Forekomsten av en sikkerhedshendelse som fører til et hackerangrep er uten tvil en av de største marerittene for enhver bedrift i dag. Utover den umiddelbare innvirkningen på virksomheten, er det juridiske og omdømmemessige konsekvenser som kan vare i måneder eller til og med år. I Brasil, den generelle databeskyttelsesloven (LGPD) fastsetter en rekke krav som selskaper må følge etter slike hendelser.
I henhold til en nylig rapport fra Federasul – Federation of Business Entities of Rio Grande do Sul – har over 40 % av brasilianske bedrifter vært utsatt for en eller annen form for cyberangrep. Imidlertid står mange av disse selskapene fortsatt overfor utfordringer med å oppfylle de juridiske kravene fastsatt av LGPD. Data fra National Data Protection Authority (ANPD) viser at bare rundt 30 % av de angrepne selskapene offisielt rapporterte hendelsen. Denne avviket kan tilskrives flere faktorer, inkludert mangel på bevissthet, kompleksiteten i samsvarsprosessene og frykten for negative konsekvenser for bedriftens omdømme.
Dagen etter hendelsen: de første skrittene
Etter bekreftelse på et hackerangrep er den første tiltaket å begrense hendelsen for å forhindre spredning. Dette inkluderer å isolere de berørte systemene, stoppe uautorisert tilgang og implementere skadebegrensende tiltak.
Parallelt er det viktig å sette sammen et hendelsesresponsteam som skal inkludere informasjonssikkerhetseksperter, IT-ansatte, advokater og kommunikasjonskonsulenter. Dette teamet vil være ansvarlig for en rekke beslutninger – spesielt de som gjelder forretningskontinuiteten i de påfølgende dagene.
Når det gjelder samsvar med LGPD, er det nødvendig å dokumentere alle tiltak som er tatt under håndteringen av hendelsen. Denne dokumentasjonen vil tjene som bevis på at selskapet har handlet i samsvar med de juridiske kravene og kan brukes i eventuelle revisjoner eller etterforskninger av ANPD.
I de første dager bør respons teamet gjennomføre en grundig etterforskning for å identifisere opprinnelsen til innbruddet, metoden som ble brukt av hackerne og omfanget av kompromitteringen. Denne prosessen er avgjørende ikke bare for å forstå de tekniske aspektene av angrepet, men også for å samle bevis som vil være nødvendige for å rapportere hendelsen til relevante myndigheter og også til forsikringsselskapet – i tilfelle selskapet har tegnet en cyberforsikring.
Her er et veldig viktig aspekt: den digitale etterforskningen brukes også til å fastslå om angriperne fortsatt er inne i selskapets nettverk – en situasjon som dessverre er veldig vanlig, spesielt hvis selskapet etter hendelsen opplever en form for økonomisk utpressing knyttet til utlevering av data som kriminelle eventuelt har stjålet.
I tillegg krever LGPD, i artikkel 48, at datakontrolløren informerer Den nasjonale databeskyttelsesmyndigheten (ANPD) og de berørte dataeierne om en sikkerhetshendelse som kan medføre risiko eller betydelig skade for eierne. Denne kommunikasjonen skal skje innen rimelig tid, i henhold til spesifikk forskrift fra ANPD, og skal inneholde informasjon om arten av de berørte dataene, de involverte registrerte, de tekniske og sikkerhetstiltakene som er brukt for å beskytte dataene, risikoene knyttet til hendelsen, og tiltakene som er eller vil bli iverksatt for å reversere eller redusere virkningen av skaden.
Basert på dette lovkravet er det viktig å umiddelbart etter den innledende analysen utarbeide en detaljert rapport som inkluderer all informasjon nevnt i GDPR. I dette tilfelle hjelper også den rettsmedisinske analysen med å fastslå om det har funnet sted datatyveri og -uttrekk – i den grad kriminalitetsofferne eventuelt påstår det.
Denne rapporten må gjennomgås av compliance-ansvarlige og selskapets advokater før den sendes til ANPD. Lovgivningen fastsetter også at selskapet skal gi klar og gjennomsiktig kommunikasjon til de registrerte berørte, forklare hva som har skjedd, hvilke tiltak som er tatt og de neste trinnene for å sikre beskyttelsen av personopplysningene.
Åpenhet og effektiv kommunikasjon er for øvrig grunnpilarer under håndteringen av en sikkerhetshendelse. Ledelsen må opprettholde kontinuerlig kommunikasjon med interne og eksterne team, og sikre at alle involverte parter er informert om fremdriften av tiltakene og de neste trinnene.
Vurdering av sikkerhetspolitikk er en nødvendig handling
Parallelt med kommunikasjonen med interessentene, bør selskapet starte en prosess med vurdering og revisjon av sine sikkerhetspolicyer og -praksiser. Dette inkluderer en revurdering av alle sikkerhetskontroller, tilgang, legitimasjoner med høyt nivå av tilgang, samt implementering av ytterligere tiltak for å forhindre fremtidige hendelser.
Parallelt med gjennomgang og analyse av berørte systemer og prosesser, bør selskapet også fokusere på gjenoppretting av systemene og gjenopprettingen av driften deres. Dette innebærer rengjøring av alle berørte systemer, anvendelse av sikkerhetsoppdateringer, gjenoppretting av sikkerhetskopier og revalidering av tilgangskontroller. Det er viktig å sikre at systemene er helt sikre før de settes i drift igjen.
Når systemene er operative igjen, må det gjennomføres en etter-incident vurdering for å identifisere lærdommer og forbedringsområder. Denne gjennomgangen bør omfatte alle relevante parter og resultere i en endelig rapport som fremhever årsakene til hendelsen, tiltakene som er tatt, konsekvensene og anbefalinger for å forbedre selskapets sikkerhetsstilling i fremtiden.
I tillegg til tekniske og organisatoriske tiltak krever håndteringen av en sikkerhetshendelse en proaktiv tilnærming til styring og sikkerhetskultur. Dette inkluderer implementeringen av et kontinuerlig program for forbedring av cybersikkerhet og fremme av en bedriftskultur som verdsetter sikkerhet og personvern.
Reaksjonen på en sikkerhetshendelse krever et sett med koordinerte og godt planlagte tiltak, i samsvar med kravene i LGPD. Fra den innledende inneslutningen og kommunikasjonen med interessentene til systemgjenoppretting og etterhendelsesgjennomgang, er hvert steg avgjørende for å minimere negative konsekvenser og sikre juridisk samsvar. Mer enn det, må man se direkte på feilene og rette dem – fremfor alt bør en hendelse føre cybersikkerhetsstrategien til selskapet til et nytt nivå.
