6 Неща, които не трябва да се правят след нарушаване на данните

Поддържането и прилагането на ИТ сигурността е нещо, което сме обхванали от няколко ъгъла, особено как да се развиват и развиващите се тенденции в сигурността и това със сигурност е информация, която трябва старателно да усвоите. Освен това трябва да се уверите, че вашият бизнес е добре оборудван, за да се защити и защити от кибератака, особено чрез защитата на крайните точки от ИТ степен и мерките за подробно управление на идентичността и мерки за контрол на достъпа. Твърдият и изпитан процес на архивиране на данни също е задължителен. За съжаление, тетрадката за нарушаване на данните продължава да се променя, което означава, че някои от вашите действия по време на бедствие могат да бъдат толкова вредни, колкото и полезни. Ето откъде идва това парче.

, обсъждаме какво трябва да избягват компаниите, след като осъзнаят, че системите им са нарушени. Разговаряхме с няколко експерти от охранителни компании и фирми за анализ на индустрията, за да разберем по-добре потенциалните клопки и сценарии на бедствия, които се развиват вследствие на кибератаки.

1. Не импровизирайте

В случай на атака, първият ви инстинкт ще ви каже да започнете процеса на коригиране на ситуацията. Това може да включва защита на крайните точки, които са били насочени или връщане към предишни архиви, за да затворят входната точка, използвана от вашите атакуващи. За съжаление, ако преди не сте разработвали стратегия, каквито и прибързани решения, които вземате след атака, могат да влошат ситуацията.

„Първото нещо, което не трябва да правите след нарушение, е да създадете своя отговор в движение“, каза Марк Нунховен, вицепрезидент на Cloud Research в доставчика на решения за киберсигурност Trend Micro. „Критична част от плана за реакция на инциденти е подготовката. Ключовите контакти трябва да се картографират предварително и да се съхраняват в цифров вид. Те също трябва да бъдат достъпни на хартиен носител в случай на катастрофално нарушение. Когато отговорите на нарушение, последното нещо трябва да се прави се опитва да разбере кой е отговорен за какви действия и кой може да разреши различни отговори."

Ермис Сфакиянудис, президент и изпълнителен директор на компанията за защита на данните Trivalent, е съгласен с този подход. Той каза, че е критично, че компаниите "не изпадат", след като са били засегнати от нарушение. „Докато неподготвеността пред нарушаването на данните може да причини непоправими щети на една компания, паниката и неорганизацията също могат да бъдат изключително пагубни“, обясни той. „От решаващо значение е една нарушена компания да не се отклони от плана си за реагиране на инциденти, който трябва да включва идентифицирането на предполагаемата причина за инцидента като първа стъпка. Например, нарушението беше причинено от успешна атака за извличане на софтуер, злонамерен софтуер в системата, защитна стена с отворен порт, остарял софтуер или неволна вътрешна заплаха? По-нататък, изолирайте засегнатата система и премахнете причината за нарушението, за да гарантирате, че системата ви е извън опасност."

Sfakiyanudis каза, че е жизненоважно компаниите да поискат помощ, когато са над главата си. "Ако определите, че нарушение наистина е станало след вътрешното ви разследване, въведете експертиза на трети страни, за да помогнете за справяне и смекчаване на отпадането", каза той. „Това включва юрисконсулт, външни следователи, които могат да проведат задълбочено съдебно-медицинско разследване, и експерти по връзки с обществеността и комуникация, които могат да създадат стратегия и да комуникират с медиите от ваше име.

„С това комбинирано експертно ръководство организациите могат да останат спокойни през хаоса, идентифицирайки какви уязвимости са причинили нарушаването на данните, отстранявайки се така, че проблемът да не се повтори в бъдеще и да се гарантира, че реакцията им на засегнатите клиенти е подходяща и навременна. Те могат също така работят със своя юрисконсулт, за да определят дали и кога правоприлагането трябва да бъде уведомено."

