Atsakymo į pažeidimus planavimas

Duomenų pažeidimas gali uždaryti jūsų įmonę kritiniu laikotarpiu, kartais visam laikui; tai neabejotinai gali kelti pavojų jūsų finansinei ateičiai ir tam tikrais atvejais netgi gali jus nunešti į kalėjimą. Bet nė vienas iš jų neturi atsitikti, nes jei teisingai suplanuosite, jūs ir jūsų įmonė gali atsigauti ir tęsti veiklą, kartais per kelias minutes. Galų gale viskas priklauso nuo planavimo.

Praėjusią savaitę diskutavome, kaip pasiruošti duomenų pažeidimui. Darant prielaidą, kad tai padarėte anksčiau nei įvyko jūsų pažeidimas, kiti jūsų žingsniai yra pagrįsti. Bet vienas iš tų pasirengimo žingsnių buvo sudaryti planą ir jį išbandyti. Ir taip, tam prireiks nemažai darbo.

Skirtumas tas, kad išankstiniu planavimu, padarytu prieš bet kokį pažeidimą, siekiama sumažinti žalą. Po pažeidimo plane reikia sutelkti dėmesį į atkūrimo procesą ir spręsti su problemomis susijusius padarinius, darant prielaidą, kad tokių yra. Atminkite, kad jūsų bendras tikslas, kaip ir iki pažeidimo, yra sumažinti pažeidimo poveikį jūsų įmonei, darbuotojams ir klientams.

Plaukimo planavimas

Atkūrimo planavimą sudaro dvi pagrindinės kategorijos. Pirmiausia reikia nustatyti pažeidimo padarytą žalą ir įsitikinti, kad grėsmė iš tikrųjų pašalinta. Antrasis - rūpinimasis finansine ir teisine rizika, kylančia dėl duomenų pažeidimo. Ateityje jūsų organizacijos sveikata yra vienodai svarbi.

„Atstatymas yra pagrindinis veiksnys atkuriant“, - sakė Seanas Blenkhornas, sprendimų inžinerijos ir patariamųjų tarnybų, valdomų apsaugos ir reagavimo paslaugų teikėjo „eSentire“, viceprezidentas. "Kuo greičiau aptinkame grėsmę, tuo geriau ją galime suvaldyti".

Blenkhornas teigė, kad grėsmės buvimas gali skirtis priklausomai nuo to, kokia grėsmė yra. Pvz., Išpirkos programinės įrangos atveju tai gali reikšti naudojimąsi jūsų valdomos baigties apsaugos platforma, kad būtų galima atskirti kenkėjišką programą kartu su bet kokiomis antrinėmis infekcijomis, kad ji negalėtų plisti, ir tada ją pašalinti. Tai taip pat gali reikšti naujų strategijų įgyvendinimą, taigi ateityje bus užkirstas kelias pažeidimams, pavyzdžiui, tarptinklinio ryšio ir nuotolinio darbo vartotojams aprūpinti asmeninėmis virtualiojo privataus tinklo (VPN) paskyromis.

Tačiau kitų rūšių grėsmėms gali prireikti kitokios taktikos. Pvz., Ataka, kuria siekiama gauti finansinės informacijos, intelektinės nuosavybės (IP) ar kitų jūsų įmonės duomenų, nebus tvarkoma taip pat, kaip išpirkos programinės įrangos ataka. Tokiais atvejais gali tekti surasti ir pašalinti įėjimo kelią, o jums reikės rasti būdą, kaip sustabdyti komandos ir valdymo pranešimus. Tam, savo ruožtu, reikės stebėti ir valdyti tų pranešimų tinklo srautą, kad galėtumėte pamatyti, iš kur jie kilę ir kur jie siunčia duomenis.

„Užpuolikai turi pirmąjį pranašumą“, - teigė Blenkhornas. "Jūs turite ieškoti anomalijų".

Šios anomalijos nukels jus į šaltinį, paprastai serverį, teikiantį prieigą arba teikiantį filtravimą. Tai sužinoję, galite pašalinti kenkėjiškas programas ir atkurti serverį. Tačiau „Blenkhorn“ perspėja, kad gali tekti perdaryti serverio atvaizdą, kad būtumėte tikri, jog kenkėjiškų programų tikrai nėra.

Pažeidimų atkūrimo žingsniai

Blenkhornas teigė, kad planuojant pažeidimo atkūrimą reikia atsiminti tris papildomus dalykus:

1. Pažeidimas yra neišvengiamas,
2. Vien tik technologijos problemos neišspręs ir
3. Turite manyti, kad tai grėsmė, kurios jūs dar niekada nematėte.

Tačiau pašalinę grėsmę atlikote tik pusę atkūrimo. Kita pusė gina patį verslą. Pasak kibernetinio draudimo paslaugų teikėjo „CyberPolicy“ vyresniojo produkto direktoriaus Ario Varedo, tai reiškia, kad iš anksto pasiruošite savo atkūrimo partneriams.

„Tai yra tas atvejis, kai turėdamas kibernetinio atkūrimo planą, gali išgelbėti verslą“, - elektroniniame el. Laiške Varedas pasakojo PCMag. "Tai reiškia, kad turite įsitikinti, kad jūsų teisėta komanda, duomenų kriminalistikos komanda, viešųjų ryšių komanda ir pagrindiniai darbuotojai iš anksto žino, ką reikia daryti, jei įvyksta pažeidimų."

