Pojavitev varnostnega incidenta, ki povzroči hekerski vdor, je, brez dvoma, enočnare pesmi za vsako podjetje danes. Poleg takojšnega vpliva na poslovanje, obstajajo pravne in reputacijske posledice, ki lahko trajajo mesece ali celo leta. V Braziliji, Zakon o splošni zaščiti podatkov (LGPD) določa vrsto zahtev, ki jih morajo podjetja upoštevati po nastanku takšnih incidentov
Po podatkih nedavne raziskave Federasul – Federação de Entidades Empresariais do Rio Grande do Sul -, več kot 40 % brazilskih podjetij je že bilo tarča neke vrste kibernetskega napada. Vendar, mnoge od teh podjetij se še vedno soočajo s težavami pri izpolnjevanju pravnih zahtev, ki jih določa LGPD. Podatki Nacionalne avtoritete za varstvo podatkov (ANPD) razkrivajo, da je le približno 30 % podjetij, ki so bila vdrta, uradno prijavilo pojav incidenta. Ta discrepanca se lahko pripiše različnim dejavnikom, vključno s pomanjkanjem ozaveščenosti, zapletenost procesov skladnosti in strah pred negativnimi posledicami za ugled podjetja
Dan po incidentu: prvi koraki
Po potrditvi hekerskega vdora, prva mera je zadržati incident da se spreči njegovo širenje. To vključuje izolacijo prizadetih sistemov, prekinitev nepooblaščenega dostopa in izvajanje ukrepov za nadzor škode
Vzporedno, pomembno je oblikovati ekipo za odziv na incidente, kaj naj vključuje strokovnjake za varnost informacij, IT strokovnjaki, odvetniki in svetovalci za komunikacijo. Ta ekipa bo odgovorna za vrsto odločitev – predvsem tiste, ki vključujejo nadaljevanje poslovanja v naslednjih dneh
V zvezi s skladnostjo z LGPD, potrebno je dokumentirati sve radnje poduzete tijekom odgovora na incident. Ta dokumentacija bo služila kot dokaz, da je podjetje ravnalo v skladu z zakonodajnimi zahtevami in se lahko uporabi v morebitnih revizijah ali preiskavah s strani ANPD
V prvih dneh, ekipa za odgovor mora izvesti podrobno forenzično analizo, da bi identificirala izvor vdorov, metoda, ki jo uporabljajo hekerji, in obseg ogroženosti. Ta postopek je ključen ne le za razumevanje tehničnih vidikov napada, ampak tudi za zbiranje dokazov, ki bodo potrebni za poročanje o incidentu pristojnim organom in tudi zavarovalnici – če je podjetje sklenilo kibernetsko zavarovanje
Tu je tukaj zelo pomemben vidik: forenzična analiza prav tako služi za ugotavljanje, ali so napadalci še vedno znotraj omrežja podjetja – situacija, ki, žalostno, je zelo običajno, še posebej, če po incidentu podjetje trpi zaradi kakršne koli finančne izsiljevanja zaradi sprostitve podatkov, ki so jih morebiti ukradli kriminalci
Poleg tega, LGPD, v svojem členu 48, zahteva, da upravljavec podatkov obvesti Nacionalni organ za varstvo podatkov (ANPD) in imetnike prizadetih podatkov o pojavu varnostnega incidenta, ki bi lahko povzročil tveganje ali pomembno škodo imetnikom. Ta komunikacija mora biti izvedena v razumnem roku, v skladu s specifično regulativo ANPD, in mora vključiti informacije o naravi prizadetih podatkov, vpleteni nosilci, tehnične in varnostne ukrepe, uporabljene za zaščito podatkov, tveganja povezana z incidentom in ukrepi, ki so bili ali bodo sprejeti za odpravo ali omilitev učinkov škode
Na podlagi te pravne zahteve, je nujno, takoj po začetni analizi, pripraviti podroben poročilo, ki vključuje vse informacije, omenjene v LGPD. V tem, forenzična analiza prav tako pomaga pri ugotavljanju, ali je prišlo do ekstrakcije in kraje podatkov – v obsegu, da so so storilci morda trdijo
Ta poročilo mora pregledati strokovnjaki za skladnost in pravniki podjetja, preden se predloži ANPD. Zakonodaja prav tako določa, da mora podjetje jasno in pregledno obvestiti imetnike prizadetih podatkov, razložitev dogodka, ukrepe, sprejete in naslednji koraki za zagotovitev zaščite osebnih podatkov
Jasnost in učinkovita komunikacija, mimogrede, so temeljni stebri med upravljanjem varnostnim incidentom. Upravljanje mora ohranjati stalno komunikacijo z notranjimi in zunanjimi ekipami, zagotovitev, da so vse vpletene strani obveščene o napredku ukrepov in naslednjih korakih
Ocena varnostnih politik je nujna dejanje
Hkrati s komunikacijo z zainteresiranimi stranmi, podjetje mora začeti postopek ocenjevanja in pregleda svojih politik in praks varnosti. To vključuje ponovno oceno vseh varnostnih kontrol, dostopi, kredenciala z visokim nivojem dostopa, kot tudi izvajanje dodatnih ukrepov za preprečevanje prihodnjih incidentov
Vzporedno s pregledom in analizo prizadetih sistemov in procesov, podjetje se mora osredotočiti, tudi, v obnovi sistemov in v obnovitvi njihovih operacij. To vključuje čiščenje vseh prizadetih sistemov, uporaba varnostnih popravkov, obnova varnostnih kopij in ponovno potrjevanje nadzorov dostopa. Pomembno je zagotoviti, da so sistemi popolnoma varni, preden jih ponovno uvedemo v obratovanje
Ko so sistemi spet operativni, potrebno je izvesti pregled po incidentu kako bi se identificirale naučene lekcije i područja za poboljšanje. Ta revizija mora vključevati vse relevantne strani in rezultirati v končnem poročilu, ki izpostavlja vzroke incidenta, ukrepljene ukrepe, učinki in priporočila za izboljšanje varnostne drže podjetja v prihodnosti
Poleg tehničnih in organizacijskih ukrepov, upravljanje varnostnim incidentom zahteva proaktiven pristop k upravljanju in kulturi varnosti. To vključuje izvajanje stalnega programa izboljšav v kibernetski varnosti in spodbujanje korporativne kulture, ki ceni varnost in zasebnost
Reakcija na varnostni incident zahteva niz usklajenih in dobro načrtovanih dejanj, usklajene z zahtevami LGPD. Od začetne omejitve in komunikacije z zainteresiranimi stranmi do okrevanja sistemov in pregleda po incidentu, vsak korak je bistven za zmanjšanje negativnih vplivov in zagotavljanje pravne skladnosti. Več kot to, potrebno je pogledati naproti napakam in jih popraviti – zgoraj nad vsem, incident mora privede strategijo kibernetske varnosti podjetja na novo raven
