6 Что не следует делать после взлома данных

Поддержание и обеспечение безопасности ИТ - это то, что мы рассмотрели с нескольких сторон, особенно с практическими рекомендациями и развивающимися тенденциями безопасности, и это, безусловно, информация, которую вы должны тщательно переварить. Кроме того, вы должны убедиться, что ваш бизнес хорошо подготовлен для защиты и защиты от кибератак, особенно с помощью защиты конечных точек ИТ-уровня, а также детального управления идентификацией и мер контроля доступа. Надежный и проверенный процесс резервного копирования данных также необходим. К сожалению, книга действий для взлома данных постоянно меняется, что означает, что некоторые из ваших действий во время бедствия могут быть как вредными, так и полезными. Вот где эта часть приходит.

мы обсуждаем, что компаниям следует избегать, если они осознают, что их системы были взломаны. Мы поговорили с несколькими экспертами из компаний по обеспечению безопасности и отраслевых аналитических компаний, чтобы лучше понять потенциальные ловушки и сценарии бедствий, которые развиваются после кибератак.

1. Не импровизируйте

В случае атаки ваш первый инстинкт скажет вам начать процесс исправления ситуации. Это может включать защиту конечных точек, на которые были нацелены, или возврат к предыдущим резервным копиям, чтобы закрыть точку входа, используемую вашими злоумышленниками. К сожалению, если вы ранее не разработали стратегию, то любые поспешные решения, которые вы принимаете после атаки, могут ухудшить ситуацию.

«Первое, что вы не должны делать после взлома, это создать свой ответ на лету», - сказал Марк Нунниховен, вице-президент по облачным исследованиям в компании Trend Micro. «Важной частью вашего плана реагирования на инциденты является подготовка. Ключевые контакты должны быть заранее намечены и сохранены в цифровом виде. Они также должны быть доступны в печатном виде в случае катастрофического нарушения. При реагировании на нарушение последнее, что вы Нужно делать, пытаясь выяснить, кто несет ответственность за какие действия и кто может санкционировать различные ответы ".

Эрмис Сфакианудис, президент и главный исполнительный директор компании Trivalent, занимающейся услугами по защите данных, согласен с таким подходом. Он сказал, что крайне важно, чтобы компании «не сходили с ума» после того, как они пострадали от нарушения. «Хотя неподготовленность перед лицом взлома данных может нанести непоправимый ущерб компании, паника и дезорганизация также могут быть крайне вредными», - пояснил он. «Очень важно, чтобы нарушенная компания не отклонилась от своего плана реагирования на инцидент, который должен включать в себя идентификацию предполагаемой причины инцидента в качестве первого шага. Например, было нарушение, вызванное успешной атакой вымогателей, вредоносным ПО в системе, брандмауэр с открытым портом, устаревшим программным обеспечением или непреднамеренной угрозой со стороны инсайдера? Затем изолируйте уязвимую систему и устраните причину взлома, чтобы убедиться, что ваша система вне опасности ».

Сфакианудис сказал, что очень важно, чтобы компании обращались за помощью, когда они над головой. «Если вы решите, что нарушение действительно произошло после вашего внутреннего расследования, привлекайте сторонних экспертов, чтобы помочь справиться с последствиями и смягчить их последствия», - сказал он. «Это включает в себя адвоката, сторонних следователей, которые могут провести тщательное судебное расследование, и экспертов по связям с общественностью и коммуникаций, которые могут разработать стратегию и общаться со СМИ от вашего имени.

«С помощью этого комбинированного экспертного руководства организации могут сохранять спокойствие в хаосе, выявляя, какие уязвимости вызвали нарушение данных, исправляя их, чтобы в будущем проблема больше не повторялась, и обеспечивая своевременное и своевременное реагирование их на затронутых клиентов. также работайте со своим адвокатом, чтобы определить, следует ли уведомлять правоохранительные органы ».

2. Не молчи

После того, как на вас напали, утешительно думать, что никто за пределами вашего внутреннего круга не знает, что только что произошло. К сожалению, риск здесь не стоит награды. Вы захотите пообщаться с сотрудниками, поставщиками и клиентами, чтобы все знали, к чему обращались, что вы сделали, чтобы исправить ситуацию, и какие планы вы планируете предпринять, чтобы предотвратить повторение подобных атак в будущем. «Не игнорируйте своих сотрудников», - посоветовала Хайди Шей, старший аналитик по безопасности и рискам в Forrester Research. «Вы должны сообщить своим сотрудникам о событии и дать рекомендации своим сотрудникам о том, что делать или говорить, если они спросят о нарушении».

Шей, как и Сфакианудис, сказал, что вы, возможно, захотите нанять команду по связям с общественностью, чтобы помочь контролировать обмен сообщениями за вашим ответом. Это особенно верно для больших и дорогих утечек данных, связанных с потребителями. «В идеале вы бы хотели, чтобы такой провайдер был заранее определен как часть вашего плана реагирования на инциденты, чтобы вы могли быть готовы начать свой ответ», - пояснила она.

То, что вы активно уведомляете публику о том, что вы были нарушены, не означает, что вы можете начать выдавать дикие заявления и прокламации. Например, когда производитель игрушек VTech был взломан, хакер получил доступ к фотографиям детей и журналам чата. После того, как ситуация прекратилась, производитель игрушек изменил свои Условия обслуживания, чтобы отказаться от ответственности в случае нарушения. Излишне говорить, что клиенты не были счастливы. «Вы не хотите выглядеть так, будто пытаетесь скрыться за законными средствами, будь то уклонение от ответственности или контроль над повествованием», - сказал Шей. «Лучше иметь план реагирования на нарушения и кризисного управления, чтобы помочь с связанными с нарушениями коммуникациями».

