Dagen efter hackerattacken: vet vad du ska prioritera i företaget

Förekomsten av en säkerhetsincident som resulterar i en hackerinvasion är utan tvekan en av de största mardrömmarna för något företag idag.Förutom den omedelbara påverkan på verksamheten finns det juridiska och anseende konsekvenser som kan pågå i månader eller till och med år.I Brasilien fastställer den allmänna dataskyddslagen (LGPD) en rad krav som företag måste följa efter förekomsten av sådana incidenter.

Enligt en färsk rapport från Federasul (Federation of Business Entities of Rio Grande do Sul -, mer än 40% av brasilianska företag har redan varit målet för någon typ av cyberattack.Många av dessa företag har dock fortfarande svårigheter att följa de rättsliga krav som fastställts av LGPD.Data från den nationella dataskyddsmyndigheten (ANPD) avslöjar att endast cirka 30% av de invaderade företagen har officiellt deklarerat förekomsten av incidenten.Denna diskrepans kan hänföras till flera faktorer, inklusive bristande medvetenhet, komplexiteten i efterlevnadsprocesser och rädslan för negativa återverkningar på företagets rykte.

Dagen efter händelsen: första stegen

Efter bekräftelse av en hackerinvasion är den första åtgärden att begränsa incidenten för att förhindra dess spridning. Detta inkluderar isolering av de drabbade systemen, stopp av obehörig åtkomst och implementering av skadekontrollåtgärder.

Parallellt är det viktigt att sätta samman ett incidentresponsteam, som bör inkludera informationssäkerhetsspecialister, IT-proffs, jurister och kommunikationskonsulter.Detta team kommer att ansvara för en rad beslutsprocesser ¡Nom särskilt de som involverar affärskontinuitet under de följande dagarna.

När det gäller överensstämmelse med LGPD är det nödvändigt att dokumentera alla åtgärder som vidtagits under svaret på incidenten.Denna dokumentation kommer att fungera som bevis för att företaget har agerat i enlighet med lagkrav och kan användas i alla revisioner eller utredningar av ANPD.

I början måste insatsteamet genomföra en detaljerad kriminalteknisk analys för att identifiera källan till intrånget, metoden som används av hackarna och omfattningen av kompromissen. Denna process är avgörande inte bara för att förstå de tekniska aspekterna av attacken, utan också för att samla in bevis som kommer att vara nödvändiga för att rapportera händelsen till de behöriga myndigheterna och även till försäkringsbolaget "OM företaget har genomfört cyberförsäkringar".

Det finns en mycket viktig aspekt här: rättsmedicinsk analys tjänar också till att avgöra om angriparna fortfarande finns inom företagsnätverket ¡ ̄ en situation som tyvärr är mycket vanlig, särskilt om företaget efter händelsen drabbas av någon form av ekonomisk utpressning genom att lämna ut uppgifter som brottslingarna till slut har stulit.

Dessutom kräver LGPD i sin artikel 48 att den personuppgiftsansvarige ska kommunicera till den nationella dataskyddsmyndigheten (ANPD) och de berörda registrerade om förekomsten av en säkerhetsincident som kan medföra en relevant risk eller skada för de registrerade. Denna kommunikation måste göras inom rimlig tid, i enlighet med specifika ANPD-föreskrifter, och måste innehålla information om arten av de berörda uppgifterna, de registrerade, de tekniska och säkerhetsåtgärder som används för dataskydd, riskerna relaterade till incidenten och de åtgärder som har vidtagits eller kommer att vidtas för att vända eller mildra effekterna av skadan.

Baserat på detta lagkrav är det väsentligt, strax efter den första analysen, att utarbeta en detaljerad rapport som innehåller all information som nämns av LGPD. I detta hjälper kriminalteknisk analys också till att avgöra om det förekom utvinning och stöld av data i den utsträckning som brottslingarna så småningom gör anspråk på.

Denna rapport måste granskas av efterlevnadspersonal och företagsjurister innan den skickas till ANPD. Lagstiftningen kräver också att företaget ska göra tydlig och transparent kommunikation till de berörda registrerade, förklara vad som hände, de åtgärder som vidtagits och följande steg för att säkerställa skyddet av personuppgifter.

Transparens och effektiv kommunikation är för övrigt nyckelpelare under hanteringen av en säkerhetsincident. Ledningen måste upprätthålla ständig kommunikation med interna och externa team, för att säkerställa att alla inblandade parter är informerade om hur åtgärderna fortskrider och nästa steg.

Utvärdering av säkerhetspolicyer är nödvändig

Parallellt med kommunikationen med intressenter bör företaget påbörja en process för att utvärdera och se över sina säkerhetspolicyer och praxis.Detta inkluderar omvärdering av alla säkerhetskontroller, åtkomst, referenser med hög åtkomstnivå, samt att genomföra ytterligare åtgärder för att förhindra framtida incidenter.

Parallellt med granskning och analys av berörda system och processer bör företaget också fokusera på återställning av system och återställande av deras verksamhet Detta innebär rengöring av alla berörda system, tillämpning av säkerhetskorrigeringar, återställande av säkerhetskopior och förlängning av åtkomstkontroller.

När systemen väl är i drift igen krävs en granskning efter incidenten för att identifiera lärdomar och förbättringsområden. Denna granskning bör involvera alla relevanta parter och resultera i en slutrapport som belyser orsakerna till incidenten, de åtgärder som vidtagits, effekterna och rekommendationerna för att förbättra företagets säkerhetsställning i framtiden.

Förutom tekniska och organisatoriska åtgärder kräver hanteringen av en säkerhetsincident ett proaktivt förhållningssätt till säkerhetsstyrning och kultur. Detta inkluderar implementering av ett kontinuerligt program för cybersäkerhetsförbättringar och främjande av en företagskultur som värdesätter säkerhet och integritet.

Reaktionen på en säkerhetsincident kräver en uppsättning samordnade och välplanerade åtgärder, anpassade till kraven i LGPD. Från initial inneslutning och kommunikation med intressenter till systemåterställning och granskning efter incident är varje steg väsentligt för att minimera negativa effekter och säkerställa laglig efterlevnad. Mer än så måste du titta på bristerna direkt och korrigera dem "framför allt bör en incident ta företagets cybersäkerhetsstrategi till en ny nivå.