Pirmasis žingsnis reiškia iš anksto identifikuoti savo atkūrimo partnerius, informuoti juos apie savo planą ir imtis visų būtinų veiksmų, kad būtų išsaugotos jų paslaugos pažeidimo atveju. Tai atrodo labai didelė administracinė našta, tačiau Varedas išvardijo keturias svarbias priežastis, dėl kurių procesas vertas pastangų:

1. Jei reikia neatskleidimo ir konfidencialumo sutarčių, su jomis galima susitarti iš anksto kartu su mokesčiais ir kitomis sąlygomis, kad neprarastumėte laiko po kibernetinės atakos bandydami derėtis su nauju pardavėju.
2. Jei turite kibernetinį draudimą, tada jūsų agentūra gali turėti jau nustatytų konkrečių partnerių. Tokiu atveju norėsite naudoti šiuos išteklius, kad užtikrintumėte išlaidas pagal politiką.
3. Jūsų kibernetinio draudimo paslaugų teikėjas gali turėti gaires dėl sumos, kurią jis nori padengti tam tikrais aspektais, o mažo ir vidutinio verslo (SVV) savininkas norės įsitikinti, ar pardavėjo mokesčiai patenka į šias gaires.
4. Kai kurios kibernetinio draudimo bendrovės turės reikiamus atkūrimo partnerius, todėl tai bus pagrindinis sprendimas verslo savininkui, nes santykiai jau užmegzti, o paslaugos bus automatiškai įtrauktos į politiką.

Teisinių ir kriminalistinių klausimų sprendimas

Varedas teigė, kad jūsų legali komanda ir teismo ekspertų komanda yra labai svarbūs po išpuolio. Teismo medicinos komanda žengs pirmuosius pasveikimo žingsnius, kaip nurodė Blenkhornas. Kaip rodo vardas, ši komanda yra skirta išsiaiškinti, kas nutiko ir, dar svarbiau, kaip. Tai nėra kaltės priskyrimas; tai turi nustatyti pažeidžiamumą, kuris leido padaryti pažeidimą, kad galėtumėte jį prijungti. Tai svarbu atskirti su darbuotojais prieš atvykstant teismo ekspertų komandai, kad būtų išvengta nereikalingo elgesio ar rūpesčių.

Varedas pažymėjo, kad teisėta komanda, atsakanti į pažeidimą, tikriausiai nebus tie patys žmonės, kurie tvarko tradicines teisines jūsų verslo užduotis. Jie veikiau bus specializuota grupė, turinti patirties sprendžiant kibernetinių išpuolių padarinius. Ši komanda gali jus apginti nuo bylų, kylančių dėl pažeidimo, bendrauti su reguliuotojais ar net vesti derybas su elektroniniais vagiais ir jų išpirka.

Tuo tarpu jūsų PR komanda dirbs su jūsų legalia komanda, kad tvarkytų pranešimų reikalavimus, bendrautų su klientais, kad paaiškintų pažeidimą ir jūsų atsakymą, ir galbūt netgi paaiškins tą pačią informaciją žiniasklaidai.

Galiausiai, atlikę veiksmus, reikalingus atsigauti po pažeidimo, turėsite surinkti tas komandas kartu su C lygio vadovais ir surengti posėdį po veiksmų ir pranešti. Vėlesnio veiksmo ataskaita yra labai svarbi norint paruošti jūsų organizaciją kitam pažeidimui, nustatant, kas įvyko teisingai, kas blogai ir ką būtų galima padaryti, kad kitą kartą pagerintumėte jūsų reakciją.

Savo plano išbandymas

• 6 Duomenys, kurių nereikia daryti po duomenų pažeidimo
• Duomenų pažeidimai - kompromisiniai 4, 5 milijardo įrašų - per 2018 m. Pirmąjį pusmetį
• „Cathay Pacific“ atskleidžia duomenų pažeidimus, turinčius įtakos 9, 4 mln. Keleivių

Visa tai daro prielaidą, kad jūsų planas buvo gerai apgalvotas ir tinkamai įgyvendintas blogo dalyko atveju. Deja, tai niekada nėra saugi prielaida. Vienintelis būdas pagrįstai įsitikinti, kad jūsų planas turi bet kokią sėkmės galimybę, yra jį praktikuoti, kai tik jis bus parengtas. Specialistai, kuriuos pasamdėte ir kurie kibernetines atakas vertina kaip įprastus įvykius jų versle, nesuteiks jums daug pasipriešinimo įgyvendinant savo planą - jie prie to įpratę ir greičiausiai tikisi. Bet kadangi jie yra pašaliečiai, turėsite įsitikinti, kad jie suplanuoti praktikai, ir greičiausiai turėsite jiems sumokėti už savo laiką. Tai reiškia, kad svarbu į tai atsižvelgti ne tik kartą, bet ir reguliariai.

Tai, kaip reguliariai dirbama, priklauso nuo to, kaip vidiniai darbuotojai reaguoja į pirmąjį jūsų testą. Jūsų pirmasis testas beveik neabejotinai žlugs kai kuriais ar galbūt visais aspektais. To reikia tikėtis, nes šis atsakymas daugeliui bus daug sudėtingesnis ir apsunkinantis nei paprastas gaisrinis gręžtuvas. Tai, ką turite padaryti, yra įvertinti šios nesėkmės sunkumą ir naudoti ją kaip pagrindą nusprendžiant, kaip dažnai ir kokiu mastu jums reikia praktikuoti savo atsakymą. Atminkite, kad gaisro pratybos yra skirtos katastrofai, kurios dauguma verslininkų niekada nepatirs. Jūsų kibernetinės atakos treniruotė skirta katastrofai, kurios tam tikru metu praktiškai neišvengiama.