudják ezt.

Ha a vállalat túl analóg ahhoz, hogy ezt az elemzést önmagában elvégezze, akkor valószínűleg érdemes egy külső csapatot felvenni a vizsgálat elvégzésére az ön számára (amint azt Sfakiyanudis korábban említette). Jegyezze fel a keresési folyamatot is. Vegye figyelembe, hogy milyen szolgáltatásokat kínáltak, mely gyártókkal beszélt, és elégedett volt-e a nyomozással. Ezek az információk segítenek meghatározni, hogy felfüggeszti-e a kapcsolatot a szállítójával, válasszon egy új szállítót, vagy felvegyen-e házon belüli személyzetet, aki képes végrehajtani ezeket a folyamatokat, ha az Ön vállalkozása elégtelenné válik egy második jogsértés elkövetésére.