6 Речі, які не потрібно робити після порушення даних

Підтримка та забезпечення ІТ-безпеки - це те, що ми висвітлювали з декількох ракурсів, особливо як розвиваються та розвиваються тенденції безпеки, і це, безумовно, інформація, яку ви повинні ретельно перетравити. Крім того, ви повинні переконатися, що ваш бізнес добре обладнаний для захисту та захисту від кібератаки, особливо через захист кінцевих точок ІТ-класу та детальне управління ідентичністю та заходи контролю доступу. Надійний і перевірений процес резервного копіювання даних теж є обов'язковим. На жаль, книга з порушеннями даних постійно змінюється, це означає, що деякі ваші дії під час катастрофи можуть бути такими ж шкідливими, наскільки вони корисні. Ось тут і входить цей твір.

, ми обговорюємо, що компаніям слід уникати робити, коли вони зрозуміють, що їхні системи були порушені. Ми поговорили з декількома експертами з охоронних компаній та фірм, що займаються аналізом галузей, щоб краще зрозуміти потенційні підводні камені та сценарії катастроф, які розвиваються внаслідок кібератак.

1. Не імпровізуйте

У разі нападу ваш перший інстинкт підкаже вам почати процес виправлення ситуації. Це може включати захист кінцевих точок, на які було націлено або повернення до попередніх резервних копій, щоб закрити точку входу, яку використовували ваші зловмисники. На жаль, якщо ви раніше не розробляли стратегію, то будь-які поспішні рішення, які ви приймаєте після нападу, можуть погіршити ситуацію.

"Перше, що ви не повинні робити після порушення, - це створити свою відповідь на ходу", - сказав Марк Нунніховен, віце-президент компанії Cloud Research, постачальник рішень з кібербезпеки Trend Micro. "Найважливішою частиною вашого плану реагування на інциденти є підготовка. Ключові контакти повинні бути відображені заздалегідь та збережені в цифровому форматі. Вони також повинні бути доступними в паперовій формі на випадок катастрофічного порушення. Коли ви реагуєте на порушення, останнє, що ви потрібно робити, це намагатися з'ясувати, хто несе відповідальність за які дії та хто може санкціонувати різні відповіді ".

Ерміс Сфакіянудіс, президент і генеральний директор компанії із захисту даних Trivalent, погоджується з таким підходом. Він сказав, що критично важливим є те, що компанії "не збиваються" після того, як вони потрапили в порушення. "Хоча непідготовленість до порушення даних може завдати непоправної шкоди компанії, паніка та дезорганізація також можуть бути надзвичайно згубними", - пояснив він. "Вкрай важливо, щоб компанія, яка перервалась, не відхилялася від свого плану реагування на інцидент, який повинен включати в себе ідентифікацію підозрюваної причини інциденту як перший крок. Наприклад, порушення було спричинене успішною атакою зловмисного програмного забезпечення, зловмисного програмного забезпечення в системі, брандмауер із відкритим портом, застарілим програмним забезпеченням або ненавмисною інсайдерською загрозою? Далі, ізолюйте порушену систему та викорініть причину порушення, щоб уникнути небезпеки вашої системи ".

Сфакіянудіс сказав, що дуже важливо, щоб компанії зверталися за допомогою, коли їм все більше в голові. "Якщо ви визначите, що порушення дійсно сталося після вашого внутрішнього розслідування, залучіть сторонні експертизи, щоб допомогти вирішити та зменшити випадання", - сказав він. "Це стосується юрисконсульту, сторонніх слідчих, які можуть проводити ретельне криміналістичне розслідування, та експертів із зв’язків із громадськістю та комунікації, які можуть створити стратегію та спілкуватися зі ЗМІ від вашого імені.

"Завдяки цьому комбінованому експертному керівництву організації можуть залишатися спокійними через хаос, визначаючи, які вразливості спричинили порушення даних, виправляючи, щоб ця проблема не повторилася в майбутньому, і забезпечивши відповідь та відповідь на постраждалих клієнтів належним та своєчасним. Вони можуть також співпрацюють зі своїм юрисконсультам, щоб визначити, чи слід і коли слід повідомляти правоохоронних органів ".

