Het optreden van een beveiligingsincident dat resulteert in een hackerinbraak is, zonder twijfel, een van de grootste nachtmerries voor elk bedrijf vandaag. Afgezien van de onmiddellijke impact op het bedrijf, er zijn juridische en reputatie-implicaties die kunnen aanhouden voor maanden of zelfs jaren. In Brazilië, de Algemene Wet op Gegevensbescherming (LGPD) stelt een reeks vereisten vast die bedrijven moeten volgen na het optreden van dergelijke incidenten
Volgens een recent rapport van Federasul – Federatie van Ondernemersorganisaties van Rio Grande do Sul -, meer dan 40% van de Braziliaanse bedrijven zijn al het doelwit geweest van een soort cyberaanval. Echter, veel van deze bedrijven ondervinden nog moeilijkheden om te voldoen aan de wettelijke eisen vastgesteld door de LGPD. Gegevens van de Nationale Autoriteit voor Gegevensbescherming (ANPD) onthullen dat slechts ongeveer 30% van de gehaakte bedrijven het plaatsvinden van het incident officieel hebben verklaard. Deze discrepantie kan worden toegeschreven aan verschillende factoren, inclusief het gebrek aan bewustwording, de complexiteit van de compliance processen en de angst van negatieve repercussie op de reputatie van het bedrijf
De dag na het incident: eerste stappen
Na de bevestiging van een hacker inbraak, de eerste maatregel is het incident te bevatten om de verspreiding ervan te voorkomen. Dat omvat isoleren de getroffen systemen, stoppen de ongeautoriseerde toegang en implementeren schadebeheersmaatregelen
In parallel, het is belangrijk een incidentenresponsteam op te stellen, die moet omvatten experts in informatiebeveiliging, IT-professional, advocaten en communicatieadviseurs. Dit team zal de verantwoordelijke zijn voor een reeks van besluitvorming – vooral die die de continuïteit van het bedrijf in de volgende dagen betreffen
In termen van conformiteit met de LGPD, is nodig alle acties genomen tijdens de reactie op het incident te documenteren. Deze documentatie zal dienen als bewijs dat het bedrijf heeft gehandeld in overeenstemming met de wettelijke vereisten en kan worden gebruikt in eventuele audits of onderzoeken door ANPD
In de eerste dagen, het responsteam moet een gedetailleerde forensische analyse uitvoeren om de oorsprong van de inbraak te identificeren, de methode gebruikt door hackers en de reikwijdte van de compromis. Dit proces is vitaal niet alleen om de technische aspecten van de aanval te begrijpen, maar ook om bewijzen te verzamelen die nodig zullen zijn om het incident te rapporteren aan de bevoegde autoriteiten en ook aan de verzekeraar – indien het bedrijf een cyberverzekering heeft genomen
Er is hier een heel belangrijk aspect: de forensische analyse dient ook om te bepalen of de aanvallers nog binnen het netwerk van het bedrijf zijn – een situatie die, helaas, is heel gebruikelijk, nog meer als na het incident het bedrijf lijdt aan een soort financiële chantage door de vrijgave van gegevens die de criminelen hebben eventueel gestolen
Bovendien, de LGPD, in zijn artikel 48, vereist dat de gegevenscontroller de Nationale Gegevensbeschermingsautoriteit (ANPD) en de betrokkenen van de gegevens meldt over het optreden van een beveiligingsincident dat kan leiden tot risico of schade relevant voor de houders. Deze communicatie dient te worden gedaan binnen redelijke termijn, overeenkomstig specifieke regelgeving van de ANPD, en moet informatie bevatten over de aard van de getroffen gegevens, de betrokkene houders, de technische en beveiligingsmaatregelen gebruikt voor de bescherming van de gegevens, de risico's gerelateerd aan het incident en de maatregelen die zijn of zullen worden genomen om om te keren of te mitigeren de effecten van de schade
Op basis van dit wettelijke vereiste, het is essentieel, vlak na de initiële analyse, voorbereiden een gedetailleerd rapport dat alle informatie bevat die door de LGPD genoemd wordt. In dat, de forensische analyse helpt ook te bepalen of er extractie en diefstal van gegevens was – in de mate die de criminelen eventueel zijn aan het claimen
Dit rapport moet worden beoordeeld door professionals van compliance en door de advocaten van het bedrijf voordat het wordt voorgelegd aan het ANPD. De wetgeving bepaalt ook dat het bedrijf maakt de duidelijke en transparante communicatie aan de houders van de getroffen gegevens, verklarend wat plaatsgevonden, de genomen maatregelen en de volgende stappen om de bescherming van de persoonlijke gegevens te verzekeren
De transparantie en de communicatie effectief, overigens, zijn fundamentele pijlers tijdens het beheer van een veiligheidsincident. Het management moet een voortdurende communicatie houden met de interne en externe teams, ervoor zorgen dat alle betrokken partijen op de hoogte zijn van de vooruitgang van de acties en de volgende stappen
Evaluatie van het veiligheidsbeleid is een noodzakelijke actie
Parallel aan de communicatie met de belanghebbenden, de onderneming moet een proces starten van evaluatie en herziening van haar veiligheidsbeleid en praktijken. Dat omvat de herbeoordeling van alle veiligheidscontroles, accessen, geloofsbrieven met hoog niveau van toegang, alsmede de implementatie van aanvullende maatregelen om toekomstige incidenten te voorkomen
In parallel met de herziening en analyse van systemen en processen getroffen, de onderneming moet focussen, ook, bij het herstel van de systemen en bij het herstellen van hun operaties. Dat omvat het schoonmaken van alle aangetaste systemen, de toepassing van veiligheidspatches, het herstellen van back-ups en het revalideren van de toegangscontroles. Het is essentieel verzekeren dat de systemen volledig veilig zijn voordat ze terug in werking worden gesteld
Eenmaal dat de systemen weer zijn operationeel, is nodig een post-incident review uit te voeren om lessen geleerd en gebieden van verbetering te identificeren. Deze review moet alle relevante partijen betrekken en resulteren in een definitief rapport dat de oorzaken van het incident benadrukt, de maatregelen genomen, de impacts en de aanbevelingen om de veiligheidspositie van het bedrijf in de toekomst te verbeteren
Naast de technische en organisatorische acties, het beheer van een veiligheidsincident vereist een proactieve benadering ten aanzien van de governance en de veiligheidscultuur. Dit omvat de implementatie van een doorlopend programma van verbeteringen in cybersecurity en het bevorderen van een corporate cultuur die veiligheid en privacy waardeert
De reactie op een veiligheidsincident vereist een set gecoördineerde en goed geplande acties, in lijn met de eisen van de LGPD. Vanaf de initiële containment en de communicatie met de belanghebbenden tot het herstel van de systemen en de herziening post-incident, elke stap is essentieel om negatieve impacts te minimaliseren en verzekeren wettelijke conformiteit. Meer dan dat, men moet kijken naar voren de tekortkomingen en ze corrigeren – boven alles, een incident moet brengen de cybersecurity strategie van het bedrijf op een nieuw peil
