एक सुरक्षा घटना का होना जो एक हैकर हमले का परिणाम हो, वह है, बिना संदेह, आज किसी भी कंपनी के लिए सबसे बड़े दुःस्वप्नों में से एक. व्यवसायों पर तात्कालिक प्रभाव के अलावा, कानूनी और प्रतिष्ठा से जुड़ी ऐसी निहितार्थ हो सकते हैं जो महीनों या वर्षों तक बनी रह सकती हैं. ब्राजील में, आम डेटा संरक्षण अधिनियम (LGPD) एक श्रृंखला आवश्यकताओं को स्थापित करता है जिन्हें कंपनियों को ऐसे घटनाओं के होने के बाद पालन करना चाहिए
हाल ही में फेडेरासुल की एक रिपोर्ट के अनुसार – रियो ग्रांडे डो सुल के व्यापारिक संस्थाओं का संघ -, 40% से अधिक ब्राज़ीलियाई कंपनियाँ पहले ही किसी न किसी प्रकार के साइबर हमले का शिकार हो चुकी हैं. हालांकि, इनमें से कई कंपनियों को LGPD द्वारा निर्धारित कानूनी आवश्यकताओं को पूरा करने में अभी भी कठिनाइयों का सामना करना पड़ता है. राष्ट्रीय डेटा संरक्षण प्राधिकरण (ANPD) के आंकड़े बताते हैं कि केवल लगभग 30% कंपनियों ने हमले की घटना की आधिकारिक रूप से घोषणा की. यह असमानता कई कारकों को जिम्मेदार ठहराई जा सकती है, जागरूकता की कमी को शामिल करते हुए, अनुपालन प्रक्रियाओं की जटिलता और कंपनी की प्रतिष्ठा पर नकारात्मक प्रभावों के डर
घटना के बाद का दिन: पहले कदम
हैकर हमले की पुष्टि के बाद, पहला कदम घटना को रोकना है ताकि इसकी फैलाव को रोका जा सके. इसमें प्रभावित सिस्टम को अलग करना शामिल है, अनधिकृत पहुंच को रोकना और क्षति नियंत्रण के उपाय लागू करना
साथ-साथ, एक घटना प्रतिक्रिया टीम बनाना महत्वपूर्ण है, जो सूचना सुरक्षा विशेषज्ञों को शामिल करना चाहिए, आईटी पेशेवर, वकील और संचार सलाहकार. यह टीम निर्णय लेने की एक श्रृंखला के लिए जिम्मेदार होगी – मुख्यतः वे जो अगले दिनों में व्यवसाय की निरंतरता से संबंधित हैं
एलजीपीडी के अनुपालन के संदर्भ में, सभी कार्यों का दस्तावेजीकरण करना आवश्यक है जो घटना की प्रतिक्रिया के दौरान किए गए थे. यह दस्तावेज़ इस बात का प्रमाण होगा कि कंपनी ने कानूनी आवश्यकताओं के अनुसार कार्य किया और इसे ANPD द्वारा संभावित ऑडिट या जांच में उपयोग किया जा सकता है
पहले दिनों में, टीम को हमले की उत्पत्ति की पहचान के लिए एक विस्तृत फोरेंसिक विश्लेषण करना चाहिए, हैकरों द्वारा उपयोग की जाने वाली विधि और समझौते की पहुंच. यह प्रक्रिया केवल हमले के तकनीकी पहलुओं को समझने के लिए महत्वपूर्ण नहीं है, लेकिन यह भी सबूत इकट्ठा करने के लिए है जो संबंधित अधिकारियों और बीमा कंपनी को घटना की रिपोर्ट करने के लिए आवश्यक होंगे – यदि कंपनी ने साइबर बीमा कराया है
यहाँ एक बहुत महत्वपूर्ण पहलू है: फोरेंसिक विश्लेषण यह निर्धारित करने के लिए भी काम करता है कि क्या हमलावर अभी भी कंपनी के नेटवर्क के भीतर हैं – एक स्थिति जो, दुर्भाग्यवश, यह बहुत सामान्य है, और भी अधिक यदि घटना के बाद कंपनी किसी प्रकार की वित्तीय ब्लैकमेल का सामना कर रही हो जो कि उन डेटा की रिहाई के माध्यम से हो जो अपराधियों ने संभवतः चुराए हैं
इसके अलावा, एलजीपीडी, अपने लेख 48 में, यह मांग करता है कि डेटा नियंत्रक राष्ट्रीय डेटा सुरक्षा प्राधिकरण (ANPD) और प्रभावित डेटा धारकों को सुरक्षा घटना की होने की सूचना दे, जो धारकों के लिए महत्वपूर्ण जोखिम या नुकसान का कारण बन सकती है. यह संचार एक उचित समय सीमा के भीतर किया जाना चाहिए, अनुपालन विशेष नियमावली के अनुसार ANPD, और इसमें प्रभावित डेटा की प्रकृति के बारे में जानकारी शामिल होनी चाहिए, संबंधित धारक, डेटा की सुरक्षा के लिए उपयोग की जाने वाली तकनीकी और सुरक्षा उपाय, घटनाक्रम से संबंधित जोखिम और उन उपायों जो अपनाए गए हैं या अपनाए जाएंगे ताकि नुकसान के प्रभावों को पलटा या कम किया जा सके