2. Не мълчи

След като сте били нападнати, е успокояващо да мислите, че никой извън вашия вътрешен кръг не знае какво точно се е случило. За съжаление, рискът тук не си заслужава наградата. Ще искате да общувате със служители, доставчици и клиенти, за да уведомите всички какво е имало достъп, какво сте направили за коригиране на ситуацията и какви планове възнамерявате да предприемете, за да не се случват подобни атаки в бъдеще. „Не пренебрегвайте собствените си служители“, посъветва Хайди Шей, старши анализатор на сигурността и риска в Forrester Research. „Трябва да общувате със служителите си относно събитието и да предоставите насоки на служителите си какво да правят или да кажат, ако те попитат за нарушението.“

Шей, подобно на Сфакиянудис, каза, че може да искате да се наемете да наемете екип за връзки с обществеността, който да ви помогне да контролирате съобщенията зад вашия отговор. Това е особено вярно за големи и скъпи нарушения на данните, насочени към потребителите. „В идеалния случай бихте искали такъв доставчик да бъде идентифициран предварително като част от вашето планиране за реагиране на инциденти, така че да сте готови да стартирате отговора си“, обясни тя.

Само защото проявявате инициатива за уведомяване на обществеността, че сте нарушени, това не означава, че можете да започнете да издавате диви изявления и прокламации. Например, когато производителят на играчки VTech е бил нарушен, хакери са получавали снимки на деца и чат дневници. След като ситуацията затихна, производителят на играчки промени своите Общи условия, за да се откаже от своята отговорност в случай на нарушение. Излишно е да казвам, че клиентите не бяха доволни. "Не искате да изглеждате така, сякаш прибягвате да се криете зад законни средства, независимо дали това е в избягване на отговорност или контрол на разказа", каза Шей. „По-добре да има план за реагиране на нарушения и управление на кризи, за да помогнете за комуникациите, свързани с нарушенията.“

3. Не правете неверни или заблуждаващи изявления

Това е очевидно, но ще искате да бъдете максимално точни и честни, когато се обръщате към обществеността. Това е от полза за вашата марка, но е полезно и за това колко пари ще възстановите от своята полица за киберзастраховане, ако имате такава. „Не издавайте публични изявления, без да се съобразявате с последиците от това, което казвате и как звучите“, каза Нуниковен.

"Наистина ли беше" сложна "атака? Етикетирането му като такова не е задължително да се сбъдне", продължи той. "Наистина ли вашият изпълнителен директор трябва да нарече това" терористичен акт "? Прочетохте ли отпечатъка на вашата полица за киберзастраховане, за да разберете изключенията?"

Nunnikhoven препоръчва да се изработят съобщения, които са „небивалици, чести и които ясно посочват действията, които се предприемат и тези, които трябва да бъдат предприети“. Опитът да върти ситуацията, каза той, има тенденция да влоши нещата. "Когато потребителите чуят за нарушение от трета страна, това незабавно разрушава трудно спечеленото доверие", обясни той. „Излезте пред ситуацията и останете отпред, с постоянен поток от сбита комуникация във всички канали, където вече сте активни.“

4. Помнете Обслужване на клиенти

Ако нарушаването на вашите данни засяга онлайн услуга, опита на клиентите ви или някакъв друг аспект от вашия бизнес, който може да накара клиентите да ви изпращат запитвания, не забравяйте да се съсредоточите върху това като отделен и важен въпрос. Пренебрегването на проблемите на вашите клиенти или дори откровен опит да превърнат лошия им късмет във вашата печалба, може бързо да превърне сериозно нарушение на данните в кошмарна загуба на бизнес и приходи.

