6 Lucruri de făcut după o încălcare a datelor

Menținerea și aplicarea securității IT este un lucru pe care l-am abordat din mai multe unghiuri, în special modul în care evoluția și evoluția securității, și aceasta este cu siguranță informația pe care ar trebui să o digerați complet. În plus, ar trebui să vă asigurați că afacerea dvs. este bine echipată pentru a se proteja și a se apăra de atacurile cibernetice, în special prin protecția finală IT-grade și gestionarea identității granulare și măsurile de control al accesului. Un proces solid de testare a datelor de rezervă este, de asemenea, un element obligatoriu. Din păcate, cartea de joacă pentru o încălcare a datelor continuă să se schimbe, ceea ce înseamnă că unele dintre acțiunile dvs. în timpul unui dezastru ar putea fi la fel de dăunătoare pe cât de utile. Acolo intră această piesă.

, discutăm ce companii ar trebui să evite să facă odată ce își dau seama că sistemele lor au fost încălcate. Am vorbit cu mai mulți experți ai companiilor de securitate și ai firmelor de analiză a industriei pentru a înțelege mai bine potențialele capcane și scenariile de dezastre care se dezvoltă ca urmare a unor atacuri cibernetice.

1. Nu improvizați

În caz de atac, primul tău instinct vă va spune să începeți procesul de rectificare a situației. Aceasta poate include protejarea obiectivelor vizate sau reîntoarcerea la copiile de rezervă anterioare pentru a închide punctul de intrare folosit de atacatorii dvs. Din păcate, dacă nu ai dezvoltat anterior o strategie, atunci orice decizie pripită luați după un atac ar putea agrava situația.

"Primul lucru pe care nu trebuie să-l faci după o încălcare este să-ți creezi răspunsul în zbor", a declarat Mark Nunnikhoven, vicepreședinte Cloud Research la furnizorul de soluții de securitate cibernetică Trend Micro. "O parte critică a planului dvs. de răspuns la incident este pregătirea. Contactele cheie ar trebui să fie cartografiate înainte de timp și stocate digital. De asemenea, acestea ar trebui să fie disponibile pe copie în caz de încălcare catastrofică. Când răspundeți la o încălcare, ultimul lucru pe care îl aveți trebuie să faceți este să încercați să aflați cine este responsabil pentru ce acțiuni și cine poate autoriza diverse răspunsuri."

Ermis Sfakiyanudis, președinte și CEO al companiei de servicii de protecție a datelor Trivalent, este de acord cu această abordare. El a spus că este esențial ca companiile „să nu se frece” după ce au fost lovite de o încălcare. "În timp ce nepregătirea în fața unei încălcări a datelor poate provoca daune ireparabile unei companii, panica și dezorganizarea pot fi, de asemenea, extrem de dăunătoare", a explicat el. "Este esențial ca o companie încălcată să nu se îndepărteze de planul său de răspuns la incidente, care ar trebui să includă identificarea cauzei suspectate a incidentului ca prim pas. De exemplu, a fost încălcarea cauzată de un atac de succes ransomware, malware pe sistem, firewall cu port deschis, software depășit sau amenințare neintenționată din interior? Apoi, izolați sistemul efectiv și eliminați cauza încălcării pentru a vă asigura că sistemul dvs. nu este periculos."

Sfakiyanudis a spus că este vital ca companiile să ceară ajutor atunci când sunt peste cap. „Dacă stabiliți că o încălcare a avut loc într-adevăr în urma investigației dvs. interne, aduceți expertize ale unor terți pentru a ajuta la gestionarea și atenuarea abandonului”, a spus el. „Aceasta include consilieri juridici, anchetatori externi care pot conduce o investigație criminalistică amănunțită, precum și experți în relații publice și comunicare, care pot crea strategie și comunica către mass-media în numele tău.

"Cu această îndrumare combinată de experți, organizațiile pot rămâne calme prin haos, identificând care sunt vulnerabilitățile care au provocat încălcarea datelor, remediază astfel încât problema să nu se mai repete în viitor și să asigure că răspunsul lor la clienții afectați este adecvat și oportun. de asemenea, colaborează cu avocatul lor pentru a stabili dacă și când trebuie să fie notificate aplicarea legii."

