На следующий день после хакерской атаки: знайте, что в компании расставить приоритеты

Возникновение инцидента безопасности, который приводит к хакерскому вторжению, несомненно, является одним из самых больших кошмаров для любой компании сегодня. помимо непосредственного воздействия на бизнес, существуют юридические и репутационные последствия, которые могут длиться месяцами или даже годами.В Бразилии Общий закон о защите данных (LGPD) устанавливает ряд требований, которым компании должны следовать после возникновения таких инцидентов.

Согласно недавнему отчету Federasul (Федерация коммерческих предприятий Риу-Гранди-ду-Сул - более 40% бразильских компаний уже стали объектом какого-либо вида кибератак Однако многие из этих компаний по-прежнему сталкиваются с трудностями при соблюдении установленных LGPD требований законодательства Данные Национального управления по защите данных (ANPD) показывают, что только около 30% захваченных компаний официально заявили о возникновении инцидента. это несоответствие можно объяснить несколькими факторами, включая недостаточную осведомленность, сложность процессов соблюдения требований и страх негативных последствий для репутации компании.

На следующий день после инцидента: первые шаги

После подтверждения хакерского вторжения, первая мера - сдержать инцидент, чтобы предотвратить его распространение.Это включает в себя изоляцию затронутых систем, прекращение несанкционированного доступа и осуществление мер по устранению повреждений.

Параллельно важно собрать группу реагирования на инциденты, в которую должны войти специалисты по информационной безопасности, ИТ-специалисты, юристы и консультанты по коммуникациям. эта группа будет отвечать за ряд процессов принятия решений ¡N, в частности, тех, которые связаны с непрерывностью бизнеса в последующие дни.

В части соблюдения требований LGPD необходимо документально подтвердить все действия, предпринятые в ходе реагирования на инцидент Эта документация будет служить доказательством того, что компания действовала в соответствии с требованиями законодательства и может быть использована в любых аудитах или расследованиях ANPD.

В первые дни группа реагирования должна провести детальный судебно-медицинский анализ, чтобы определить источник вторжения, метод, используемый хакерами, и масштабы компромисса. этот процесс жизненно важен не только для понимания технических аспектов атаки, но и для сбора доказательств, которые будут необходимы для сообщения об инциденте компетентным органам, а также страховщику, если компания осуществила киберстрахование.

Здесь есть очень важный аспект: судебно-медицинская экспертиза также служит для того, чтобы определить, находятся ли злоумышленники по-прежнему в сети компании ¡ ̄ ситуация, которая, к сожалению, очень распространена, особенно если после инцидента компания подвергается какому-то финансовому шантажу, обнародуя данные, которые преступники в конечном итоге украли.

Кроме того, LGPD в своей статье 48 требует, чтобы контролер данных сообщал Национальному органу по защите данных (ANPD) и затронутым субъектам данных о возникновении инцидента безопасности, который может повлечь за собой соответствующий риск или ущерб для субъектов данных. Это сообщение должно быть сделано в разумные сроки в соответствии с конкретными правилами ANPD и должно включать информацию о характере затронутых данных, задействованных субъектах данных, технических мерах и мерах безопасности, используемых для защиты данных, рисках, связанных с инцидентом, а также мерах, которые были или будут приняты для обращения вспять или смягчения последствий травмы.

Исходя из этого требования закона, важно вскоре после первоначального анализа подготовить подробный отчет, включающий всю информацию, упомянутую LGPD. При этом судебно-медицинская экспертиза также помогает определить, имело ли место извлечение и кража данных в той степени, в которой преступники в конечном итоге заявляют.

Этот отчет должен быть проверен специалистами по соблюдению требований и юристами компании перед его представлением в ANPD. Законодательство также требует от компании обеспечить четкое и прозрачное общение с затронутыми субъектами данных, объясняя, что произошло, принятые меры и следующие шаги для обеспечения защиты персональных данных.

Прозрачность и эффективная коммуникация, кстати, являются ключевыми столпами в ходе управления инцидентом, связанным с безопасностью. Руководство должно поддерживать постоянную связь с внутренними и внешними группами, обеспечивая информирование всех вовлеченных сторон о ходе действий и следующих шагах.

Необходима оценка политики безопасности

Параллельно с общением с заинтересованными сторонами компания должна начать процесс оценки и анализа своей политики и практики в области безопасности Это включает в себя переоценку всех мер контроля безопасности, доступа, учетных данных с высоким уровнем доступа, а также реализацию дополнительных мер по предотвращению будущих инцидентов.

Параллельно с обзором и анализом затронутых систем и процессов компания также должна сосредоточиться на восстановлении систем и восстановлении их работы. это включает в себя очистку всех затронутых систем, применение исправлений безопасности, восстановление резервных копий и повторную проверку контроля доступа. важно обеспечить полную безопасность систем до их повторного ввода в эксплуатацию.

После того как системы вновь заработают, требуется провести обзор после инцидента, чтобы выявить извлеченные уроки и области для улучшения. в этом обзоре должны участвовать все соответствующие стороны, и в результате будет подготовлен окончательный отчет, в котором будут освещены причины инцидента, предпринятые действия, последствия и рекомендации по улучшению положения компании в области безопасности в будущем.

Помимо технических и организационных действий, управление инцидентом безопасности требует активного подхода к управлению безопасностью и культуре. Это включает в себя реализацию непрерывной программы улучшения кибербезопасности и продвижение корпоративной культуры, которая ценит безопасность и конфиденциальность.

Реакция на инцидент безопасности требует набора скоординированных и хорошо спланированных действий, соответствующих требованиям LGPD. От первоначального сдерживания и общения с заинтересованными сторонами до восстановления системы и проверки после инцидента, каждый шаг необходим для минимизации негативных последствий и обеспечения соблюдения законодательства.Более того, вам нужно смотреть на недостатки в лоб и исправлять их. Прежде всего, инцидент должен вывести стратегию кибербезопасности компании на новый уровень.