Het optreden van een beveiligingsincident dat leidt tot een hackersinbraak is zonder twijfel een van de grootste nachtmerries voor elk bedrijf vandaag de dag. Naast de directe impact op de bedrijfsvoering zijn er juridische en reputatie-implicaties die maanden of zelfs jaren kunnen duren. In Brazilië stelt de Algemene Verordening Gegevensbescherming (LGPD) een reeks vereisten vast waaraan bedrijven moeten voldoen na dergelijke incidenten.
Volgens een recent rapport van Federasul – de Federatie van Ondernemingsentiteiten van Rio Grande do Sul – is meer dan 40% van de Braziliaanse bedrijven al het doelwit geweest van een soort cyberaanval. Echter, veel van deze bedrijven ondervinden nog steeds moeilijkheden bij het naleven van de wettelijke vereisten vastgesteld door de LGPD. Gegevens van de Nationale Autoriteit voor Gegevensbescherming (ANPD) onthullen dat slechts ongeveer 30% van de getroffen bedrijven het incident officieel heeft gemeld. Deze discrepantie kan worden toegeschreven aan verschillende factoren, waaronder het gebrek aan bewustzijn, de complexiteit van nalevingsprocessen en de angst voor negatieve repercussies voor de reputatie van het bedrijf.
De dag na het incident: eerste stappen
Na het bevestigen van een hackerinbraak is de eerste maatregel het incident te beperken om verdere verspreiding te voorkomen. Dit omvat het isoleren van de getroffen systemen, het stoppen van onbevoegde toegang en het implementeren van maatregelen voor schadecontrole.
Parallel daaraan is het belangrijk om een incidentrespons-team op te zetten, dat moet bestaan uit specialisten in informatiebeveiliging, IT-professionals, advocaten en communicatieadviseurs. Dit team zal verantwoordelijk zijn voor een reeks beslissingen - vooral die welke de voortgang van het bedrijf in de komende dagen betreffen.
Wat betreft naleving van de LGPD, is het noodzakelijk om alle acties die tijdens de reactie op het incident zijn ondernomen te documenteren. Deze documentatie dient als bewijs dat het bedrijf heeft gehandeld in overeenstemming met de wettelijke vereisten en kan worden gebruikt bij eventuele audits of onderzoeken door de ANPD.
In de eerste dagen moet het reactie-team een gedetailleerde forensische analyse uitvoeren om de oorsprong van de inbraak, de gebruikte methode door de hackers en de omvang van de compromittering te identificeren. Dit proces is essentieel niet alleen om de technische aspecten van de aanval te begrijpen, maar ook om bewijs te verzamelen dat nodig zal zijn om het incident te melden bij de bevoegde autoriteiten en ook bij de verzekeraar – voor het geval het bedrijf een cyberverzekering heeft afgesloten.
Hier is een zeer belangrijk aspect: de forensische analyse dient ook om te bepalen of de aanvallers nog steeds binnen het netwerk van het bedrijf zijn - een situatie die helaas erg vaak voorkomt, vooral als het bedrijf na het incident te maken krijgt met financiële chantage door het vrijgeven van gegevens die de criminelen mogelijk hebben gestolen.
Bovendien vereist de LGPD in artikel 48 dat de gegevensbeheerder de Nationale Gegevensbeschermingsautoriteit (ANPD) en de betrokken gegevensverwerkers op de hoogte stelt van een beveiligingsincident dat een risico of aanzienlijk nadeel voor de betrokkenen kan veroorzaken. Deze communicatie moet binnen een redelijke termijn worden gedaan, volgens de specifieke regelgeving van de ANPD, en moet informatie bevatten over de aard van de getroffen gegevens, de betrokkenen, de technische en beveiligingsmaatregelen die zijn genomen om de gegevens te beschermen, de risico's verbonden aan het incident en de maatregelen die zijn of zullen worden genomen om de gevolgen van de schade ongedaan te maken of te beperken.
Op basis van deze wettelijke vereiste is het essentieel om, direct na de eerste analyse, een gedetailleerd rapport voor te bereiden dat alle door de LGPD genoemde informatie bevat. Nisso helpt de forensische analyse ook om te bepalen of er gegevens zijn geëxtraheerd en gestolen – voor zover de criminelen mogelijk beweren.
Dit rapport moet worden herzien door complianceprofessionals en de advocaten van het bedrijf voordat het wordt ingediend bij de ANPD. De wetgeving bepaalt ook dat het bedrijf duidelijke en transparante communicatie voert naar de betrokkenen van de getroffen gegevens, waarin het incident wordt uitgelegd, de genomen maatregelen en de volgende stappen om de bescherming van de persoonsgegevens te waarborgen.
Transparantie en effectieve communicatie zijn trouwens fundamentele pijlers tijdens het beheer van een beveiligingsincident. Het management moet voortdurend communiceren met interne en externe teams, ervoor zorgen dat alle betrokken partijen op de hoogte zijn van de voortgang van de acties en de volgende stappen.
Evaluatie van het veiligheidsbeleid is een noodzakelijke actie
Parallel aan de communicatie met de belanghebbenden, moet het bedrijf een proces starten voor evaluatie en herziening van zijn veiligheidsbeleid en -praktijken. Dit omvat de herbeoordeling van alle beveiligingscontroles, toegangen, inloggegevens met een hoog niveau van toegang, evenals de implementatie van aanvullende maatregelen om toekomstige incidenten te voorkomen.
Parallel aan de herziening en analyse van de getroffen systemen en processen, moet het bedrijf zich ook richten op het herstel van de systemen en het herstellen van zijn operaties. Dit omvat het schoonmaken van alle getroffen systemen, het toepassen van beveiligingspatches, het herstellen van back-ups en het opnieuw valideren van de toegangscontroles. Het is essentieel om te garanderen dat de systemen volledig veilig zijn voordat ze weer in gebruik worden genomen.
Zodra de systemen weer operationeel zijn, moet er een post-incident review worden uitgevoerd om lessen te identificeren en verbeterpunten te bepalen. Deze beoordeling moet alle relevante partijen betrekken en resulteren in een eindrapport dat de oorzaken van het incident, de genomen maatregelen, de gevolgen en de aanbevelingen voor het verbeteren van de beveiligingshouding van het bedrijf in de toekomst benadrukt.
Naast technische en organisatorische maatregelen vereist het beheer van een beveiligingsincident een proactieve aanpak met betrekking tot governance en veiligheidscultuur. Dit omvat de implementatie van een doorlopend programma voor verbetering van cybersecurity en het bevorderen van een bedrijfscultuur die veiligheid en privacy waardeert.
De reactie op een beveiligingsincident vereist een reeks gecoördineerde en goed geplande acties, afgestemd op de eisen van de LGPD. Vanaf de eerste containment en communicatie met belanghebbenden tot het herstel van de systemen en de post-incident review, is elke stap essentieel om de negatieve gevolgen te minimaliseren en te voldoen aan de wettelijke vereisten. Meer dan dat, moet je de tekortkomingen onder ogen zien en corrigeren – bovenal moet een incident de cyberbeveiligingsstrategie van het bedrijf naar een hoger niveau tillen.
