A szabálysértési válasz tervezése

Az adatsértés kritikus időre, néha örökre leállíthatja vállalkozását; ez minden bizonnyal veszélybe teheti pénzügyi jövőjét, és bizonyos esetekben börtönbe engedheti magát is. De ennek egyikének sem kell megtörténnie, mert ha helyesen tervezi, akkor Ön és vállalkozása helyreállhat és folytathatja üzleti tevékenységét, néha perceken belül. Végül mindez a tervezésen múlik.

A múlt héten megvitattuk, hogyan lehet felkészülni az adatok megsértésére. Feltételezve, hogy ezt megtette, mielőtt a megsértés bekövetkezett, a következő lépések ésszerűen egyszerűek. De az egyik felkészültségi lépés egy terv elkészítése volt, majd tesztelése. És igen, ez jelentős munkát igényel.

A különbség az, hogy a jogsértés előtt elvégzett előzetes tervezés célja a kár minimalizálása. A jogsértés után a tervnek a helyreállítási folyamatra és a következményekkel kapcsolatos kérdésekre kell összpontosítania, feltételezve, hogy vannak ilyenek. Ne felejtse el általános célkitűzését, akárcsak a jogsértés előtt volt, az, hogy minimalizálják a jogsértésnek a társaságra, az alkalmazottakra és az ügyfelekre gyakorolt ​​hatását.

Helyreállítási tervezés

A helyreállítási tervezés két széles kategóriából áll. Az első a jogsértés által okozott károk rögzítése és a fenyegetés tényleges kiküszöbölésének biztosítása. A második az adatok megsértésével járó pénzügyi és jogi kockázatok gondozása. Ami a szervezet jövőbeni egészségét illeti, mindkettő ugyanolyan fontos.

"A visszatartás kulcsfontosságú a helyreállítás szempontjából" - mondta Sean Blenkhorn, a megoldások tervezésével és a tanácsadással foglalkozó szolgáltatásokért felelős alelnök az eSentire menedzselt védelme és válaszadója számára. "Minél gyorsabban fedezhetjük fel a fenyegetést, annál jobban tudjuk kezelni azt."

Blenkhorn elmondta, hogy a fenyegetés visszaszorítása attól függ, hogy milyen fenyegetéssel jár. Például ransomware esetén ez azt jelentheti, hogy a kezelt végpont-védelmi platformot használja a rosszindulatú programok elkülönítéséhez a másodlagos fertőzésekkel együtt, hogy azok ne terjedjenek, majd eltávolításra kerüljön. Ez azt is jelentheti, hogy új stratégiákat hajtanak végre, így a jövőbeni megsértések blokkolódnak, például a barangolás és a távmunkálás felhasználóinak személyes virtuális magánhálózat (VPN) fiókkal való felszerelése.

Más típusú fenyegetések azonban eltérő taktikát igényelhetnek. Például egy olyan támadást, amely pénzügyi információkat, szellemi tulajdont (IP) vagy egyéb adatokat keres a vállalata számára, nem kezelik ugyanúgy, mint a ransomware támadást. Ezekben az esetekben előfordulhat, hogy meg kell találnia és meg kell szüntetnie a belépési utat, és meg kell találnia a módját a parancs és a vezérlő üzenetek leállítására. Ehhez viszont figyelemmel kell kísérnie és kezelnie kell az üzenetek hálózati forgalmát, hogy láthassa, honnan származnak és hol küldik az adatokat.

"A támadóknak először vannak előnyeik" - mondta Blenkhorn. "Anomáliákat kell keresnie."

Ezek a rendellenességek az erőforráshoz vezetnek, általában egy szerverhez, amely hozzáférést biztosít vagy kiszűrést eredményez. Miután ezt megtudta, eltávolíthatja a rosszindulatú programokat és visszaállíthatja a szervert. A Blenkhorn azonban figyelmezteti, hogy szükség lehet a szerver átképzésére, hogy megbizonyosodjon arról, hogy minden rosszindulatú program valóban eltűnt.

A jogsértés helyreállítási lépései

Blenkhorn elmondta, hogy három további dologra kell emlékezni, amikor a jogsértés helyreállítását tervezi:

1. A jogsértés elkerülhetetlen,
2. Önmagában a technológia nem fogja megoldani a problémát, és
3. Azt kell feltételezni, hogy ez egy olyan fenyegetés, amelyet még soha nem látott.

De miután kiküszöbölte a veszélyt, a helyreállításnak csak a felét hajtotta végre. A másik fél maga a vállalkozás védelme. Ari Vared, a CyberPolicy kiberbiztosítási szolgáltató termékvezetője szerint ez azt jelenti, hogy előzetesen felkészíti a helyreállítási partnereit.

"Itt egy kibernetikus helyreállítási terv létezik, amely megmentheti az üzletet" - mondta Vared a PCMag-nak egy e-mailben. "Ez azt jelenti, hogy ügyeljünk arra, hogy a jogi csapat, az információs kriminalisztikai csapat, a PR-csapat és a kulcsfontosságú alkalmazottak előre tudják, mit kell tenni, ha bármilyen szabálysértés történik."