2. Не мовчи

Після нападу на вас затишно думати, що ніхто з вашого внутрішнього кола не знає, що щойно сталося. На жаль, ризик тут не вартий винагороди. Ви хочете спілкуватися зі співробітниками, постачальниками та замовниками, щоб усі могли знати, до чого зверталися, що ви зробили, щоб виправити ситуацію та які плани плануєте вжити, щоб у майбутньому не відбулося подібних атак. "Не ігноруйте своїх власних співробітників", - радила Хайді Шей, старший аналітик з безпеки та ризику в компанії Forrester Research. "Вам потрібно спілкуватися зі своїми працівниками щодо події та надавати керівництву керівництво щодо того, що робити чи сказати, якщо вони запитували про порушення".

Шей, як і Сфакіянудіс, сказав, що ви, можливо, захочете взяти на роботу команду зі зв’язків з громадськістю, щоб допомогти контролювати повідомлення, що стоять за вашою відповіддю. Особливо це стосується великих та дорогих порушень даних щодо споживачів. "В ідеалі ви хочете, щоб такого постачальника було заздалегідь визначено як частину вашого планування реагування на інцидент, щоб ви могли бути готовими розпочати свою відповідь", - пояснила вона.

Тільки тому, що ви проявляєте активність щодо сповіщення громадськості про порушення, це не означає, що ви можете почати видавати дикі заяви і проголошення. Наприклад, коли виробник іграшок VTech був порушений, хакерами були доступні фотографії дітей та журнали чату. Після того як ситуація вимерла, виробник іграшок змінив свої Умови надання послуг, щоб відмовитись від відповідальності у разі порушення. Потрібно сказати, що клієнти не були задоволені. "Ви не хочете виглядати так, як ви вдаєтеся ховатися за законними засобами, будь то в тому, щоб уникнути відповідальності чи контролювати розповідь", - сказав Шей. "Краще створити план реагування на порушення та управління кризовими ситуаціями, щоб допомогти комунікаціям, пов'язаним з порушеннями".

3. Не робіть помилкових чи оманливих заяв

Це очевидно, але ви хочете бути максимально точними та чесними, звертаючись до громадськості. Це вигідно для вашого бренду, але також вигідно від того, скільки грошей ви будете відшкодувати за свій поліс кіберстрахування, якщо у вас його буде. "Не публікуйте публічні заяви, не враховуючи наслідків того, що ви говорите, і як ви звучаєте", - сказав Нунніковен.

"Це була справді" витончена "атака? Позначення цього як такого не обов'язково робить його справжнім", - продовжив він. "Чи справді ваш генеральний директор повинен називати це" терористичним актом "? Ви читали тонкий шрифт свого полісу на кіберстрахування, щоб зрозуміти виключення?"

Нунніховен рекомендує складати повідомлення, які є "непридатними, часті, і в яких чітко прописані дії, які вживаються, і ті, які потрібно вжити". Намагаючись розкрутити ситуацію, за його словами, це має тенденцію до погіршення. "Коли користувачі чують про порушення від третьої сторони, це негайно розмиває важко завоюване довіру", - пояснив він. "Вийдіть перед ситуацією і будьте попереду, стабільним потоком стислих комунікацій у всіх каналах, де ви вже активні".

4. Пам’ятайте про обслуговування клієнтів

Якщо порушення Ваших даних впливає на Інтернет-сервіс, досвід Ваших клієнтів чи інший аспект Вашого бізнесу, у якого клієнти можуть надсилати Вам запити, переконайтеся, що зосередьтеся на цьому як на окремому та важливому питанні. Ігнорування проблем ваших клієнтів або навіть відверта спроба перетворити їх невдачу у вашу вигоду може швидко перетворити серйозне порушення даних у кошмарну втрату бізнесу та доходів.