इस कानूनी आवश्यकता के आधार पर, यह आवश्यक है, प्रारंभिक विश्लेषण के तुरंत बाद, एक विस्तृत रिपोर्ट तैयार करें जिसमें LGPD द्वारा उल्लिखित सभी जानकारी शामिल हो. इसमें, फोरेंसिक विश्लेषण यह निर्धारित करने में भी मदद करता है कि क्या डेटा की निकासी और चोरी हुई है – जिस हद तक अपराधी अंततः दावा कर रहे हैं
यह रिपोर्ट ANPD को प्रस्तुत करने से पहले अनुपालन पेशेवरों और कंपनी के वकीलों द्वारा समीक्षा की जानी चाहिए. कानून यह भी निर्धारित करता है कि कंपनी प्रभावित डेटा के धारकों को स्पष्ट और पारदर्शी संचार करे, घटना की व्याख्या करते हुए, व्यक्तिगत डेटा की सुरक्षा सुनिश्चित करने के लिए उठाए गए कदम और अगले चरण
पारदर्शिता और प्रभावी संचार, वैसे, ये सुरक्षा घटना के प्रबंधन के दौरान मौलिक स्तंभ हैं. प्रबंधन को आंतरिक और बाहरी टीमों के साथ निरंतर संचार बनाए रखना चाहिए, सुनिश्चित करना कि सभी संबंधित पक्षों को कार्यों की प्रगति और अगले चरणों के बारे में सूचित किया जाए
सुरक्षा नीतियों का मूल्यांकन एक आवश्यक कार्रवाई है
हितधारकों के साथ संचार के समानांतर, कंपनी को अपनी सुरक्षा नीतियों और प्रथाओं का मूल्यांकन और समीक्षा करने की प्रक्रिया शुरू करनी चाहिए. यह सभी सुरक्षा नियंत्रणों के पुनर्मूल्यांकन को शामिल करता है, पहुँच, उच्च स्तर की पहुँच वाले क्रेडेंशियल्स, साथ ही भविष्य में घटनाओं को रोकने के लिए अतिरिक्त उपायों को लागू करना
संबंधित प्रणालियों और प्रक्रियाओं की समीक्षा और विश्लेषण के साथ-साथ, कंपनी को ध्यान केंद्रित करना चाहिए, भी, सिस्टमों की पुनर्प्राप्ति और उनके संचालन की बहाली में. यह प्रभावित सभी प्रणालियों की सफाई से संबंधित है, सुरक्षा पैच का अनुप्रयोग, बैकअप की बहाली और पहुँच नियंत्रणों का पुनः मान्यता. यह सुनिश्चित करना आवश्यक है कि सिस्टम पूरी तरह से सुरक्षित हों इससे पहले कि उन्हें फिर से संचालन में लाया जाए
एक बार जब सिस्टम फिर से चालू हो जाएं, एक घटना के बाद की समीक्षा करना आवश्यक है ताकि सीखी गई पाठों और सुधार के क्षेत्रों की पहचान की जा सके. यह समीक्षा सभी प्रासंगिक पक्षों को शामिल करनी चाहिए और एक अंतिम रिपोर्ट का परिणाम देना चाहिए जो घटना के कारणों को उजागर करे, उठाए गए कदम, कंपनी की सुरक्षा स्थिति को भविष्य में सुधारने के लिए प्रभाव और सिफारिशें
तकनीकी और संगठनात्मक कार्यों के अलावा, एक सुरक्षा घटना का प्रबंधन सुरक्षा शासन और संस्कृति के प्रति एक सक्रिय दृष्टिकोण की आवश्यकता होती है. यह साइबर सुरक्षा में निरंतर सुधार कार्यक्रम के कार्यान्वयन और एक कॉर्पोरेट संस्कृति को बढ़ावा देने को शामिल करता है जो सुरक्षा और गोपनीयता को महत्व देती है
एक सुरक्षा घटना पर प्रतिक्रिया के लिए समन्वित और अच्छी तरह से योजनाबद्ध कार्रवाईयों का एक सेट की आवश्यकता होती है, LGPD की आवश्यकताओं के अनुसार संरेखित. प्रारंभिक रोकथाम और हितधारकों के साथ संचार से लेकर सिस्टम की पुनर्प्राप्ति और घटना के बाद की समीक्षा तक, हर कदम नकारात्मक प्रभावों को कम करने और कानूनी अनुपालन सुनिश्चित करने के लिए आवश्यक है. इससे ज्यादा, सामने की गलतियों को देखना और उन्हें सुधारना आवश्यक है – सबसे ऊपर, एक घटना को कंपनी की साइबर सुरक्षा रणनीति को एक नए स्तर पर ले जाना चाहिए
