Dan nakon hakerskog napada: saznajte što tvrtka treba prioritetizirati

Pojava sigurnosnog incidenta koji rezultira hakerskim napadom nedvojbeno je jedna od najvećih noćnih mora za svaku tvrtku danas. Osim izravnog utjecaja na poslovanje, postoje pravne i reputacijske implikacije koje mogu trajati mjesecima, pa čak i godinama. U Brazilu, Opći zakon o zaštiti podataka (LGPD) uspostavlja niz zahtjeva koje tvrtke moraju slijediti nakon takvih incidenata.

Prema nedavnom izvješću Federasul – Federacije poslovnih entiteta Rio Grande do Sula – više od 40% brazilskih tvrtki već je bilo meta neke vrste kibernetičkog napada. Međutim, mnoge se od tih tvrtki još uvijek suočavaju s poteškoćama u ispunjavanju zakonskih zahtjeva utvrđenih LGPD-om. Podaci Nacionalnog tijela za zaštitu podataka (ANPD) otkrivaju da je samo oko 30% napadnutih tvrtki službeno prijavilo incident. Ovo se neslaganje može pripisati različitim čimbenicima, uključujući nedostatak svijesti, složenost procesa usklađivanja i strah od negativnih posljedica za ugled tvrtke.

Dan nakon incidenta: prvi koraci

Nakon potvrde hakerskog napada, prva mjera je suzbiti incident kako bi se spriječilo njegovo širenje. To uključuje izoliranje pogođenih sustava, prekid neovlaštenog pristupa i provođenje mjera kontrole štete.

Paralelno je važno okupiti tim za odgovor na incidente, koji bi trebao uključivati stručnjake za informacijsku sigurnost, IT stručnjake, odvjetnike i komunikacijske savjetnike. Taj će tim biti odgovoran za niz donošenja odluka – posebno onih koje uključuju kontinuitet poslovanja u sljedećim danima.

U smislu usklađenosti s Općom uredbom o zaštiti osobnih podataka (LGPD), potrebno je dokumentirati sve poduzete radnje tijekom odgovora na incident. Ta će dokumentacija služiti kao dokaz da je tvrtka postupala u skladu sa zakonskim zahtjevima i može se koristiti u eventualnim revizijama ili istragama od strane Nacionalnog tijela za zaštitu podataka (ANPD).

U prvim danima, tim za odgovor mora provesti detaljnu forenzičku analizu kako bi identificirao podrijetlo provale, metodu koju su koristili hakeri i opseg kompromitacije. Ovaj je proces ključan ne samo za razumijevanje tehničkih aspekata napada, već i za prikupljanje dokaza koji će biti potrebni za prijavu incidenta nadležnim tijelima i osiguravajućem društvu – u slučaju da je tvrtka imala kibernetičko osiguranje.

Ovdje postoji vrlo važan aspekt: forenzička analiza također služi za utvrđivanje jesu li napadači još uvijek unutar mreže tvrtke – situacija koja je, nažalost, vrlo česta, pogotovo ako nakon incidenta tvrtka trpi neku vrstu financijske ucjene za oslobađanje podataka koje su kriminalci eventualno ukrali.

Osim toga, LGPD, u svom članku 48., zahtijeva od voditelja obrade podataka da obavijesti Nacionalno tijelo za zaštitu podataka (ANPD) i pogođene vlasnike podataka o incidentu sigurnosti koji može prouzročiti značajan rizik ili štetu za vlasnike podataka. Ova komunikacija mora biti obavljena u razumnom roku, prema specifičnoj regulativi ANPD-a, te mora uključivati informacije o prirodi pogođenih podataka, uključenim vlasnicima podataka, tehničkim i sigurnosnim mjerama koje se koriste za zaštitu podataka, rizicima povezanim s incidentom i mjerama koje su poduzete ili će biti poduzete za poništavanje ili ublažavanje štetnih učinaka.

Na temelju ovog zakonskog zahtjeva, ključno je, odmah nakon početne analize, pripremiti detaljno izvješće koje uključuje sve informacije spomenute u GDPR-u. U tom smislu, forenzička analiza također pomaže utvrditi je li došlo do ekstrakcije i krađe podataka – u mjeri u kojoj to kriminalci eventualno tvrde.

Ovo izvješće trebaju pregledati stručnjaci za usklađenost i korporativni pravnici prije njegova podnošenja ANPD-u. Zakonodavstvo također propisuje da tvrtka mora jasno i transparentno komunicirati s vlasnicima pogođenih podataka, objašnjavajući što se dogodilo, poduzete mjere i sljedeće korake za osiguravanje zaštite osobnih podataka.

Uostalom, transparentnost i djelotvorna komunikacija ključni su stupovi u upravljanju sigurnosnim incidentom. Uprava mora održavati stalnu komunikaciju s unutarnjim i vanjskim timovima, osiguravajući da su sve uključene strane informirane o napretku akcija i sljedećim koracima.

**Ocjena sigurnosnih politika je potrebna radnja.**

Usporedno s komunikacijom sa zainteresiranim stranama, tvrtka mora započeti proces procjene i revizije svojih sigurnosnih politika i praksi. To uključuje ponovnu procjenu svih sigurnosnih kontrola, pristupa, vjerodajnica s visokom razinom pristupa, kao i provedbu dodatnih mjera za sprječavanje budućih incidenata.

Usporedo s pregledom i analizom pogođenih sustava i procesa, tvrtka se mora usredotočiti i na oporavak sustava i vraćanje njihovog rada. To uključuje čišćenje svih pogođenih sustava, primjenu sigurnosnih zakrpa, vraćanje sigurnosnih kopija i ponovnu validaciju kontrola pristupa. Ključno je osigurati da su sustavi potpuno sigurni prije nego što se ponovno stave u pogon.

Jednom kada se sustavi ponovno uspostave, potrebno je provesti provjeru nakon incidenta kako bi se utvrdile naučene lekcije i područja za poboljšanje. Ova provjera treba uključivati sve relevantne strane i rezultirati završnim izvješćem koje će istaknuti uzroke incidenta, poduzete mjere, posljedice i preporuke za poboljšanje sigurnosnog položaja tvrtke u budućnosti.

Osim tehničkih i organizacijskih radnji, upravljanje sigurnosnim incidentima zahtijeva proaktivan pristup u pogledu upravljanja i sigurnosne kulture. To uključuje provedbu kontinuiranog programa poboljšanja kibernetičke sigurnosti i promicanje korporativne kulture koja cijeni sigurnost i privatnost.

Reakcija na sigurnosni incident zahtijeva niz koordiniranih i dobro planiranih radnji, usklađenih sa zahtjevima GDPR-a. Od početnog obuzdavanja i komunikacije sa svim relevantnim stranama do oporavka sustava i pregleda nakon incidenta, svaki je korak ključan za minimiziranje negativnih utjecaja i osiguravanje pravne usklađenosti. Više od toga, potrebno je suočiti se s nedostacima i ispraviti ih – prije svega, incident mora podići strategiju kibernetičke sigurnosti tvrtke na novu razinu.