किसी भी कंपनी के लिए आज के समय में हैकर्स द्वारा किए गए एक सुरक्षा घटना का होना, निश्चित रूप से, सबसे बड़े दुःस्वप्नों में से एक है। व्यवसायों पर तत्काल प्रभाव के अलावा, कानूनी और प्रतिष्ठा से जुड़ी जटिलताएँ हैं जो महीनों या वर्षों तक रह सकती हैं। ब्राज़ील में, सामान्य डेटा संरक्षण कानून (LGPD) उन आवश्यकताओं की एक श्रृंखला निर्धारित करता है जिनका पालन कंपनियों को ऐसे घटनाओं के बाद करना चाहिए।
रिपोर्ट के अनुसार, जो कि रियो ग्रांडे डो सुल के फेडरेसुल - फेडरेशन ऑफ़ बिजनेस एंटिटीज़ ऑफ़ रियो ग्रांडे डो सुल - द्वारा हाल ही में जारी किया गया है, ब्राज़ील की 40% से अधिक कंपनियों को पहले ही किसी न किसी प्रकार के साइबर हमले का सामना करना पड़ा है। हालांकि, इन कंपनियों में से कई अभी भी LGPD द्वारा निर्धारित कानूनी आवश्यकताओं को पूरा करने में कठिनाइयों का सामना कर रही हैं। राष्ट्रीय डेटा संरक्षण प्राधिकरण (ANPD) के आंकड़े दिखाते हैं कि केवल लगभग 30% संक्रमित कंपनियों ने आधिकारिक रूप से घटना की रिपोर्ट की। यह असमानता कई कारकों के कारण हो सकती है, जिनमें जागरूकता की कमी, अनुपालन प्रक्रियाओं की जटिलता और कंपनी की प्रतिष्ठा पर नकारात्मक प्रभाव के डर शामिल हैं।
घटना के बाद का दिन: पहले कदम
एक हैकिंग हमला की पुष्टि के बाद, पहली कार्रवाई घटना को नियंत्रित करना है ताकि इसकी प्रसार को रोका जा सके। यह प्रभावित प्रणालियों को अलग करना, अनधिकृत पहुंच को रोकना और क्षति नियंत्रण उपायों को लागू करना शामिल है।
समानांतर में, एक घटना प्रतिक्रिया टीम बनाना महत्वपूर्ण है, जिसमें सूचना सुरक्षा विशेषज्ञ, आईटी पेशेवर, वकील और संचार सलाहकार शामिल होने चाहिए। यह टीम उन निर्णयों के लिए जिम्मेदार होगी जो मुख्य रूप से अगले दिनों में व्यवसाय की निरंतरता से संबंधित हैं।
LGPD के अनुपालन के संदर्भ में, घटना के जवाब में की गई सभी कार्रवाइयों का दस्तावेज़ीकरण करना आवश्यक है। यह दस्तावेज़ यह प्रमाणित करेगा कि कंपनी ने कानूनी आवश्यकताओं के अनुसार कार्य किया है और इसे संभावित ऑडिट या ANPD की जांच में उपयोग किया जा सकता है।
प्रथम दिनों में, प्रतिक्रिया टीम को एक विस्तृत फोरेंसिक विश्लेषण करना चाहिए ताकि हमलावरों के स्रोत, उपयोग किए गए तरीके और समझौते की सीमा की पहचान की जा सके। यह प्रक्रिया न केवल हमले के तकनीकी पहलुओं को समझने के लिए महत्वपूर्ण है, बल्कि उन साक्ष्यों को इकट्ठा करने के लिए भी आवश्यक है जो घटना की रिपोर्टिंग के लिए आवश्यक होंगे संबंधित अधिकारियों और बीमाकर्ता को – यदि कंपनी ने साइबर बीमा कराया हो।
यहां एक बहुत महत्वपूर्ण पहलू है: फोरेंसिक विश्लेषण यह भी निर्धारित करने के लिए है कि क्या हमलावर अभी भी कंपनी के नेटवर्क के अंदर हैं – एक स्थिति जो दुर्भाग्यवश बहुत आम है, खासकर यदि घटना के बाद कंपनी किसी प्रकार के वित्तीय ब्लैकमेल का सामना कर रही हो, जिसमें अपराधियों ने संभवतः चोरी किए गए डेटा को जारी करने का धमकी दी हो।
इसके अलावा, LGPD के अनुच्छेद 48 में, डेटा नियंत्रक को राष्ट्रीय डेटा संरक्षण प्राधिकरण (ANPD) और प्रभावित डेटा धारकों को सुरक्षा घटना के बारे में सूचित करने की आवश्यकता है जो धारकों के लिए जोखिम या महत्वपूर्ण नुकसान का कारण बन सकती है। यह संचार उचित समय सीमा के भीतर किया जाना चाहिए, ANPD के विशिष्ट नियमों के अनुसार, और इसमें प्रभावित डेटा की प्रकृति, संबंधित धारकों, डेटा की सुरक्षा के लिए उपयोग की गई तकनीकी और सुरक्षा उपायों, घटना से संबंधित जोखिमों और नुकसान के प्रभावों को उलटने या कम करने के लिए उठाए गए या उठाए जाने वाले उपायों के बारे में जानकारी शामिल होनी चाहिए।