3. Не делайте ложных или вводящих в заблуждение утверждений

Это очевидно, но вы должны быть максимально точными и честными при обращении к публике. Это выгодно для вашего бренда, но также полезно для того, сколько денег вы возместите из своего полиса киберстрахования, если он у вас есть. «Не делайте публичных заявлений без учета последствий того, что вы говорите и как вы звучите», - сказал Нанниковен.

«Была ли это действительно« изощренная »атака? Маркировка как таковая не обязательно делает ее правдой», - продолжил он. «Неужели вашему генеральному директору действительно нужно называть это« террористическим актом »? Вы читали мелкий шрифт своего полиса киберстрахования, чтобы понять исключения?»

Nunnikhoven рекомендует создавать сообщения, которые «не являются бычьими, частыми, и в которых четко указываются действия, которые предпринимаются, и действия, которые необходимо предпринять». Попытка раскрутить ситуацию, по его словам, ведет к ухудшению ситуации. «Когда пользователи узнают о нарушении от третьей стороны, это сразу же подрывает с трудом завоеванное доверие», - пояснил он. «Выйдите из ситуации и оставайтесь впереди, с непрерывным потоком кратких сообщений по всем каналам, где вы уже активны».

4. Помните, Обслуживание клиентов

Если ваша утечка данных влияет на онлайн-службу, опыт ваших клиентов или какой-либо другой аспект вашего бизнеса, который может привести к тому, что клиенты отправляют вам запросы, не забудьте сосредоточиться на этом как на отдельной и важной проблеме. Игнорирование проблем ваших клиентов или даже откровенная попытка превратить их неудачу в вашу прибыль может быстро превратить серьезное нарушение данных в кошмарную потерю бизнеса и доходов.

Взяв за нарушение Equifax в качестве примера, компания первоначально сказала клиентам, что у них может быть год бесплатной кредитной отчетности, если только они не будут предъявлять иск. Он даже пытался превратить нарушение в центр прибыли, когда хотел взимать с клиентов дополнительную плату, если они просили заморозить свои отчеты. Это было ошибкой, и это наносило ущерб отношениям с клиентами на долгосрочной основе. Что компания должна была сделать, так это поставить своих клиентов на первое место и просто предложить всем им безоговорочную отчетность, возможно, даже бесплатно, за один и тот же период времени, чтобы подчеркнуть их приверженность обеспечению безопасности клиентов.

5. Не закрывайте инциденты слишком скоро

Вы закрыли свои поврежденные конечные точки. Вы связались со своими сотрудниками и клиентами. Вы восстановили все свои данные. Облака разошлись, и солнечный луч обрушился на ваш стол. Не так быстро. Хотя может показаться, что ваш кризис закончился, вы захотите продолжать активно и активно отслеживать вашу сеть, чтобы избежать последующих атак.

«Существует огромное давление для восстановления услуг и восстановления после нарушения», - сказал Нанниховен. «Злоумышленники быстро перемещаются по сетям после того, как они закрепились, поэтому трудно сделать конкретное определение того, что вы решили всю проблему. Быть усердным и более агрессивно контролировать - важный шаг, пока вы не будете уверены, что организация находится в ясной ситуации». «.

Сфакианудис согласен с этой оценкой. «После устранения утечки данных и возобновления регулярных бизнес-операций не следует полагаться на ту же технологию и планы, которые были у вас до начала взлома», - сказал он. «В вашей стратегии безопасности есть пробелы, которые были использованы, и даже после устранения этих пробелов это не означает, что в будущем их больше не будет. Для более активного подхода к защите данных в будущем ваш план реагирования на нарушение данных как живой документ. По мере того, как люди меняют роли, а организация развивается в результате слияний, приобретений и т. д., план также должен меняться ».

6. Не забудьте расследовать

«При расследовании нарушения документируйте все», - сказал Сфакианудис. «Сбор информации об инциденте имеет решающее значение для подтверждения того, что произошло нарушение, какие системы и данные были затронуты, и каким образом были предприняты меры по смягчению или исправлению. Записывайте результаты исследований путем сбора и анализа данных, чтобы они были доступны для проверки после вскрытия.

«Обязательно также проведите собеседование с каждым из участников и тщательно задокументируйте их ответы», - продолжил он. «Создание подробных отчетов с образами дисков, а также сведений о том, кто, что, где и когда произошел инцидент, поможет вам реализовать любые новые или отсутствующие меры по снижению риска или защите данных».

Такие меры, очевидно, имеют возможные юридические последствия после факта, но это не единственная причина для расследования нападения. Выяснение того, кто несет ответственность, а кто пострадал, является ключевым знанием для юристов и, безусловно, должно быть расследовано. Но то, как произошло нарушение и на что было нацелено, является ключевой информацией для ИТ-специалистов и сотрудников службы безопасности. Какая часть периметра нуждается в улучшении, и какие части ваших данных (очевидно) полезны для тех, кто не делает ничего? Убедитесь, что вы изучили все ценные аспекты этого инцидента, и убедитесь, что ваши следователи знают об этом с самого начала.

Если ваша компания слишком аналогов, чтобы проводить этот анализ самостоятельно, вы, вероятно, захотите нанять внешнюю команду для проведения этого расследования для вас (как упоминал Сфакианудис ранее). Делайте заметки и о процессе поиска. Отметьте, какие услуги вам предлагали, с какими поставщиками вы общались, и были ли вы довольны процессом расследования. Эта информация поможет вам определить, следует ли придерживаться вашего поставщика, выбирать нового поставщика или нанимать штатных сотрудников, способных выполнять эти процессы, если вашей компании не повезет перенести второе нарушение.