Планування відповіді на порушення

Порушення даних може вимкнути вашу компанію на критичний проміжок часу, іноді назавжди; це, безумовно, може поставити під загрозу ваше фінансове майбутнє, а в деяких випадках навіть може посадити вас у в'язницю. Але нічого з цього не повинно статися, тому що якщо ви правильно плануєте, ви та ваша компанія зможете відновитись та продовжити свою діяльність, іноді за лічені хвилини. Зрештою, все зводиться до планування.

Минулого тижня ми обговорювали, як підготуватися до порушення даних. Якщо припустити, що ви зробили це до того, як сталося ваше порушення, ваші наступні кроки досить зрозумілі. Але одним із таких етапів готовності було створення плану, а потім його тестування. І так, це займе значну кількість роботи.

Різниця полягає в тому, що попереднє планування, здійснене до будь-якого порушення, має на меті мінімізувати шкоду. Після порушення плану необхідно зосередитись на процесі відновлення та вирішенні проблем, пов'язаних із наслідками, припускаючи, що такі є. Пам’ятайте про свою загальну мету, як і до порушення, - звести до мінімуму вплив, який порушення має на вашу компанію, ваших працівників та ваших клієнтів.

Планування відновлення

Планування відновлення складається з двох широких категорій. Перший - це виправлення шкоди, заподіяної порушенням, і переконання, що загроза фактично усунена. Друга - це піклуватися про фінансові та юридичні ризики, які супроводжують порушення даних. Що стосується майбутнього здоров’я вашої організації, то вони є однаково важливими.

"Затримання є ключовим у відношенні відновлення", - сказав Шон Бленхорн, віце-президент компанії Solutions Engineering та консультативні служби для управління провайдером захисту та реагування eSentire. "Чим швидше ми зможемо виявити загрозу, тим краще її зможемо стримати".

Бленхорн зазначив, що вміст загрози може відрізнятися залежно від того, яка загроза йде. Наприклад, у випадку з програмним забезпеченням, що вимагається, це може означати використання вашої керованої платформи захисту кінцевих точок, щоб допомогти виділити шкідливе програмне забезпечення разом із будь-якими вторинними інфекціями, щоб воно не могло поширюватися, а потім видалити його. Це також може означати реалізацію нових стратегій, щоб майбутні порушення були заблоковані, як-от оснащення роумінгу та телекомунікації користувачів персональними обліковими записами віртуальної приватної мережі (VPN).

Однак інші види загроз можуть вимагати різної тактики. Наприклад, атака, яка шукає фінансову інформацію, інтелектуальну власність (IP) або інші дані вашого підприємства, не буде оброблятися так само, як атака з викуповим програмним забезпеченням. У цих випадках вам може знадобитися знайти та усунути шлях введення, і вам потрібно буде знайти спосіб зупинити повідомлення команд та керування. Це, у свою чергу, вимагатиме відстеження та керування мережевим трафіком для цих повідомлень, щоб ви могли бачити, де вони походять та куди надсилають дані.

"Зловмисники мають перші переваги", - сказав Бленхорн. "Ви повинні шукати аномалії".

Ці аномалії доставлять вас до ресурсу, як правило, до сервера, який надає доступ або забезпечує ексфільтрацію. Виявивши це, ви можете видалити зловмисне програмне забезпечення та відновити сервер. Однак Blenkhorn попереджає, що вам може знадобитися переобразувати сервер, щоб переконатися, що будь-яка шкідливе програмне забезпечення справді відсутнє.

Порушення кроків відновлення

Бленхорн зазначив, що слід пам'ятати три додаткові речі, плануючи відновлення порушення:

1. Порушення неминуче,
2. Технологія сама по собі не вирішить проблему, і
3. Ви повинні припустити, що це загроза, якої ви ніколи не бачили.

Але як тільки ви усунули загрозу, ви виконали лише половину відновлення. Інша половина захищає сам бізнес. За словами Арі Вареда, старшого директора з продукту провайдера кіберстрахування CyberPolicy, це означає заздалегідь підготувати партнерів з відновлення.

"Саме тут створення плану кібер-відновлення може врятувати бізнес", - сказав Варед PCMag в електронному листі. "Це означає переконатися, що ваша юридична команда, команда з криміналістики даних, ваша команда PR та ваші ключові співробітники заздалегідь знають, що потрібно робити, коли є порушення".