2. Nu mergeți în tăcere

Odată ce ai fost atacat, este reconfortant să crezi că nimeni din afara cercului tău interior nu știe ce s-a întâmplat. Din păcate, riscul aici nu merită răsplata. Veți dori să comunicați cu angajații, vânzătorii și clienții pentru a informa toată lumea ce a fost accesat, ce ați făcut pentru a remedia situația și ce planuri intenționați să luați pentru a vă asigura că nu se vor produce atacuri similare în viitor. „Nu-ți ignora proprii angajați”, a recomandat Heidi Shey, senior analist al securității și riscurilor la Forrester Research. "Trebuie să comunicați cu angajații dvs. despre eveniment și să oferiți îndrumări angajaților dvs. despre ce trebuie să faceți sau să spuneți dacă au întrebat despre încălcare."

Shey, la fel ca Sfakiyanudis, a spus că poate doriți să vă ocupați de angajarea unei echipe de relații publice pentru a ajuta la controlul mesajelor din spatele răspunsului dumneavoastră. Acest lucru este valabil mai ales în cazul încălcărilor de date mari și costisitoare care se confruntă cu consumatorii. „În mod ideal, doriți ca un astfel de furnizor să fie identificat în avans ca parte a planificării răspunsului la incident, astfel încât să puteți fi gata să vă dați răspunsul”, a explicat ea.

Doar pentru că sunteți proactiv cu privire la notificarea publicului că ați fost încălcat, nu înseamnă că puteți începe să emite declarații și proclamații sălbatice. De exemplu, când a fost încălcat toymaker VTech, fotografiile copiilor și jurnalele de chat au fost accesate de un hacker. După ce situația s-a stins, toymakerul și-a schimbat Termenii de serviciu pentru a-și renunța la responsabilitatea în cazul unei încălcări. Inutil să spun, clienții nu au fost mulțumiți. „Nu vrei să pari că recurgi la ascunderea în spatele mijloacelor legale, indiferent dacă este vorba de evitarea răspunderii sau de controlul relatării”, a spus Shey. „Este mai bine să existe un răspuns la încălcări și un plan de gestionare a crizelor pentru a ajuta la comunicările legate de încălcări.”

3. Nu faceți declarații false sau înșelătoare

Acesta este unul evident, dar veți dori să fiți cât mai exacti și sinceri atunci când vă adresați publicului. Acest lucru este benefic pentru marca dvs., dar este, de asemenea, benefic pentru câți bani veți recupera din polița dvs. de asigurare cibernetică dacă aveți unul. „Nu emite declarații publice fără a ține cont de implicațiile a ceea ce spui și cum sună”, a spus Nunnikoven.

"A fost într-adevăr un atac" sofisticat "? Etichetarea ca atare nu este neapărat posibil să fie adevărat", a continuat el. "Este într-adevăr CEO-ul tău să îl numești un„ act de terorism "? Ați citit amprenta fină a poliței dvs. de asigurare cibernetică pentru a înțelege excluderile?"

Nunnikhoven recomandă crearea de mesaje care sunt „fără taur, frecvente și care precizează clar acțiunile care se fac și cele care trebuie luate”. Încercând să învârtă situația, a spus el, tinde să înrăutățească lucrurile. „Când utilizatorii aud despre o încălcare de la o terță parte, aceasta erodează imediat încrederea câștigată”, a explicat el. „Ieșiți în fața situației și rămâneți în față, cu un flux constant de comunicații concise pe toate canalele unde sunteți deja activ”.

4. Amintiți-vă Serviciul Clienți

Dacă încălcarea datelor dvs. afectează un serviciu online, experiența clienților dvs. sau un alt aspect al afacerii dvs. care ar putea avea clienții care vă trimit întrebări, asigurați-vă că vă concentrați pe acest aspect ca o problemă separată și importantă. Ignorarea problemelor clienților dvs. sau chiar încercarea excesivă de a-și transforma ghinionul în câștigul dvs. poate transforma rapid o încălcare gravă a datelor într-o pierdere de noapte de afaceri și venituri.

