6 Dalykai, kurių nereikia daryti pažeidus duomenis

IT saugumo palaikymas ir užtikrinimas yra tai, ką mes apžvelgėme iš kelių aspektų, ypač kaip elgtis ir kaip keičiasi saugumo tendencijos, ir tai tikrai yra informacija, kurią turėtumėte kruopščiai suvirškinti. Be to, turėtumėte įsitikinti, kad jūsų verslas yra tinkamai aprūpintas, kad apsisaugotų ir apsigintų nuo kibernetinių išpuolių, ypač naudodamiesi IT lygio galinių taškų apsauga ir granuliuotu tapatybės valdymu bei prieigos kontrolės priemonėmis. Taip pat būtinas patikimas ir patikrintas duomenų atsarginės kopijos kūrimo procesas. Deja, duomenų pažeidimo sąsiuvinis nuolat keičiasi, o tai reiškia, kad kai kurie jūsų veiksmai nelaimės metu gali būti tokie pat kenksmingi, kaip ir naudingi. Štai iš kur šis gabalas patenka.

, aptariame, ko įmonės turėtų vengti, kai supranta, kad jų sistemos buvo pažeistos. Kalbėjomės su keliais saugumo kompanijų ir pramonės analizės firmų ekspertais, kad geriau suprastume spąstus ir nelaimių scenarijus, kylančius dėl kibernetinių išpuolių.

1. Netobulinkite

Išpuolio atveju jūsų pirmasis instinktas lieps pradėti situacijos taisymo procesą. Tai gali apimti tikslinių galinių taškų apsaugą arba grįžimą į ankstesnes atsargines kopijas, kad būtų uždarytas jūsų užpuolikų naudojamas įėjimo taškas. Deja, jei anksčiau nebuvote sukūrę strategijos, bet kokie skuboti sprendimai, kuriuos priimate po išpuolio, gali pabloginti situaciją.

„Pirmas dalykas, kurio neturėtumėte padaryti po pažeidimo, yra sukurti jūsų atsakymą skrendant“, - sakė kibernetinio saugumo sprendimų teikėjo „Trend Micro“ debesų tyrimų viceprezidentas Markas Nunnikhovenas. „Kritinė jūsų reagavimo į incidentą plano dalis yra parengimas. Svarbiausi kontaktai turėtų būti suplanuoti iš anksto ir saugoti skaitmeniniu būdu. Jei katastrofiškas pažeidimas, jis turėtų būti prieinamas ir popierine forma. Atsakant į pažeidimą, paskutinis dalykas, kurį jūs reikia daryti, bandoma išsiaiškinti, kas yra atsakingas už kokius veiksmus ir kas gali leisti įvairias reakcijas “.

Duomenų apsaugos paslaugų bendrovės „Trivalent“ prezidentas ir generalinis direktorius Ermis Sfakiyanudis sutinka su tokiu požiūriu. Jis sakė, kad labai svarbu, jog įmonės „neišsilaisvintų“ po to, kai jos nukentėjo dėl pažeidimo. „Nors nepasirengimas duomenų pažeidimui gali padaryti nepataisomą žalą įmonei, tačiau panika ir dezorganizacija taip pat gali būti labai žalingi“, - aiškino jis. "Labai svarbu, kad pažeista įmonė nenuklystų nuo savo reagavimo į incidentą plano, kuriame kaip pirmas žingsnis turėtų būti įtariamos incidento priežasties nustatymas. Pavyzdžiui, ar pažeidimą sukėlė sėkminga ransomware ataka, sistemos kenkėjiška programa, ugniasienę su atviru prievadu, pasenusią programinę įrangą ar netyčinę viešai neatskleistą grėsmę? Tada izoliuokite veikiančią sistemą ir pašalinkite pažeidimo priežastį, kad įsitikintumėte, jog jūsų sistemai nėra pavojaus. “

Sfakiyanudis sakė, kad labai svarbu, kad įmonės paprašytų pagalbos, kai jos virs galvos. „Jei po jūsų vidaus tyrimo paaiškės, kad pažeidimas iš tikrųjų įvyko, pasitelkite trečiųjų šalių ekspertus, kurie padėtų sutvarkyti ir sušvelninti iškritimą“, - sakė jis. „Tai apima teisinius patarėjus, išorės tyrėjus, kurie gali atlikti išsamų teismo ekspertizę, ir viešųjų ryšių bei komunikacijos ekspertus, kurie gali sukurti strategiją ir komunikuoti žiniasklaidai jūsų vardu.

„Atsižvelgdamos į šias bendras ekspertų rekomendacijas, organizacijos gali išlikti ramios per chaosą, nustatydamos pažeidžiamumus, dėl kurių kilo duomenų pažeidimas, ištaisykite, kad ateityje problema nebepasikartotų, ir užtikrinkite, kad jų reakcija paveiktiems klientams būtų tinkama ir tinkama. taip pat dirbkite su savo teisininkais, kad nustatytumėte, ar reikia informuoti teisėsaugą ir kada “.

