התרחשות של אירוע אבטחה שמביאה לפריצה של האקר היא, בלי ספק, אחד הסיוטים הגדולים ביותר עבור כל חברה היום. מלבד ההשפעה המיידית על העסקים, יש השלכות משפטיות ומוניטין שיכולות להימשך חודשים או אפילו שנים. בברזיל, חוק הגנת הפרטיות הכללי (LGPD) קובע סדרת דרישות שעל חברות לעמוד בהן לאחר התרחשותם של מקרים כאלה
על פי דוח עדכני של פדרסול – פדרציה של ישויות עסקיות של ריו גרנדה do סול -, יותר מ-40% מהחברות הברזילאיות כבר היו יעד לסוג כלשהו של התקפה סייבר. עם זאת, רבות מהחברות הללו עדיין מתמודדות עם קשיים לעמוד בדרישות החוקיות שנקבעו על ידי ה-LGPD. נתוני הרשות הלאומית להגנת נתונים (ANPD) מגלים כי רק כ-30% מהחברות שנפרצו דיווחו באופן רשמי על המקרה. ההבדל הזה יכול להיות מיוחס לגורמים שונים, כולל את חוסר המודעות, המורכבות של תהליכי הציות והפחד מהשלכות שליליות על המוניטין של החברה
היום שאחרי האירוע: צעדים ראשונים
לאחר אישור של פריצה על ידי האקר, הצעד הראשון הוא לבלום את האירוע כדי למנוע את התפשטותו. זה כולל בידוד של המערכות המושפעות, להפסיק גישה לא מורשית וליישם אמצעי בקרה על נזקים
במקביל, חשוב להקים צוות תגובה לאירועים, שעליהם לכלול מומחים לאבטחת מידע, מקצועני IT, עורכי דין ויועצי תקשורת. הצוות הזה יהיה אחראי על סדרה של החלטות – בעיקר אלו שמעורבות בהמשך הפעילות בימים הבאים
במונחים של עמידה ב-LGPD, יש לתעד את כל הפעולות שננקטו במהלך התגובה לאירוע. מסמכים אלה ישמשו כהוכחה שהחברה פעלה בהתאם לדרישות החוקיות וניתן יהיה להשתמש בהם בביקורות או חקירות עתידיות על ידי ה-ANPD
בימים הראשונים, צוות התגובה צריך לבצע ניתוח פורנזי מפורט כדי לזהות את מקור החדירה, השיטה שבה השתמשו ההאקרים וההיקף של הפגיעה. תהליך זה חיוני לא רק כדי להבין את ההיבטים הטכניים של ההתקפה, אך גם כדי לאסוף ראיות שיהיו נחוצות לדווח על המקרה לרשויות המוסמכות וגם לחברת הביטוח – אם החברה עשתה ביטוח סייבר
יש כאן אספקט מאוד חשוב: הניתוח הפורנזי גם משמש לקביעת אם התוקפים עדיין נמצאים בתוך הרשת של החברה – מצב ש, לצערי, זה מאוד נפוץ, עוד יותר אם לאחר האירוע החברה סובלת מסוג כלשהו של סחיטה כספית בעקבות שחרור נתונים שהפושעים יכלו לגנוב
בנוסף לכך, ה-LGPD, במאמר 48 שלו, מחייב את controlador de dados להודיע לרשות הלאומית להגנת נתונים (ANPD) ולבעלי הנתונים המושפעים על התרחשות של אירוע אבטחה שעשוי לגרום לסיכון או נזק משמעותי לבעלי הנתונים. התקשורת הזו צריכה להתבצע בתוך פרק זמן סביר, בהתאם לרגולציה ספציפית של ה-ANPD, וזה צריך לכלול מידע על טבע הנתונים המושפעים, הנושאים המעורבים, הצעדים הטכניים והביטחוניים שננקטים להגנה על הנתונים, הסיכונים הקשורים לאירוע והצעדים שננקטו או שיינקטו כדי להפוך או להקל על השפעות הנזק
בהתבסס על דרישה חוקית, זה חיוני, מיד לאחר הניתוח הראשוני, להכין דוח מפורט שיכלול את כל המידע שהוזכר על ידי ה-LGPD. בזה, הניתוח הפורנזי גם עוזר לקבוע אם הייתה הוצאת נתונים וגניבה שלהם – במידה שהפושעים עשויים לטעון
דו"ח זה חייב להיבדק על ידי אנשי מקצוע בתחום הציות ועורכי הדין של החברה לפני שיגישו אותו ל-ANPD. החקיקה קובעת גם שהחברה תבצע תקשורת ברורה ושקופה עם בעלי הנתונים המושפעים, מסביר את המתרחש, הצעדים שננקטו והשלבים הבאים כדי להבטיח את הגנת המידע האישי
שקיפות ותקשורת אפקטיבית, אגב, הם עמודים בסיסיים במהלך ניהול אירוע אבטחה. הניהול צריך לשמור על תקשורת מתמדת עם הצוותים הפנימיים והחיצוניים, מבטיח שכל הצדדים המעורבים יהיו מעודכנים על התקדמות הפעולות ושלבי ההמשך
הערכה של מדיניות הביטחון היא פעולה נחוצה
במקביל לתקשורת עם בעלי העניין, החברה צריכה להתחיל בתהליך של הערכה ובחינה של המדיניות והפרקטיקות שלה בתחום הביטחון. זה כולל את הערכת מחדש של כל בקרי האבטחה, גישה, הסמכות עם רמת גישה גבוהה, כמו גם יישום אמצעים נוספים למניעת תקריות עתידיות
במקביל לבחינה ולניתוח של מערכות ותהליכים מושפעים, החברה צריכה להתמקד, גם, בשיקום המערכות ובשחזור הפעולות שלהן. זה כולל את ניקוי כל המערכות המושפעות, החלת תיקוני אבטחה, שחזור גיבויים ואימות מחדש של בקרות גישה. חשוב להבטיח שהמערכות יהיו בטוחות לחלוטין לפני שיחזרו לפעולה
ברגע שהמערכות יהיו שוב פועלות, יש צורך לערוך סקירה לאחר אירוע כדי לזהות לקחים שנלמדו ואזורי שיפור. סקירה זו צריכה לכלול את כל הצדדים הרלוונטיים ולהניב דוח סופי שידגיש את הסיבות לאירוע, הצעדים שננקטו, ההשפעות וההמלצות לשיפור עמדת האבטחה של החברה בעתיד
מלבד הפעולות הטכניות והארגוניות, ניהול של אירוע אבטחה דורש גישה פרואקטיבית ביחס לממשלת הארגון ולתרבות האבטחה. זה כולל את יישום תוכנית מתמשכת לשיפורים באבטחת סייבר וקידום תרבות ארגונית שמעריכה את האבטחה והפרטיות
התגובה לאירוע אבטחה דורשת סט של פעולות מתואמות ומתוכננות היטב, מכוונות לדרישות ה-LGPD. מכיוון ההגבלה הראשונית ותקשורת עם בעלי העניין ועד לשחזור המערכות ולסקירה שלאחר האירוע, כל צעד הוא חיוני כדי למזער את ההשפעות השליליות ולהבטיח את הציות החוקי. יותר מזה, צריך להסתכל ישירות על הכשלים ולתקן אותם – מעל לכל, אירוע צריך להעלות את אסטרטגיית הסייבר של החברה לרמה חדשה
