Tietoturvaloukkauksen tapahtuminen, joka johtaa hakkerihyökkäykseen, on epäilemättä yksi suurimmista painajaisista mille tahansa yritykselle tänään. Liiketoiminnan välittömän vaikutuksen lisäksi on oikeudellisia ja maineeseen liittyviä seurauksia, jotka voivat kestää kuukausia tai jopa vuosia. Brasiliassa yleinen tietosuojalaki (LGPD) asettaa joukon vaatimuksia, joita yritysten on noudatettava tällaisien tapausten jälkeen.
Äskettäisen Federasul - Rio Grande do Sul'n yritysorganisaatioiden liiton - raportin mukaan yli 40 % brasilialaisista yrityksistä on jo joutunut jonkinlaisen kyberhyökkäyksen kohteeksi. Kuitenkin monet näistä yrityksistä kohtaa edelleen vaikeuksia täyttää LGPD:n asettamia oikeudellisia vaatimuksia. Tietosuojaviranomaisen (ANPD) tiedot paljastavat, että vain noin 30 % hakkeroiduista yrityksistä ilmoitti virallisesti tapahtuneesta incidentistä. Tämä ero johtuu useista tekijöistä, mukaan lukien tietoisuuden puute, vaatimustenmukaisuusprosessien monimutkaisuus ja pelko yrityksen maineen mahdollisista negatiivisista seurauksista.
Päivä tapahtuman jälkeen: ensimmäiset askeleet
Vahvistettua hakkerihyökkäyksen, ensimmäinen toimenpide on rajoittaa tapahtuma estääkseen sen leviämisen. Tämä sisältää vaikuttavien järjestelmien eristämisen, luvattoman pääsyn katkaisemisen ja vahinkojen hallintatoimenpiteiden toteuttamisen.
Samanaikaisesti on tärkeää muodostaa incidenttien vastausryhmä, johon tulisi kuulua tietoturva-asiantuntijoita, IT-ammattilaisia, juristeja ja viestintäkonsultteja. Tämä tiimi vastaa useista päätöksistä – erityisesti niistä, jotka liittyvät liiketoiminnan jatkuvuuteen seuraavina päivinä.
LGPD:n noudattamisen osalta on dokumentoitava kaikki toimenpiteet, jotka on toteutettu tapahtuman jälkeen. Tämä dokumentaatio toimii todisteena siitä, että yritys toimi lain vaatimusten mukaisesti ja sitä voidaan käyttää mahdollisissa tarkastuksissa tai tutkimuksissa ANPD:n toimesta.
Ensimmäisinä päivinä vastausryhmän tulee suorittaa perusteellinen forensiikkatarkastelu tunnistaakseen hyökkäyksen alkuperän, hakkereiden käyttämän menetelmän ja vahingoittuneen alueen laajuuden. Tämä prosessi on elintärkeä ei vain hyökkäyksen teknisten näkökohtien ymmärtämiseksi, vaan myös todisteiden keräämiseksi, jotka ovat tarpeen tapauksen raportoinnissa asianomaisille viranomaisille ja vakuutusyhtiölle – mikäli yritys on ottanut kyberturvavakuutuksen.
Täällä on erittäin tärkeä näkökulma: forensiikkatarkastelu auttaa myös määrittämään, ovatko hyökkääjät edelleen yrityksen verkossa – tilanne, joka valitettavasti on hyvin yleinen, varsinkin jos tapauksen jälkeen yritys kokee jonkinlaista taloudellista kiristystä tietojen vapauttamisesta, jotka rikolliset ovat mahdollisesti varastaneet.
Lisäksi LGPD:n 48. artikla vaatii, että tietojen käsittelijä ilmoittaa Kansalliselle tietosuojaviranomaiselle (ANPD) ja kyseisten tietojen rekisteröidyille turvallisuusloukkauksesta, joka voi aiheuttaa riskiä tai merkittävää vahinkoa rekisteröidyille. Tämä ilmoitus on tehtävä kohtuullisessa määräajassa, kuten ANPD:n erityismääräyksissä säädetään, ja siihen on sisällyttävä tiedot vaikuttaneiden tietojen luonteesta, osallisista rekisteröidyistä, käytetyistä teknisistä ja turvallisuustoimenpiteistä tietojen suojaamiseksi, liittyvistä riskeistä sekä toimenpiteistä, jotka on toteutettu tai tullaan toteuttamaan vahingon vaikutusten kääntämiseksi tai lieventämiseksi.
