Forekomsten af en sikkerhedsincident der resulterer i en hackerindtrængning er, uden tvivl, et af de største mareridt for enhver virksomhed i dag. Ud over den umiddelbare effekt på forretningerne, der er juridiske og reputationsmæssige implikationer der kan vare ved i måneder eller endda år. I Brasil, den Generelle Databeskyttelseslov (LGPD) fastsætter en række krav som virksomhederne skal følge efter at sådanne hændelser har fundet sted
I henhold til en nylig rapport af Federasul – Forening af Erhvervsorganisationer i Rio Grande do Sul -, mere end 40% af brasilianske virksomheder har allerede været mål for en eller anden form for cyberangreb. Imidlertid, mange af disse virksomheder står stadig over for vanskeligheder med at opfylde de juridiske krav fastsat af LGPD. Data fra den Nationale Databeskyttelsesmyndighed (ANPD) afslører at kun omkring 30% af de hackede virksomheder har erklæret officielt hændelsen af incidenten. Denne uoverensstemmelse kan tilskrives til flere faktorer, herunder manglen på bevidsthedsevne, kompleksiteten af overensstemmelsesprocesserne og frygten for negative repercussioner på virksomhedens omdømme
Dagen efter hændelsen: første skridt
Efter bekræftelsen af en hacker indbrud, den første foranstaltning er at begrænse hændelsen for at forhindre dens spredning. Det omfatter isolere de berørte systemer, stoppe den uautoriserede adgang og implementere skadekontrollforanstaltninger
Parallelt, det er vigtigt at samle et team til respons på hændelser, som skal inkludere eksperter i informationssikkerhed, IT-fagfolk, advokater og kommunikationskonsulenter. Dette team vil være den ansvarlige for en række beslutningstagningsprocesser – især de der involverer kontinuiteten af forretningen i de følgende dage
I forhold til overensstemmelse med LGPD, der skal dokumenteres alle de handlinger taget under responsen til hændelsen. Denne dokumentation vil tjene som bevis for at virksomheden har handlet i overensstemmelse med de juridiske krav og kan bruges i eventuelle audits eller undersøgelser af ANPD
I de første dage, responsteamet skal udføre en detaljeret retsmedicinsk analyse for at identificere oprindelsen af indtrængningen, den metode brugt af hackerne og omfanget af kompromisset. Denne proces er vital ikke kun for at forstå de tekniske aspekter af angrebet, men også for at indsamle beviser der vil være nødvendige for at rapportere hændelsen til de kompetente myndigheder og også til forsikrings – hvis virksomheden har taget en kybernet forsikring
Der er her et meget vigtigt aspekt: den retslige analyse tjener også til at fastslå om angriberne stadig er inden for virksomhedens netværk – en situation som, desværre, er meget almindeligt, endnu mere hvis efter hændelsen virksomheden er underkastet nogen form for finansiel afpresning gennem frigivelsen af data som kriminelle har eventuelt stjålet
Derudover, den LGPD, i dens artikel 48, kræver at datakontrolleren meddeler den Nationale Databeskyttelsesmyndighed (ANPD) og de berørte databeholdere om forekomsten af en sikkerhedsincident der kan medføre risiko eller skade relevant for databeholderne. Denne meddelelse skal foretages inden for rimelig tid, ifølge specifik regulering af ANPD, og skal omfatte oplysninger om arten af dataene påvirket, de indehavere involveret, de tekniske og sikkerhedsmæssige foranstaltninger brugt til databeskyttelsen, de risici relateret til hændelsen og de foranstaltninger der er blevet eller der vil blive truffet for at reversere eller mindske virkningerne af skaden
På grundlag af dette juridiske krav, det er essentielt, lige efter den oprindelige analyse, udarbejde en detaljeret rapport der indeholder alle de oplysninger nævnt af LGPD. I det, den retslige analyse hjælper også med at fastslå om der blev udvinding og tyveri af data – i den udstrækning at kriminelle eventuelt er ved at påstå
Denne rapport skal revideres af professionelle compliance og af virksomhedens advokater før end den indsendes til ANPD. Lovgivningen bestemmer også at virksomheden gør den klare og transparente meddelelse til indehaverne af de data der berøres, forklarerende hvad forekommet, de foranstaltninger taget og de næste skridt for at sikre beskyttelsen af de personlige data
Den gennemsigtighed og den effektive kommunikation, for øvrigt, er grundlæggende søjler under forvaltningen af en sikkerhedsincident. Ledelsen skal opretholde en konstant kommunikation med de interne og eksterne teams, sikre at alle de involverede parter er informeret om fremskridtene i handlingerne og de næste skridt
Evaluering af sikkerhedspolitikker er en nødvendig handling
Parallelt med kommunikationen med de interesserede parter, virksomheden skal påbegynde en proces med vurdering og revision af sine sikkerhedspolitikker og praksis. Dette omfatter omvurderingen af alle sikkerhedskontroller, adganger, credentials med højt niveau af adgang, samt implementeringen af yderligere foranstaltninger for at forebygge fremtidige hændelser
I parallelt med gennemgangen og analysen af systemer og processer påvirket, virksomheden skal fokusere, også, i genoprettelsen af systemerne og i genoprettelsen af deres operationer. Det involverer rensningen af alle de ramte systemer, anvendelsen af sikkerhedspatcher, restaureringen af backups og revalideringen af adgangskontroller. Det er afgørende sikre at systemerne er fuldstændig sikre før de lægges tilbage i drift
En gang at systemerne er igen operationelle, er der brug for at gennemføre en post-hendelses gennemgang for at identificere lektioner lært og områder af forbedring. Denne gennemgang skal involvere alle de relevante parter og resultere i en endelig rapport der fremhæver årsagerne til hændelsen, de foranstaltninger taget, de påvirkninger og anbefalingerne for at forbedre virksomhedens sikkerhedsstilling i fremtiden
Ud over de tekniske og organisatoriske aktioner, håndteringen af en sikkerhedsincident kræver en proaktiv tilgang i forhold til governance og sikkerhedskulturen. Dette omfatter implementeringen af et kontinuerligt program af forbedringer i cybersikkerhed og fremme af en korporativ kultur, der værdsætter sikkerheden og privatlivet
Reaktionen på en sikkerhedsincident kræver en række koordinerede og velplanlagte handlinger, alignede med kravene i LGPD. Fra den oprindelige containment og kommunikationen med de interesserede parter til genoprettelsen af systemerne og overvejelsen efter hændelsen, hvert skridt er afgørende for at minimere de negative impacts og sikre den juridiske overensstemmelse. Mere end dette, er nødvendigt at se på fejlene foran sig og rette dem – overalt, en hændelse skal tage virksomhedens cybersikkerhedsstrategi til et nyt niveau