इस कानूनी आवश्यकताओं के आधार पर, प्रारंभिक विश्लेषण के तुरंत बाद, सभी जानकारी जो LGPD द्वारा उल्लिखित हैं, को शामिल करते हुए एक विस्तृत रिपोर्ट तैयार करना आवश्यक है। इसमें, फोरेंसिक विश्लेषण भी यह निर्धारित करने में मदद करता है कि क्या डेटा की चोरी और निकासी हुई है - उस सीमा तक कि अपराधी संभवतः दावा कर रहे हैं।
यह रिपोर्ट कंपनी के अनुपालन पेशेवरों और वकीलों द्वारा समीक्षा की जानी चाहिए इससे पहले कि इसे ANPD के समक्ष प्रस्तुत किया जाए। कानून भी यह निर्धारित करता है कि कंपनी प्रभावित डेटा धारकों को स्पष्ट और पारदर्शी संचार करे, घटना को समझाए, اتخاذ किए गए कदमों और व्यक्तिगत डेटा की सुरक्षा सुनिश्चित करने के लिए अगले कदमों को स्पष्ट करे।
पारदर्शिता और प्रभावी संचार, वैसे भी, सुरक्षा घटना के प्रबंधन के दौरान मौलिक स्तंभ हैं। प्रबंधन को आंतरिक और बाह्य टीमों के साथ निरंतर संचार बनाए रखना चाहिए, यह सुनिश्चित करते हुए कि सभी संबंधित पक्ष कार्रवाई की प्रगति और अगले कदमों के बारे में सूचित रहें।
सुरक्षा नीतियों का मूल्यांकन एक आवश्यक कार्रवाई है
संबंधित पक्षों के साथ संचार के साथ-साथ, कंपनी को अपनी सुरक्षा नीतियों और प्रथाओं का मूल्यांकन और समीक्षा करने की प्रक्रिया शुरू करनी चाहिए। इसमें सभी सुरक्षा नियंत्रणों, पहुंच, उच्च स्तर की पहुंच वाली क्रेडेंशियल्स की पुनर्मूल्यांकन और भविष्य की घटनाओं को रोकने के लिए अतिरिक्त उपायों को लागू करना शामिल है।
सिस्टम और प्रक्रियाओं की समीक्षा और विश्लेषण के साथ-साथ, कंपनी को सिस्टम की पुनः प्राप्ति और अपने संचालन की बहाली पर भी ध्यान केंद्रित करना चाहिए। यह सभी प्रभावित प्रणालियों की सफाई, सुरक्षा पैच लागू करना, बैकअप की पुनर्स्थापना और पहुंच नियंत्रण की पुनः मान्यता से संबंधित है। यह आवश्यक है कि प्रणालियों को पुनः संचालन में लाने से पहले पूरी तरह से सुरक्षित किया जाए।
एक बार सिस्टम फिर से संचालन में आने के बाद, एक पोस्ट-इंसिडेंट समीक्षा करना आवश्यक है ताकि सीखे गए पाठ और सुधार के क्षेत्रों की पहचान की जा सके। इस समीक्षा में सभी संबंधित भागों को शामिल करना चाहिए और एक अंतिम रिपोर्ट तैयार करनी चाहिए जो घटना के कारणों, اتخاذ किए गए उपायों, प्रभावों और भविष्य में कंपनी की सुरक्षा स्थिति को बेहतर बनाने के लिए सिफारिशों को उजागर करे।
सुरक्षा घटना के प्रबंधन में तकनीकी और संगठनात्मक कार्रवाइयों के अलावा, सुरक्षा शासन और संस्कृति के प्रति एक सक्रिय दृष्टिकोण आवश्यक है। इसमें साइबर सुरक्षा में निरंतर सुधार कार्यक्रम लागू करना और सुरक्षा और गोपनीयता को महत्व देने वाली कॉर्पोरेट संस्कृति को बढ़ावा देना शामिल है।
सुरक्षा घटना पर प्रतिक्रिया करने के लिए समन्वित और अच्छी तरह से योजना बनाई गई कार्रवाइयों का एक सेट आवश्यक है, जो LGPD की आवश्यकताओं के अनुरूप हो। प्रारंभिक नियंत्रण और हितधारकों के साथ संचार से लेकर प्रणालियों की पुनः प्राप्ति और घटना के बाद की समीक्षा तक, प्रत्येक कदम नकारात्मक प्रभावों को कम करने और कानूनी अनुपालन सुनिश्चित करने के लिए आवश्यक है। इससे भी अधिक, त्रुटियों का सामना करना और उन्हें सुधारना आवश्यक है – सबसे ऊपर, एक घटना को कंपनी की साइबर सुरक्षा रणनीति को एक नए स्तर पर ले जाना चाहिए।