Luând ca exemplu încălcarea Equifax, compania le-a spus inițial clienților că ar putea avea un an de raportare gratuită a creditului, numai dacă nu ar acționa în judecată. A încercat chiar să transforme încălcarea într-un centru de profit atunci când dorea să încarce clienții în plus, dacă cereau să-și înghețe rapoartele. Aceasta a fost o greșeală și a afectat relațiile cu clienții pe termen lung. Compania ar fi trebuit să facă a fost să-și plaseze clienții pe primul loc și să le ofere pur și simplu raportări necondiționate, poate chiar fără taxă, pentru aceeași perioadă de timp pentru a sublinia angajamentul lor de a păstra clienții în siguranță.

5. Nu închideți incidentele prea curând

Ți-ai închis obiectivele corupte. V-ați contactat angajații și clienții. V-ați recuperat toate datele. Norii s-au despărțit și o rază de soare a căzut pe biroul tău. Nu asa de repede. Deși poate părea că s-a încheiat criza, veți dori să continuați să vă monitorizați în mod agresiv și proactiv rețeaua pentru a vă asigura că nu există atacuri de urmărire.

"Există o presiune uriașă pentru a restabili serviciile și a recupera după o încălcare", a spus Nunnikhoven. "Atacatorii se deplasează rapid prin rețele odată ce câștigă poziția, așa că este greu să iei o determinare concretă că ai abordat întreaga problemă. Să rămâi sârguincios și să monitorizezi mai agresiv este un pas important până când ești sigur că organizația este în clar.“

Sfakiyanudis este de acord cu această evaluare. "După ce o încălcare a datelor este rezolvată și operațiunile comerciale obișnuite se reiau, nu presupuneți aceeași tehnologie și planurile pe care le aveți în vigoare înainte de încălcare vor fi suficiente", a spus el. "Există lacune în strategia dvs. de securitate care au fost exploatate și, chiar și după ce aceste lacune sunt abordate, nu înseamnă că nu va mai exista în viitor. Pentru a adopta o abordare mai proactivă în ceea ce privește protecția datelor, mergeți mai departe, tratați Planul dvs. de răspuns la încălcarea datelor ca document viu. Pe măsură ce indivizii își schimbă rolurile și organizația evoluează prin fuziuni, achiziții etc., planul trebuie să se schimbe și el."

6. Nu uita să investighezi

„Când investighezi o încălcare, documentează totul”, a spus Sfakiyanudis. "Obținerea de informații cu privire la un incident este esențială în validarea unei încălcări, a sistemelor și a datelor au fost afectate și a modului în care atenuarea sau remedierea a fost abordată. Registrați rezultatele investigațiilor prin captarea și analiza datelor, astfel încât acestea sunt disponibile pentru revizuire post-mortem.

"Asigurați-vă că intervievează și pe orice persoană implicată și documentează-i cu atenție răspunsurile", a continuat el. "Crearea de rapoarte detaliate cu imagini de disc, precum și detalii despre cine, ce, unde și când a avut loc incidentul, vă vor ajuta să implementați măsuri noi sau lipsă de atenuare a riscului sau de protecție a datelor."

Astfel de măsuri sunt evident pentru posibile consecințe legale după fapt, dar acesta nu este singurul motiv pentru a investiga un atac. A afla cine a fost responsabil și cine a fost afectat este o cunoaștere esențială pentru avocați și ar trebui să fie cercetat cu siguranță. Însă modul în care încălcarea s-a întâmplat și ceea ce a fost vizat sunt informații cheie pentru IT și personalul dumneavoastră de securitate. Ce parte a perimetrului are nevoie de îmbunătățiri și ce porțiuni ale datelor dvs. sunt (aparent) valoroase pentru nevoile puterii? Asigurați-vă că investigați toate unghiurile valoroase față de acest incident și asigurați-vă că anchetatorii dvs. știu asta încă de la început.

Dacă compania dvs. este prea analogă pentru a efectua această analiză de unul singur, probabil că veți dori să angajați o echipă externă pentru a efectua această anchetă (după cum am menționat Sfakiyanudis anterior). Luați note și despre procesul de căutare. Rețineți ce servicii vi s-au oferit, cu ce furnizori ați vorbit și dacă ați fost sau nu mulțumit de procesul de anchetă. Aceste informații vă vor ajuta să determinați dacă vă potrivesc sau nu furnizorul, să alegeți un nou furnizor sau să angajați personal intern care este capabil să conducă aceste procese în cazul în care compania dvs. nu va avea suficient de ghinion pentru a suferi o a doua încălcare.