Az első lépés azt jelenti, hogy előzetesen azonosítják a helyreállítási partnereket, tájékoztatják őket a tervről, és megtesznek minden szükséges intézkedést a szolgáltatásaik megtartása érdekében jogsértés esetén. Nagyon adminisztratív terheknek hangzik, de Vared négy fontos okot sorolt ​​fel, amelyek megkérdőjelezik a folyamatot:

1. Ha szükség van titoktartási és titoktartási megállapodásokra, akkor azokban előre meg lehet állapodni, a díjakkal és egyéb feltételekkel együtt, hogy ne veszítsen időt azért, mert egy cyberatka megpróbál tárgyalni egy új eladóval.
2. Ha van számítógépes biztosítása, akkor az ügynökségnek már vannak meghatározott partnerei. Ebben az esetben érdemes ezeket az erőforrásokat felhasználni annak biztosítására, hogy a költségeket a házirendnek megfelelően fedezzék.
3. Lehet, hogy számítógépes biztosítási szolgáltatója iránymutatásokkal rendelkezik az egyes összegek vonatkozásában hajlandó fedezésére, és a kis- és középvállalkozások (SMB) tulajdonosai meg akarják győződni arról, hogy szállítói díjaik ezen iránymutatások alá esnek.
4. Egyes számítógépes biztosítótársaságoknak házon belül lesznek a szükséges helyreállítási partnerek, és ez kulcsfontosságú megoldás lesz az üzleti tulajdonos számára, mivel a kapcsolatok már létre vannak állítva, és a szolgáltatásokra automatikusan a házirend vonatkozik.

Jogi és kriminalisztikai kérdések kezelése

Vared elmondta, hogy a törvényes csapata és a kriminalisztikai csapata kiemelten fontos a támadás után. A törvényszéki csapat megteszi az első lépéseket a helyreállításban, amint azt Blenkhorn vázolja. Ahogy a neve is sugallja, ez a csapat ott van, hogy megtudja, mi történt, és ami még fontosabb, hogyan. Ez nem a hibát jelenti; a sérülékenység azonosítása, amely lehetővé tette a jogsértést, hogy csatlakoztathassa. Fontos különbséget kell tenni az alkalmazottakkal a törvényszéki csapat megérkezése előtt, hogy elkerüljék az indokolatlan gondozást vagy aggodalmat.

Vared megjegyezte, hogy a jogsértésre reagáló jogi csapat valószínűleg nem ugyanaz az ember, aki az üzleti vállalkozásának hagyományos jogi feladatait kezeli. Inkább egy speciális csoport lesz, aki tapasztalattal rendelkezik a kibertámadások következményeinek kezelésében. Ez a csapat megvédheti Önt a jogsértésből eredő perekkel, a szabályozókkal való foglalkozással vagy akár a számítógépes tolvajokkal és azok váltságdíjaival folytatott tárgyalások kezelésével.

Időközben a PR-csapat együttműködik a jogi csapatával az értesítési követelmények kezelésében, az ügyfelekkel való kommunikációban, hogy megmagyarázza a jogsértést és az Ön válaszát, és esetleg akár ugyanazokat a részleteket magyarázza a média számára.

Végül, miután megtette a visszaélés elkerüléséhez szükséges lépéseket, össze kell gyűjtenie ezeket a csapatokat a C szintű vezetőkkel, és meg kell tartania egy utólagos találkozót és jelentést. A cselekvés utáni jelentés kritikus jelentőségű a szervezet felkészítéséhez a következő jogsértéshez, meghatározva, hogy mi ment jól, mi ment rosszul, és mit lehet tenni a következő válasz javítása érdekében.

A terv tesztelése

• 6 dolog, amit nem szabad megtenni az adat megsértése után 6 dolog, amit nem szabad megtenni az adat megsértése után
• Adatok megsértése sérülékeny 4, 5 milliárd nyilvántartást tartalmaz 2018 első felében
• A Cathay Pacific nyilvánosságra hozza a 9.4 millió utast érintő adatszolgáltatási jogsértést

Mindez azt feltételezi, hogy a tervet jól megtervezték és megfelelő módon végrehajtották egy rossz dolog esetén. Sajnos ez soha nem biztonságos feltételezés. Az egyetlen módja annak, hogy ésszerűen megbizonyosodjon arról, hogy a terv bármilyen siker esélyt rejt magában - az, ha elkészíti. Azok a szakemberek, akiket felvesznek a kibertámadásokkal, mint üzleti tevékenységük rendszeres eseményei, nem fognak nagy ellenállást mutatni a terv gyakorlásának - ezek hozzászoktak és valószínűleg elvárják azt. De mivel ők kívülállók, akkor ellenőriznie kell, hogy be vannak-e tervezve a gyakorlatra, és valószínűleg fizetnie kell nekik az idejüket. Ez azt jelenti, hogy ezt fontos figyelembe venni a költségvetésbe, nem csak egyszer, hanem rendszeresen.

Az, hogy ez rendszeres, mennyire rendszeres, attól függ, hogy a házon belüli alkalmazottak hogyan reagálnak az első tesztre. Az első teszt szinte minden bizonnyal sikertelen lesz bizonyos, vagy esetleg minden szempontból. Ez várható, mivel ez a válasz sokkal bonyolultabb és megterhelőbb lesz, mint egy egyszerű tűzoltó gyakorlat. Annyit kell tennie, hogy megméri a hiba súlyosságát, és azt alapként használja annak eldöntésére, hogy milyen gyakran és milyen mértékben kell gyakorolnia a válaszát. Ne felejtse el, hogy egy tűzoltó készülék olyan katasztrófa esetén van, amelyet a legtöbb vállalkozás soha nem fog megtapasztalni. A cyberack-gyakorlatod olyan katasztrófa esetén van, amely bizonyos szakaszokban gyakorlatilag elkerülhetetlen.