Взявши за приклад порушення Equifax, компанія спочатку сказала клієнтам, що вони можуть мати рік безкоштовної кредитної звітності, якщо тільки вони не подадуть до суду. Він навіть намагався перетворити порушення в центр прибутку, коли хотів додатково стягувати з клієнтів, якщо вони попросили замовити їхні звіти. Це була помилка, і це завдало шкоди відносинам із клієнтами компанії на довгостроковій основі. Що компанія повинна була зробити, це поставити своїх клієнтів на перше місце і просто запропонувати всім їм беззастережну звітність, можливо навіть безкоштовно, за той самий період часу, щоб підкреслити свою прихильність до збереження клієнтів.

5. Не закривайте інциденти занадто скоро

Ви закрили свої зіпсовані кінцеві точки. Ви зв’язалися зі своїми працівниками та клієнтами. Ви відновили всі свої дані. Хмари розлучилися і сонячний промінь каскадував на ваш стіл. Не так швидко. Хоча це може здатися, ніби ваш криза закінчився, вам захочеться продовжувати агресивно та активно проводити моніторинг вашої мережі, щоб уникнути наступних атак.

"Існує величезна кількість тиску для відновлення послуг та відновлення після порушення", - сказав Нунніховен. "Зловмисники швидко рухаються по мережах, як тільки вони закріпляться, тому важко зробити конкретне визначення того, що ви вирішили цілу проблему. Будьте уважні та важливіші кроки - бути ретельним та моніторингом, поки ви не переконаєтесь, що організація чиста. . "

Сфакіянуді погоджується з цією оцінкою. "Після того, як порушення даних буде вирішено і відновлення регулярних бізнес-операцій, не вважайте, що тих же технологій і планів, які ви мали на місці попереднього порушення, буде достатньо", - сказав він. "У вашій стратегії безпеки були використані прогалини, і навіть після усунення цих прогалин це не означає, що в майбутньому їх більше не буде. Для того, щоб скористатися більш активним підходом до захисту даних, рухайтесь вперед ваш план реагування на порушення даних як живий документ. Коли люди змінюють ролі, а організація розвивається за допомогою злиття, поглинання тощо, план також повинен змінитися ".

6. Не забувайте досліджувати

"Розслідуючи порушення, документуйте все", - сказав Сфакіянудіс. "Збір інформації про інцидент має вирішальне значення для перевірки того, що сталося порушення, які системи та дані були порушені, і як було усунено пом'якшення чи усунення. Реєструйте результати розслідувань за допомогою збору та аналізу даних, щоб вони були доступні для розгляду після смерті.

"Не забудьте також взяти інтерв'ю з усіма учасниками та ретельно задокументувати їх відповіді", - продовжив він. "Створення детальних звітів із зображеннями дисків, а також деталі щодо того, хто, що, де та коли стався інцидент допоможе вам здійснити будь-які нові або відсутні заходи щодо зменшення ризику чи захисту даних."

Такі заходи очевидно є можливими юридичними наслідками після факту, але це не єдина причина для розслідування нападу. Виявлення того, хто несе відповідальність та хто постраждав - це ключове знання для юристів, і його, безумовно, слід досліджувати. Але як відбулося порушення та на що було націлено, це ключова інформація для ІТ та ваших співробітників служби безпеки. Яка частина периметра потребує вдосконалення та які частини ваших даних (мабуть) цінні для інших колодязів? Переконайтесь, що ви досліджуєте всі цінні аспекти цього випадку та переконайтеся, що ваші слідчі знають це з самого початку.

Якщо ваша компанія занадто аналогічна для проведення цього аналізу самостійно, ви, ймовірно, захочете найняти зовнішню команду для проведення цього розслідування для вас (як раніше згадував Сфакіянудіс). Візьміть також примітки до процесу пошуку. Зверніть увагу, які послуги вам пропонували, з якими постачальниками ви спілкувалися та чи задоволені ви процесом розслідування чи ні. Ця інформація допоможе вам визначити, чи слід дотримуватися свого постачальника, вибрати нового постачальника чи найняти внутрішнього персоналу, який здатний вести ці процеси, якщо ваша компанія не пощастить, щоб зазнати другого порушення.