2. Negalima tylėti

Kai jus užpuolė, malonu galvoti, kad niekas iš jūsų vidinio rato ribų nežino, kas ką tik nutiko. Deja, čia rizikuoti neverta. Norėsite susisiekti su darbuotojais, pardavėjais ir klientais, kad visi praneštų, kas buvo pasiekta, ką padarėte ištaisydami situaciją ir kokių planuojate imtis, kad ateityje neatsirastų panašių išpuolių. „Neignoruokite savo darbuotojų“, - patarė Heidi Shey, „Forrester Research“ vyresnioji saugumo ir rizikos analitikė. "Turite bendrauti su savo darbuotojais apie įvykį ir pateikti savo darbuotojams rekomendacijas, ką daryti ar pasakyti, jei jie paklausė apie pažeidimą."

Shey, kaip ir Sfakiyanudis, sakė, kad galbūt norėsite pasamdyti viešųjų ryšių komandą, kuri padėtų valdyti jūsų atsakymą. Tai ypač pasakytina apie didelių ir brangių duomenų pažeidimus, susijusius su vartotojais. „Idealiu atveju norėtumėte, kad toks teikėjas būtų iš anksto identifikuotas kaip jūsų reagavimo į incidentus planavimo dalis, kad galėtumėte būti pasirengę pradėti savo atsaką“, - aiškino ji.

Tiesiog todėl, kad esate iniciatyvus pranešdamas visuomenei, kad esate pažeistas, tai dar nereiškia, kad galite pradėti skelbti laukinius pareiškimus ir skelbimus. Pavyzdžiui, kai buvo pažeistas žaislų gamintojas „VTech“, įsilaužėlis pasiekė vaikų nuotraukas ir pokalbių žurnalus. Situacijai pasibaigus, žaislų gamintojas pakeitė savo paslaugų teikimo sąlygas, kad atsisakytų savo atsakomybės pažeidimo atveju. Nereikia nė sakyti, kad klientai nebuvo patenkinti. „Jūs nenorite atrodyti, kad imate slėptis už teisėtų priemonių, kad išvengtumėte atsakomybės ar kontroliuotumėte pasakojimą“, - sakė Shey. „Geriau turėti reagavimo į pažeidimus ir krizių valdymo planą, kuris padėtų palaikyti ryšius, susijusius su pažeidimais“.

3. Nedarykite melagingų ar klaidinančių teiginių

Tai akivaizdu, tačiau norėsite būti kiek įmanoma tikslesni ir sąžiningesni kreipdamiesi į visuomenę. Tai naudinga jūsų prekės ženklui, bet taip pat naudinga ir tai, kiek pinigų susigrąžinsite iš savo kibernetinio draudimo poliso, jei jį turėsite. „Nepaskelbkite viešų pareiškimų negalvodami apie tai, ką kalbate ir kaip jaučiatės“, - sakė Nunnikovenas.

"Ar tai tikrai buvo" sudėtingas "išpuolis? Pavadinimas tokiu ženklu nebūtinai daro jį tiesa", - tęsė jis. "Ar tikrai jūsų generaliniam direktoriui reikia tai vadinti" teroro aktu "? Ar perskaitėte puikų kibernetinio draudimo poliso atspaudą, kad suprastumėte išimtis?"

Nunnikhovenas rekomenduoja kurti žinutes, kurios yra „niekingos, dažnos ir kuriose aiškiai nurodomi veiksmai, kurių imamasi, ir tie, kurių reikia imtis“. Mėgindamas išsiaiškinti situaciją, pasak jo, linkęs viską dar labiau pabloginti. „Kai vartotojai išgirsta apie trečiosios šalies padarytą pažeidimą, tai iškart sunaikina sunkiai laimėtą pasitikėjimą“, - aiškino jis. "Išeikite prieš situaciją ir būkite priekyje, palaikydami nuolatinį glaustų ryšių srautą visais kanalais, kur jau esate aktyvus".

4. Prisiminkite klientų aptarnavimo tarnybą

Jei jūsų duomenų pažeidimas daro įtaką internetinei paslaugai, klientų patirčiai ar kitam jūsų verslo aspektui, dėl kurio klientai gali siųsti užklausas, būtinai atkreipkite dėmesį į tai kaip į atskirą ir svarbų klausimą. Nepaisydami savo klientų problemų ar net atvirai bandydami savo nesėkmę paversti jūsų nauda, ​​rimtą duomenų pažeidimą galite greitai paversti košmarišku verslo ir pajamų praradimu.