Като пример за нарушението на Equifax, компанията първоначално каза на клиентите, че могат да имат година на безплатни кредитни отчети, само ако не искат да предявят иск. Той дори се опита да превърне нарушението в център за печалба, когато искаше да таксува клиентите допълнително, ако поискат да бъдат замразени отчетите им. Това беше грешка и навреди на клиентите на фирмата в дългосрочен план. Това, което компанията трябваше да направи, беше да постави своите клиенти на първо място и просто им предложи безусловно отчитане, може би дори без такса, за същия период от време, за да подчертае ангажимента си да пазят клиентите в безопасност.

5. Не затваряйте инциденти твърде скоро

Затворихте повредените си крайни точки. Свързали сте се със своите служители и клиенти. Възстановихте всичките си данни. Облаците се разделиха и лъч слънчева светлина се появи на бюрото ви. Не толкова бързо. Въпреки че може да изглежда, че кризата ви е приключила, ще искате да продължите агресивно и активно да наблюдавате мрежата си, за да се гарантира, че няма последващи атаки.

"Има огромен натиск за възстановяване на услугите и възстановяване след нарушение", каза Нуникховен. „Атакуващите се движат бързо през мрежи, след като се закрепят, така че е трудно да се направи конкретна решимост, че сте се спряли на целия проблем. Да останете внимателни и да наблюдавате по-агресивно е важна стъпка, докато не сте сигурни, че организацията е на ясно."

Sfakiyanudis е съгласен с тази оценка. "След като нарушаването на данните бъде разрешено и редовните бизнес операции се възобновят, не приемайте същата технология и плановете, които сте имали на място преди нарушаването, ще бъдат достатъчни", каза той. „Има пропуски във вашата стратегия за сигурност, които бяха експлоатирани и дори след като тези пропуски бъдат отстранени, това не означава, че няма да има повече в бъдеще. За да се предприеме по-активен подход към защитата на данните напред, лекувайте планът ви за реакция за нарушаване на данните като жив документ. Тъй като хората променят ролите и организацията се развива чрез сливания, придобивания и т.н., планът трябва също да се промени."

6. Не забравяйте да разследвате

"Когато разследвате нарушение, документирайте всичко", каза Сфакиянудис. "Събирането на информация за инцидент е от решаващо значение за потвърждаването на нарушение, какви системи и данни са били засегнати и как е било адресирано смекчаването или отстраняването. Регистрирайте резултатите от разследванията чрез събиране на данни и анализ, така че да са достъпни за преглед след смъртта.

"Не забравяйте също да интервюирате всеки, който участва, и внимателно документирайте техните отговори", продължи той. „Създаването на подробни отчети с изображения на дискове, както и подробности за това кой, какво, къде и кога е настъпил инцидентът, ще ви помогне да приложите всички нови или липсващи мерки за намаляване или намаляване на риска.“

Такива мерки очевидно са възможни правни последици след факта, но това не е единствената причина да се разследва нападение. Откриването на кой е отговорен и кой е засегнат е от ключово знание за адвокатите и със сигурност трябва да бъде разследван. Но как се е случило нарушението и какво е било насочено е ключова информация за ИТ и вашия персонал по сигурността. Коя част от периметъра се нуждае от подобрение и кои части от вашите данни са (очевидно) ценни за най-добрите кладенци? Уверете се, че сте разследвали всички ценни ъгли на този инцидент и се уверете, че вашите следователи знаят това още от самото начало.

Ако вашата компания е твърде аналогова, за да извърши този анализ самостоятелно, вероятно ще искате да наемете външен екип, който да проведе това разследване вместо вас (както Sfakiyanudis спомена по-рано). Правете си бележки и за процеса на търсене. Обърнете внимание какви услуги ви бяха предложени, с кои доставчици сте разговаряли и дали сте били доволни от процеса на разследване или не. Тази информация ще ви помогне да определите дали да се придържате към вашия доставчик, да изберете нов доставчик или да наемете вътрешен персонал, който е способен да провежда тези процеси, ако вашата компания не е достатъчно късметлия, за да претърпи второ нарушение.