Occurenta unui incident de securitate care duce la o invazie hacker este, fără îndoială, unul dintre cele mai mari coșmaruri pentru orice companie astăzi. Pe lângă impactul imediat asupra afacerilor, există implicații legale și de reputație care pot dura luni sau chiar ani. În Brazilia, Legea Generală privind Protecția Datelor (LGPD) stabilește o serie de cerințe pe care companiile trebuie să le respecte după apariția unor astfel de incidente
Conform unui raport recent al Federasul – Federação de Entidades Empresariais do Rio Grande do Sul -, peste de 40% dintre companiile braziliene au fost deja ținti ale unui tip de atac cibernetic. Cu toate acestea, multe dintre aceste companii se confruntă în continuare cu dificultăți în a respecta cerințele legale stabilite de LGPD. Datele Autorității Naționale pentru Protecția Datelor (ANPD) relevă că doar aproximativ 30% dintre companiile atacate au declarat oficial incidentul. Această discrepanță poate fi atribuită diverselor factori, inclusiv lipsa de conștientizare, complexitatea proceselor de conformitate și teama de repercusiuni negative asupra reputației companiei
Ziua după incident: primii pași
După confirmarea unei invazii cibernetice, prima măsură este de a limita incidentul pentru a evita propagarea acestuia. Aceasta include izolarea sistemelor afectate, interzice accesul neautorizat și implementează măsuri de control al daunelor
În paralel, este important să formezi o echipă de răspuns la incidente, ceea ce trebuie să includă specialiști în securitatea informației, profesioniști IT, avocați și consultanți în comunicare. Această echipă va fi responsabilă pentru o serie de decizii – în principal cele care implică continuitatea afacerii în zilele următoare
În ceea ce privește conformitatea cu LGPD, este necesar să se documenteze toate acțiunile întreprinse în timpul răspunsului la incident. Această documentație va servi ca dovadă că compania a acționat conform cerințelor legale și poate fi utilizată în eventuale auditori sau investigații de către ANPD
În primele zile, echipa de răspuns trebuie să efectueze o analiză forensică detaliată pentru a identifica originea invaziei, metoda utilizată de hackeri și amploarea compromiterii. Acest proces este vital nu doar pentru a înțelege aspectele tehnice ale atacului, dar și pentru a colecta dovezi care vor fi necesare pentru a raporta incidentul autorităților competente și, de asemenea, asigurătorului – în cazul în care compania a încheiat o asigurare cibernetică
Există un aspect foarte important: analiza forensică servește de asemenea pentru a determina dacă atacatorii sunt încă în rețeaua companiei – o o situație care, din păcate, este foarte comun, cu atât mai mult dacă, după incident, compania suferă de un anumit tip de șantaj financiar prin eliberarea de date pe care infractorii le-ar fi furat eventual
În plus, LGPD, în articolul său 48, exige ca operatorul de date să comunice Autorității Naționale de Protecție a Datelor (ANPD) și titularilor datelor afectate despre apariția unui incident de securitate care ar putea cauza un risc sau un prejudiciu semnificativ pentru titulari. Această comunicare trebuie să fie făcută într-un termen rezonabil, conform regulamentarea specifică a ANPD, și trebuie să includă informații despre natura datelor afectate, titularii implicați, măsurile tehnice și de securitate utilizate pentru protecția datelor, riscurile legate de incident și măsurile care au fost sau care vor fi adoptate pentru a inversa sau a atenua efectele prejudiciului
Pe baza acestei cerințe legale, este esențial, imediat după analiza inițială, pregătiți un raport detaliat care să includă toate informațiile menționate de LGPD. În asta, analiza forensică ajută de asemenea la determinarea dacă a avut loc extragerea și furtul de date – în măsura în care criminalii ar putea susține
Acest raport trebuie să fie revizuit de profesioniști în conformitate și de avocații companiei înainte de a fi trimis la ANPD. Legislația prevede de asemenea ca compania să comunice clar și transparent titularilor datelor afectate, explicând ce s-a întâmplat, măsurile luate și pașii următori pentru a asigura protecția datelor personale
Transparența și comunicarea eficientă, de fapt, sunt piloni fundamentali în gestionarea unui incident de securitate. Gestionarea trebuie să mențină o comunicare constantă cu echipele interne și externe, asigurându-se că toate părțile implicate sunt informate cu privire la progresul acțiunilor și etapele următoare
Evaluarea politicilor de securitate este o acțiune necesară
Paralel cu comunicarea cu părțile interesate, compania trebuie să înceapă un proces de evaluare și revizuire a politicilor și practicilor sale de securitate. Aceasta include reevaluarea tuturor controalelor de securitate, acces, credencialele cu un nivel înalt de acces, precum și implementarea de măsuri suplimentare pentru a preveni incidentele viitoare
În paralel cu revizuirea și analiza sistemelor și proceselor afectate, compania trebuie să se concentreze, de asemenea, în recuperarea sistemelor și în restaurarea operațiunilor acestora. Aceasta implică curățarea tuturor sistemelor afectate, aplicarea de patch-uri de securitate, restaurarea backup-urilor și revalidarea controalelor de acces. Este esențial să se asigure că sistemele sunt complet sigure înainte de a fi repuse în funcțiune
Odată ce sistemele vor fi din nou operaționale, este necesar să se efectueze o revizuire post-incident pentru a identifica lecțiile învățate și domeniile de îmbunătățire. Această revizuire trebuie să implice toate părțile relevante și să rezulte într-un raport final care să evidențieze cauzele incidentului, măsurile luate, impacturile și recomandările pentru îmbunătățirea poziției de securitate a companiei în viitor
Pe lângă acțiunile tehnice și organizaționale, gestionarea unui incident de securitate necesită o abordare proactivă în ceea ce privește guvernanța și cultura de securitate. Aceasta include implementarea unui program continuu de îmbunătățiri în securitatea cibernetică și promovarea unei culturi corporative care valorizează securitatea și confidențialitatea
Reacția la un incident de securitate necesită un set de acțiuni coordonate și bine planificate, aliniate cerințelor LGPD. De la reținerea inițială și comunicarea cu părțile interesate până la recuperarea sistemelor și revizuirea post-incident, fiecare pas este esențial pentru a minimiza impacturile negative și a asigura conformitatea legală. Mai mult decât atât, este nevoie să privim direct greșelile și să le corectăm – deasupra tuturor, un incident trebuie să ducă strategia de cibersecuritate a companiei la un nou nivel