Перший крок там означає визначити своїх партнерів з відновлення заздалегідь, повідомити їх про свій план та вжити будь-яких заходів, необхідних для збереження їх послуг у разі порушення. Це здається великим адміністративним тягарем, але Vared перерахував чотири важливі причини, які роблять процес вартим зусиль:

1. Якщо є необхідність угод про нерозголошення та конфіденційність, то їх можна домовитись заздалегідь, разом із комісіями та іншими умовами, щоб ви не втрачали часу після кібератаки, намагаючись домовитися з новим постачальником.
2. Якщо у вас є кіберстрахування, то у вашого агентства можуть бути вже визначені конкретні партнери. У такому випадку ви хочете використовувати ці ресурси для забезпечення покриття витрат відповідно до політики.
3. У вашого постачальника кіберстрахування можуть бути вказівки щодо суми, яку він готовий покрити за певні аспекти, і власник малого середнього бізнесу (SMB) захоче переконатися, що їхні плати за постачальники підпадають під ці керівні принципи.
4. Деякі компанії з кіберстрахування матимуть необхідних партнерів по відновленню, що робить це рішенням під ключ для власника бізнесу, оскільки відносини вже налагоджені, а послуги автоматично охоплюються полісом.

Розгляд юридичних та криміналістичних питань

Варед сказав, що ваша юридична команда та команда криміналістики є першочерговим завданням після нападу. Команда з судових експертиз зробить перші кроки щодо відновлення, як окреслив Бленхорн. Як випливає з назви, ця команда є для того, щоб з’ясувати, що сталося, і, що ще важливіше, як. Це не покладати провини; це визначити вразливість, яка дозволила порушення, щоб ви могли підключити її. Це важлива відмінність, яку слід зробити з працівниками до прибуття бригади з судових експертиз, щоб уникнути зайвих неприємностей або турбот.

Варед зазначив, що юридична команда, яка реагує на порушення, ймовірно, не буде тим самим, хто вирішує традиційні юридичні завдання для вашого бізнесу. Швидше, вони будуть спеціалізованою групою, що має досвід боротьби з наслідками кібератак. Ця команда може захистити вас від судових позовів, пов’язаних із порушенням, стосунків з регуляторами або навіть ведення переговорів з кібер-злодіями та їх викупами.

Тим часом ваша PR-команда буде працювати з вашою юридичною командою для вирішення вимог щодо сповіщення, спілкуватись із клієнтами, щоб пояснити порушення та вашу відповідь та, можливо, навіть пояснити ті самі деталі в ЗМІ.

Нарешті, після того, як ви вжили заходів, необхідних для відновлення після порушення, вам потрібно буде зібрати ці команди разом із керівниками рівня С та провести зустріч та доповісти після дій. Звіт про наступні дії має вирішальне значення для підготовки вашої організації до наступного порушення шляхом визначення того, що пішло правильно, що пішло не так і що можна зробити, щоб покращити вашу реакцію наступного разу.

Тестування свого плану

• 6 Речей, які не потрібно робити після порушення даних 6 Речей, які не робити після порушення даних
• Порушення даних склали 4, 5 мільярди рекордів у першій половині 2018 року Порушення даних склали 4, 5 мільярда записів у першій половині 2018 року
• Cathay Pacific розкриває порушення інформації про 9.4M пасажирів Cathay Pacific розкриває порушення інформації, що впливає на пасажирів 9.4M

Все це передбачає, що ваш план був добре продуманий і виконаний грамотно у випадку поганої речі. На жаль, це ніколи не є безпечним припущенням. Єдиний спосіб бути впевненим у тому, що ваш план має будь-які шанси на успіх, - це практикувати його після його підготовки. Спеціалісти, з якими ви займаєтесь, що займаються кібератаками, як регулярні події у їхньому бізнесі, не нададуть вам великого опору для здійснення вашого плану - вони звикли до цього і, швидше за все, очікують цього. Але оскільки вони є сторонніми людьми, вам доведеться переконатися, що вони заплановані на практику, і вам, ймовірно, доведеться заплатити за їх час. Це означає, що важливо враховувати це у своєму бюджеті, причому не один раз, а регулярно.

Від того, наскільки регулярна ця основа, залежить від того, як ваші внутрішні працівники відгукнуться на ваш перший тест. Ваш перший тест майже напевно не вдасться в деяких чи, можливо, в усіх аспектах. Цього можна очікувати, оскільки ця реакція буде набагато складнішою та обтяжливішою для багатьох, ніж звичайна пожежна робота. Що потрібно зробити, це виміряти ступінь тяжкості цього невдачі та використовувати його як базову лінію для вирішення того, як часто та в якій мірі потрібно практикувати свою реакцію. Пам’ятайте, що протипожежна робота є для катастрофи, якої більшість підприємств ніколи не зазнає. Ваша дрилі-кібератаки - це катастрофа, яка практично неминуча на певному етапі.