Perustuen tähän lakiin, on välttämätöntä heti alkuperäisen analyysin jälkeen laatia yksityiskohtainen raportti, joka sisältää kaikki LGPD:n mainitsemat tiedot. Tässä forensiikkatarkastelu auttaa myös selvittämään, onko tietoja mahdollisesti viety ja varastettu – siinä määrin kuin rikolliset mahdollisesti väittävät.
Tämä raportti on tarkistettava vaatimustenmukaisuuden ammattilaisten ja yrityksen lakimiesten toimesta ennen kuin se toimitetaan ANPD:lle. Lainsäädäntö edellyttää myös, että yritys tekee selkeän ja läpinäkyvän ilmoituksen kyseisten tietojen omistajille, selittäen tapahtuneen, tehdyt toimenpiteet ja seuraavat askeleet henkilötietojen suojelemiseksi.
Läpinäkyvyys ja tehokas viestintä ovatkin keskeisiä pilareita turvallisuuspoikkeaman hallinnassa. Johtamisen tulee ylläpitää jatkuvaa viestintää sisäisten ja ulkoisten tiimien kanssa varmistaakseen, että kaikki osapuolet ovat tietoisia toimien edistymisestä ja seuraavista vaiheista.
Turvallisuuspolitiikan arviointi on tarpeellinen toimi
Samanaikaisesti sidosryhmien kanssa tapahtuvan viestinnän kanssa yrityksen tulisi aloittaa turvallisuuspolitiikoidensa ja käytäntöjensä arviointi- ja tarkistusprosessi. Tämä sisältää kaikkien turvallisuusvalvontojen, pääsyoikeuksien, korkeatasoisten tunnusten uudelleenarvioinnin sekä lisätoimenpiteiden toteuttamisen tulevien tapausten ehkäisemiseksi.
Samaan aikaan järjestelmien ja prosessien tarkistuksen ja analyysin kanssa yrityksen tulisi myös keskittyä järjestelmien palauttamiseen ja toimintojensa palauttamiseen. Tämä sisältää kaikkien vaikuttavien järjestelmien puhdistamisen, tietoturvapäivitysten soveltamisen, varmuuskopioiden palauttamisen ja pääsynvalvonnan uudelleentarkistamisen. On tärkeää varmistaa, että järjestelmät ovat täysin turvallisia ennen kuin ne otetaan uudelleen käyttöön.
Kun järjestelmät ovat jälleen toimintakunnossa, on suoritettava jälkikäteinen katsaus oppimiskohteiden ja parannusalueiden tunnistamiseksi. Tämä katsaus tulisi kattaa kaikki asiaankuuluvat osat ja johtaa lopulliseen raporttiin, joka korostaa tapahtuman syitä, toteutettuja toimenpiteitä, vaikutuksia ja suosituksia yrityksen turvallisuusaseman parantamiseksi tulevaisuudessa.
Lisäksi tekniset ja organisatoriset toimet, tietoturvatapahtuman hallinta vaatii proaktiivista lähestymistapaa hallintoon ja tietoturvakulttuuriin. Tämä sisältää jatkuvan kyberturvallisuuden parantamisohjelman toteuttamisen ja yrityskulttuurin edistämisen, joka arvostaa turvallisuutta ja yksityisyyttä.
Turvallisuuslaitteen reaktio vaatii koordinoitujen ja hyvin suunniteltujen toimenpiteiden sarjan, jotka ovat linjassa LGPD:n vaatimusten kanssa. Alkuperäisen torjunnan ja sidosryhmien kanssa kommunikoinnin sekä järjestelmien palauttamisen ja jälkiarvioinnin vaiheissa jokainen askel on välttämätön negatiivisten vaikutusten minimoimiseksi ja oikeudellisen vaatimusten täyttämiseksi. Enemmänkin, on tärkeää kohdata puutteet suoraan ja korjata ne – ennen kaikkea, yksi tapaus tulisi viedä yrityksen kyberturvallisuusstrategia uudelle tasolle.
