Pojava bezbednosnog incidenta koji rezultira hakerskom upadom je, без сумње, jedna od najvećih noćnih mora za svaku kompaniju danas. Pored neposrednog uticaja na poslovanje, postoje pravne i reputacione posledice koje mogu trajati mesecima ili čak godinama. U Brazilu, Opšta uredba o zaštiti podataka (LGPD) postavlja niz zahteva koje kompanije moraju da poštuju nakon nastanka takvih incidenata
Prema nedavnom izveštaju Federasula – Federação de Entidades Empresariais do Rio Grande do Sul -, više od 40% brazilskih kompanija već je bilo meta nekog tipa sajber napada. Međutim, mnoge od ovih kompanija još uvek se suočavaju sa teškoćama u ispunjavanju zakonskih zahteva utvrđenih LGPD-om. Podaci Nacionalne vlasti za zaštitu podataka (ANPD) otkrivaju da je samo oko 30% napadnutih kompanija zvanično prijavilo incident. Ova discrepancija može se pripisati raznim faktorima, uključujući nedostatak svesti, složenost procesa usklađenosti i strah od negativnih posledica po reputaciju kompanije
Dan nakon incidenta: prvi koraci
Након потврде хакерске инвазије, prva mera je suzbijanje incidenta kako bi se sprečilo njegovo širenje. To uključuje izolaciju pogođenih sistema, prekinuti neovlašćen pristup i implementirati mere kontrole štete
Paralelno, važno je formirati tim za odgovor na incidente, šta treba da uključuje stručnjake za bezbednost informacija, IT stručnjaci, advokati i konsultanti za komunikaciju. Ovaj tim će biti odgovoran za niz odluka – pretežno one koje se tiču kontinuiteta poslovanja u narednim danima
U pogledu usklađenosti sa LGPD, potrebno je dokumentovati sve akcije preduzete tokom odgovora na incident. Ova dokumentacija će služiti kao dokaz da je kompanija delovala u skladu sa zakonskim zahtevima i može se koristiti u eventualnim revizijama ili istragama od strane ANPD
U prvim danima, tim za odgovor treba da sprovede detaljnu forenzičku analizu kako bi identifikovao izvor upada, metod koji koriste hakeri i opseg kompromitovanja. Ovaj proces je vitalan ne samo za razumevanje tehničkih aspekata napada, ali da i da prikupljanje dokaza koji će biti potrebni za prijavu incidenta nadležnim organima i osiguravajućoj kući – ako je kompanija sklopila kibernetičko osiguranje
Postoji ovde jedan veoma važan aspekt: forenzička analiza takođe služi za utvrđivanje da li su napadači još uvek unutar mreže kompanije – situacija koja, nažalost, veoma je uobičajeno, još više ako nakon incidenta kompanija trpi neku vrstu finansijske ucene zbog otkrivanja podataka koje su kriminalci eventualno ukrali
Pored toga, LGPD, u svom članu 48, zahteva da kontrolor podataka obavesti Nacionalnu upravu za zaštitu podataka (ANPD) i nosioce podataka o nastanku incidenta bezbednosti koji može izazvati rizik ili značajnu štetu nosiocima. Ova komunikacija treba da se obavi u razumnom roku, u skladu sa specifičnom regulativom ANPD, i treba da uključuje informacije o prirodi pogođenih podataka, uključeni nosioci, tehničke i bezbednosne mere korišćene za zaštitu podataka, rizici povezani sa incidentom i mere koje su preduzete ili će biti preduzete da se preokrenu ili ublaže efekti štete
Na osnovu ovog zakonskog zahteva, je esencijalno, odmah nakon početne analize, pripremiti detaljan izveštaj koji uključuje sve informacije navedene u LGPD. U tome, forenzička analiza takođe pomaže da se utvrdi da li je došlo do ekstrakcije i krađe podataka – u meri u kojoj zločinci eventualno tvrde
Ovaj izveštaj treba da pregledaju stručnjaci za usklađenost i pravnici kompanije pre nego što se podnese ANPD-u. Zakonska regulativa takođe nalaže da kompanija jasno i transparentno obavesti nosioce pogođenih podataka, objašnjavajući događaj, preduzete mere i sledeći koraci za obezbeđivanje zaštite ličnih podataka
Transparentnost i efikasna komunikacija, inače, to suštinski stubovi tokom upravljanja incidentom bezbednosti. Upravljanje treba da održava stalnu komunikaciju sa unutrašnjim i spoljnim timovima, osiguravajući da su sve uključene strane obaveštene o napretku akcija i narednim koracima
Procena bezbednosnih politika je neophodna akcija
Paralelno sa komunikacijom sa zainteresovanim stranama, kompanija treba da započne proces procene i revizije svojih politika i praksi bezbednosti. To uključuje reevaluaciju svih bezbednosnih kontrola, pristupi, akreditivi sa visokim nivoom pristupa, kao i sprovođenje dodatnih mera za sprečavanje budućih incidenata
U paralelnoj reviziji i analizi sistema i procesa koji su pogođeni, kompanija treba da se fokusira, такође, u oporavku sistema i u vraćanju njihovih operacija. To uključuje čišćenje svih pogođenih sistema, primena sigurnosnih zakrpa, obnova rezervnih kopija i ponovna validacija kontrola pristupa. Bitno je osigurati da su sistemi potpuno sigurni pre nego što se ponovo stave u rad
Kada sistemi ponovo budu operativni, potrebno je sprovesti post-incidentnu reviziju kako bi se identifikovale naučene lekcije i oblasti za poboljšanje. Ova revizija treba da obuhvati sve relevantne strane i rezultira konačnim izveštajem koji ističe uzroke incidenta, preduzete mere, uticaji i preporuke za poboljšanje bezbednosne posture kompanije u budućnosti
Pored tehničkih i organizacionih akcija, upravljanje bezbednosnim incidentom zahteva proaktivan pristup u vezi sa vladavinom i kulturom bezbednosti. To uključuje implementaciju kontinuiranog programa poboljšanja u sajber bezbednosti i promovisanje korporativne kulture koja vrednuje bezbednost i privatnost
Reakcija na incident bezbednosti zahteva skup koordinisanih i dobro planiranih akcija, usaganje sa zahtevima LGPD. Od početne kontrole i komunikacije sa zainteresovanim stranama do oporavka sistema i post-incidentne revizije, svaki korak je suštinski za minimiziranje negativnih uticaja i obezbeđivanje pravne usklađenosti. Више од тога, potrebno je suočiti se sa greškama i ispraviti ih – изнад свега, jedan incident treba da podigne strategiju sajber bezbednosti kompanije na novi nivo
