En förekomst av en säkerhetsincident som resulterar i en hackerinvasion är, utan tvekan, en av de största mardrömmarna för vilket företag som helst idag. Förutom den omedelbara påverkan på affärerna, det finns juridiska och ryktepåverkande konsekvenser som kan kvarstå i månader eller till och med år. I Brasil, Den allmänna dataskyddslagen (LGPD) fastställer en rad krav som företag måste följa efter att sådana incidenter inträffar
Enligt en recent rapport från Federasul – Federationen för företagsorganisationer i Rio Grande do Sul -, mer än 40% av de brasilianska företagen har redan varit mål för någon typ av cyberattack. Emellertid, många av dessa företag har fortfarande svårt att uppfylla de lagkrav som fastställts av LGPD. Uppgifter från den nationella dataskyddsmyndigheten (ANPD) visar att endast cirka 30% av de drabbade företagen officiellt har anmält händelsen. Denna avvikelse kan tillskrivas olika faktorer, inklusive bristen på medvetenhet, komplexiteten i efterlevnadsprocesserna och rädslan för negativa konsekvenser för företagets rykte
Dagen efter incidenten: första stegen
Efter bekräftelsen av en hackerinvasion, det första steget är att begränsa incidenten för att förhindra dess spridning. Detta inkluderar att isolera de påverkade systemen, avbryta obehörig åtkomst och genomföra åtgärder för att kontrollera skador
Parallellt, det är viktigt att sätta ihop ett incidentrespons-team, som bör inkludera experter inom informationssäkerhet, IT-professionella, advokater och kommunikationskonsulter. Detta team kommer att vara ansvarigt för en serie beslut – främst de som rör verksamhetens fortsättning de kommande dagarna
När det gäller efterlevnad av LGPD, det är nödvändigt att dokumentera alla åtgärder som vidtagits under incidentresponsen. Denna dokumentation kommer att fungera som bevis på att företaget har agerat i enlighet med lagkraven och kan användas vid eventuella revisioner eller utredningar av ANPD
Under de första dagarna, teamet för svar måste genomföra en detaljerad forensisk analys för att identifiera ursprunget till intrånget, metoden som används av hackare och omfattningen av komprometteringen. Denna process är avgörande inte bara för att förstå de tekniska aspekterna av attacken, men också för att samla bevis som kommer att behövas för att rapportera incidenten till de behöriga myndigheterna och även till försäkringsbolaget – om företaget har tecknat en cyberförsäkring
Det finns en mycket viktig aspekt här: den forensiska analysen används också för att avgöra om angriparna fortfarande är inne i företagets nätverk – en situation som, tyvärr, det är mycket vanligt, ännu mer om företaget efter incidenten lider av någon form av ekonomisk utpressning genom att släppa data som brottslingarna eventuellt har stulit
Dessutom, LGPD, i sin artikel 48, kräver att personuppgiftsansvarig informerar den nationella dataskyddsmyndigheten (ANPD) och de berörda registrerade om förekomsten av en säkerhetsincident som kan medföra risk eller betydande skada för de registrerade. Denna kommunikation ska göras inom rimlig tid, enligt specifik reglering från ANPD, och ska inkludera information om arten av de påverkade uppgifterna, de involverade parter, de tekniska och säkerhetsåtgärder som används för att skydda uppgifterna, de risker som är relaterade till incidenten och de åtgärder som har vidtagits eller som kommer att vidtas för att återställa eller mildra effekterna av skadan
Baserat på detta lagkrav, det är avgörande, strax efter den inledande analysen, förbereda en detaljerad rapport som inkluderar all information som nämns av LGPD. I detta, den forensiska analysen hjälper också till att avgöra om det har skett dataintrång och stöld av data – i den utsträckning som brottslingarna eventuellt påstår
Denna rapport bör granskas av efterlevnadsprofessionella och företagets jurister innan den lämnas in till ANPD. Lagstiftningen föreskriver också att företaget ska göra en tydlig och transparent kommunikation till de registrerade som berörs av uppgifterna, förklarar vad som hände, de åtgärder som vidtagits och de följande stegen för att säkerställa skyddet av personuppgifter
Transparens och effektiv kommunikation, förresten, är grundläggande pelare under hanteringen av en säkerhetsincident. Ledningen bör upprätthålla en konstant kommunikation med interna och externa team, säkerställa att alla involverade parter är informerade om framstegen i åtgärderna och de kommande stegen
Utvärdering av säkerhetspolitik är en nödvändig åtgärd
Parallellt med kommunikationen med intressenterna, företaget bör inleda en process för att utvärdera och revidera sina säkerhetspolicyer och -praxis. Detta inkluderar omvärdering av alla säkerhetskontroller, åtkomst, behörigheter med hög åtkomstnivå, samt implementeringen av ytterligare åtgärder för att förebygga framtida incidenter
Parallellt med granskning och analys av påverkade system och processer, företaget bör fokusera, också, i återställandet av systemen och i återupptagandet av deras verksamhet. Detta involverar rengöring av alla påverkade system, tillämpningen av säkerhetspatchar, återställning av säkerhetskopior och omvalidering av åtkomstkontroller. Det är avgörande att säkerställa att systemen är helt säkra innan de sätts tillbaka i drift
När systemen åter är operativa, det är nödvändigt att genomföra en efterincidentgranskning för att identifiera lärdomar och förbättringsområden. Denna granskning bör involvera alla relevanta parter och resultera i en slutrapport som belyser orsakerna till incidenten, de åtgärder som vidtagits, de påverkan och rekommendationerna för att förbättra företagets säkerhetspolicy i framtiden
Förutom de tekniska och organisatoriska åtgärderna, hantering av en säkerhetsincident kräver en proaktiv strategi när det gäller styrning och säkerhetskultur. Detta inkluderar implementeringen av ett kontinuerligt program för förbättringar inom cybersäkerhet och främjandet av en företagskultur som värdesätter säkerhet och integritet
Reaktionen på en säkerhetsincident kräver en uppsättning koordinerade och välplanerade åtgärder, anpassade till kraven i LGPD. Från den initiala begränsningen och kommunikationen med intressenterna till återställningen av systemen och efterincidentgranskningen, varje steg är avgörande för att minimera negativa effekter och säkerställa laglig efterlevnad. Mer än så, det är nödvändigt att se problemen i ögonen och åtgärda dem – framför allt, ett incident bör ta företagets cybersäkerhetsstrategi till en ny nivå
