Pojava sigurnosnog incidenta koji rezultira hakerskom upadom je, bez sumnje, jedna od najvećih noćnih mora za svaku tvrtku danas. Osim neposrednog utjecaja na poslovanje, postoje pravne i reputacijske posljedice koje mogu trajati mjesecima ili čak godinama. U Brazilu, Opća uredba o zaštiti podataka (LGPD) postavlja niz zahtjeva koje tvrtke moraju slijediti nakon nastanka takvih incidenata
Prema nedavnom izvješću Federasula – Federação de Entidades Empresariais do Rio Grande do Sul -, više od 40% brazilskih tvrtki već je bilo meta nekog oblika cyber napada. Međutim, mnoge od tih tvrtki još uvijek se suočavaju s poteškoćama u ispunjavanju zakonskih zahtjeva utvrđenih LGPD-om. Podaci Nacionalne vlasti za zaštitu podataka (ANPD) otkrivaju da je samo oko 30% napadnutih kompanija službeno prijavilo incident. Ova discrepancija može se pripisati raznim faktorima, uključujući nedostatak svijesti, složenost procesa usklađenosti i strah od negativnih posljedica na reputaciju tvrtke
Dan nakon incidenta: prvi koraci
Nakon potvrde o hakiranju, prva mjera je suzbijanje incidenta kako bi se spriječilo njegovo širenje. To uključuje izolaciju pogođenih sustava, prekinuti neovlašteni pristup i provesti mjere kontrole štete
Paralelno, važno je formirati tim za odgovor na incidente, što bi trebalo uključivati stručnjake za sigurnost informacija, IT stručnjaci, advokati i komunikacijski savjetnici. Ovaj tim će biti odgovoran za niz odluka – posebno one koje se odnose na nastavak poslovanja u narednim danima
U smislu usklađenosti s LGPD-om, potrebno je dokumentirati sve radnje poduzete tijekom odgovora na incident. Ova dokumentacija će poslužiti kao dokaz da je tvrtka djelovala u skladu s pravnim zahtjevima i može se koristiti u eventualnim revizijama ili istragama od strane ANPD
U prvim danima, tim za odgovor treba provesti detaljnu forenzičku analizu kako bi identificirala izvor upada, metoda koju koriste hakeri i opseg kompromitacije. Ovaj proces je vitalan ne samo za razumijevanje tehničkih aspekata napada, ali i za prikupljanje dokaza koji će biti potrebni za prijavu incidenta nadležnim vlastima i osiguravajućem društvu – ako je tvrtka sklopila kibernetičko osiguranje
Postoji ovdje jedan vrlo važan aspekt: forenzička analiza također služi za utvrđivanje jesu li napadači još uvijek unutar mreže tvrtke – situacija koja, nažalost, vrlo je uobičajeno, još više ako nakon incidenta tvrtka trpi neku vrstu financijskog ucjenjivanja putem otkrivanja podataka koje su kriminalci eventualno ukrali
Osim toga, LGPD, u svom članku 48, izvodi da kontrolor podataka obavijestiti Nacionalnu agenciju za zaštitu podataka (ANPD) i nositelje podataka o nastanku sigurnosnog incidenta koji može uzrokovati rizik ili značajnu štetu nositeljima. Ova komunikacija mora biti obavljena u razumnom roku, prema specifične regulative ANPD, i treba uključivati informacije o prirodi pogođenih podataka, uključeni nositelji, tehničke i sigurnosne mjere korištene za zaštitu podataka, rizici povezani s incidentom i mjere koje su poduzete ili će biti poduzete za preokretanje ili ublažavanje učinaka štete
Na temelju ovog zakonskog zahtjeva, je bitno, odmah nakon početne analize, pripremiti detaljno izvješće koje uključuje sve informacije navedene u LGPD-u. U tome, forenzička analiza također pomaže u određivanju je li došlo do ekstrakcije i krađe podataka – u mjeri u kojoj zločinci eventualno tvrde
Ovaj izvještaj treba pregledati stručnjaci za usklađenost i pravnici tvrtke prije nego što se podnese ANPD-u. Zakoni također propisuju da tvrtka mora jasno i transparentno obavijestiti nositelje pogođenih podataka, objašnjavajući što se dogodilo, mjere poduzete i sljedeći koraci za osiguranje zaštite osobnih podataka
Transparentnost i učinkovita komunikacija, inače, to su osnovni stupovi tijekom upravljanja sigurnosnim incidentom. Upravljanje treba održavati stalnu komunikaciju s unutarnjim i vanjskim timovima, osiguravajući da su sve uključene strane informirane o napretku akcija i sljedećim koracima
Evaluacija sigurnosnih politika je potrebna akcija
Paralelno s komunikacijom s dionicima, tvrtka bi trebala započeti proces procjene i revizije svojih politika i praksi sigurnosti. To uključuje reevaluaciju svih sigurnosnih kontrola, pristupi, kredencijali s visokim nivoom pristupa, kao i implementacija dodatnih mjera za sprječavanje budućih incidenata
Paralelno pregledu i analizi sustava i procesa koji su pogođeni, tvrtka se mora usredotočiti, također, u oporavku sustava i u vraćanju njihovih operacija. To uključuje čišćenje svih pogođenih sustava, primjena sigurnosnih zakrpa, obnova sigurnosnih kopija i ponovna validacija kontrola pristupa. Bitno je osigurati da su sustavi potpuno sigurni prije nego što se ponovno stave u rad
Jednom kada sustavi ponovno budu operativni, potrebno je provesti reviziju nakon incidenta kako bi se identificirale naučene lekcije i područja za poboljšanje. Ova revizija treba uključivati sve relevantne strane i rezultirati konačnim izveštajem koji ističe uzroke incidenta, poduzete mjere, utjecaji i preporuke za poboljšanje sigurnosne posture tvrtke u budućnosti
Osim tehničkih i organizacijskih akcija, upravljanje sigurnosnim incidentom zahtijeva proaktivan pristup u vezi s upravljanjem i kulturom sigurnosti. To uključuje implementaciju kontinuiranog programa poboljšanja u kibernetičkoj sigurnosti i promicanje korporativne kulture koja cijeni sigurnost i privatnost
Reakcija na incident sigurnosti zahtijeva skup koordiniranih i dobro planiranih akcija, usklađene s zahtjevima LGPD-a. Od početne kontrole i komunikacije s dionicima do oporavka sustava i revizije nakon incidenta, svaki korak je bitan za minimiziranje negativnih utjecaja i osiguranje pravne usklađenosti. Više od toga, potrebno je suočiti se s greškama i ispraviti ih – iznad svega, jedan incident trebao bi podići strategiju kibernetičke sigurnosti tvrtke na novu razinu