Remdamasi „Equifax“ pažeidimu kaip pavyzdžiu, bendrovė iš pradžių klientams sakė, kad jie gali metus nemokamai pranešti apie kreditą, jei tik jie nepareikš ieškinio. Ji netgi bandė paversti pažeidimą pelno centru, kai norėjo papildomai apmokestinti klientus, jei jie paprašytų užšaldyti jų ataskaitas. Tai buvo klaida ir tai ilgainiui pakenkė įmonės santykiams su klientais. Tai, ką įmonė turėjo padaryti, pirmiausia buvo pateikti savo klientams ir paprasčiausiai visiems jiems pasiūlė besąlyginę atskaitomybę, galbūt net nemokamai, tuo pačiu laikotarpiu pabrėžti savo įsipareigojimą saugoti klientus.

5. Neuždarykite incidentų per greitai

Uždarėte sugadintus galinius taškus. Jūs susisiekėte su savo darbuotojais ir klientais. Atgavote visus savo duomenis. Debesys išsiskyrė, ir saulės spinduliai nutilo ant jūsų stalo. Ne taip greitai. Nors gali atrodyti, kad jūsų krizė baigėsi, norėsite toliau agresyviai ir aktyviai stebėti savo tinklą, kad užtikrintumėte, jog nebus jokių tolesnių išpuolių.

„Yra didžiulis spaudimas atkurti paslaugas ir atsigauti po pažeidimo“, - sakė Nunnikhovenas. "Užpuolikai greitai juda per tinklus, kai tik įgyja įsitvirtinimą, todėl sunku priimti konkretų sprendimą, ar išsprendėte visą problemą. Atidumas kruopščiam ir agresyvesnis stebėjimas yra svarbus žingsnis, kol nebūsite tikri, kad organizacija yra aiški.. “

Sfakiyanudis sutinka su šiuo vertinimu. „Kai bus išspręstas duomenų pažeidimas ir atnaujintos įprastos verslo operacijos, nemėginkite tos pačios technologijos ir pakaks planų, kuriuos turėjote prieš pradėdami pažeidimus“, - sakė jis. "Jūsų saugumo strategijoje yra spragų, kurios buvo išnaudotos, ir net pašalinus šias spragas dar nereiškia, kad ateityje jų nebus daugiau. Jei norite laikytis aktyvesnio požiūrio į duomenų apsaugą, pradėkite toliau. jūsų reagavimo į duomenų pažeidimų planą kaip gyvą dokumentą. Kadangi asmenys keičiasi vaidmenimis ir organizacija vystosi susijungimų, įsigijimų ir pan. būdu, planą taip pat reikia pakeisti."

6. Nepamirškite ištirti

„Tirdami pažeidimą, dokumentuokite viską“, - sakė Sfakiyanudis. "Informacijos apie incidentą rinkimas yra labai svarbus patvirtinant, kad įvyko pažeidimas, kokioms sistemoms ir duomenims buvo padarytas poveikis ir kaip buvo reaguojama į švelninimą ar ištaisymą. Tyrimų rezultatus registruokite rinkdami duomenis ir analizuodami, kad jie būtų prieinami pomirtiniam tyrimui.

„Būtinai apklauskite visus dalyvaujančius asmenis ir atidžiai dokumentuokite savo atsakymus“, - tęsė jis. „Išsamių ataskaitų su disko atvaizdais, taip pat informacijos apie tai, kas, kas, kur ir kada įvyko, sukūrimas padės įgyvendinti naujas ar trūkstamas rizikos mažinimo ar duomenų apsaugos priemones“.

Akivaizdu, kad tokios priemonės yra galimos teisinės pasekmės po fakto, tačiau tai nėra vienintelė priežastis ištirti išpuolį. Išsiaiškinti, kas buvo atsakingas ir kas buvo paveiktas, yra teisininkų pagrindinės žinios, ir tai tikrai turėtų būti ištirta. Bet kaip įvyko pažeidimas ir į ką buvo nukreipta, yra pagrindinė informacija IT ir jūsų apsaugos darbuotojams. Kurią perimetro dalį reikia patobulinti ir kokia jūsų duomenų dalis (matyt) yra vertinga „ne-daryk šuliniams“? Įsitikinkite, kad ištyrėte visus vertingus šio įvykio kampus ir įsitikinkite, kad tyrėjai tai žinojo nuo pat pradžių.

Jei jūsų įmonė yra per daug analogiška atlikti šią analizę savarankiškai, greičiausiai norėsite pasamdyti išorės komandą, kuri atliktų šį tyrimą už jus (kaip Sfakiyanudis minėjo anksčiau). Taip pat darykite pastabas apie paieškos procesą. Atkreipkite dėmesį, kokias paslaugas jums pasiūlė, su kokiais pardavėjais kalbėjote ir ar esate patenkinti tyrimo procesu. Ši informacija padės jums nuspręsti, ar likti pas savo pardavėją, ar pasirinkti naują pardavėją, ar pasamdyti vidaus darbuotojus, galinčius atlikti šiuos procesus, jei jūsų įmonei nepavyktų pakenkti antram pažeidimui.