Förekomsten av en säkerhetsincident som resulterar i en hackerattack är utan tvekan en av de största mardrömmarna för vilket företag som helst idag. Förutom den omedelbara påverkan på verksamheten finns det juridiska och rykte-relaterade konsekvenser som kan kvarstå i månader eller till och med år. I Brasil fastställs en rad krav som företag måste följa efter sådana incidenter enligt den allmänna dataskyddslagen (LGPD).
Enligt en nyligen rapport från Federasul – Federation of Business Entities of Rio Grande do Sul – har mer än 40 % av de brasilianska företagen redan utsatts för någon form av cyberattack. Men många av dessa företag kämpar fortfarande med att uppfylla de lagstadgade kraven som fastställs av LGPD. Data från den nationella dataskyddsmyndigheten (ANPD) visar att endast cirka 30 % av de drabbade företagen officiellt rapporterade incidenten. Denna skillnad kan tillskrivas flera faktorer, inklusive brist på medvetenhet, komplexiteten i efterlevnadsprocesserna och rädslan för negativa konsekvenser för företagets rykte.
Dagen efter incidenten: första stegen
Efter att ha bekräftat en hackerattack är den första åtgärden att begränsa incidenten för att förhindra dess spridning. Detta inkluderar att isolera de drabbade systemen, stoppa obehörig åtkomst och genomföra skadeshanteringsåtgärder.
Parallellt är det viktigt att bilda ett incidenthanteringsteam som ska inkludera informationssäkerhetsspecialister, IT-professionella, advokater och kommunikationskonsulter. Det här teamet kommer att vara ansvarigt för en serie beslut – framför allt de som rör verksamhetens fortsättning under de kommande dagarna.
När det gäller efterlevnad av LGPD är det nödvändigt att dokumentera alla åtgärder som vidtas under incidenthanteringen. Denna dokumentation kommer att fungera som bevis på att företaget har agerat i enlighet med lagkraven och kan användas vid eventuella revisioner eller utredningar av ANPD.
Under de första dagarna bör svarsteamet genomföra en noggrann forensisk analys för att identifiera ursprunget till intrånget, metoden som hackarna använde och omfattningen av kompromettingen. Denna process är avgörande inte bara för att förstå de tekniska aspekterna av attacken, utan också för att samla in bevis som kommer att vara nödvändiga för att rapportera incidenten till behöriga myndigheter och även till försäkringsbolaget – om företaget har tecknat en cyberförsäkring.
Det finns en mycket viktig aspekt här: den forensiska analysen används också för att avgöra om angriparna fortfarande är inne i företagets nätverk – en situation som tyvärr är mycket vanlig, särskilt om företaget efter incidenten utsätts för någon form av ekonomisk utpressning genom att data som brottslingarna eventuellt har stulit frigörs.
Dessutom kräver LGPD i artikel 48 att datakontrollanten informerar den nationella dataskyddsmyndigheten (ANPD) och de berörda registrerade om en säkerhetsincident som kan medföra risk eller betydande skada för de registrerade. Denna kommunikation ska göras inom en rimlig tidsram, enligt ANPD:s specifika reglering, och ska innehålla information om arten av de berörda uppgifterna, de berörda registrerade, de tekniska och säkerhetsåtgärder som används för att skydda uppgifterna, riskerna i samband med incidenten samt de åtgärder som har vidtagits eller kommer att vidtas för att vända eller mildra skadans effekter.
Baserat på denna lagliga krav är det avgörande att omedelbart efter den initiala analysen förbereda en detaljerad rapport som inkluderar all information som nämns i GDPR. Därutöver hjälper den forensiska analysen också till att fastställa om det har skett datautvinning och stöld – i den utsträckning som brottslingarna eventuellt hävdar.
Denna rapport ska granskas av compliance-experter och företagets advokater innan den lämnas in till ANPD. Lagstiftningen fastställer också att företaget ska göra en tydlig och transparent kommunikation till de registrerade, förklara vad som hänt, vilka åtgärder som vidtagits och de nästa stegen för att säkerställa skyddet av personuppgifterna.
Transparens och effektiv kommunikation är för övrigt grundpelare under hanteringen av en säkerhetsincident. Ledningen bör upprätthålla en ständig kommunikation med interna och externa team, säkerställa att alla involverade är informerade om framstegen och de kommande stegen.
Utvärdering av säkerhetspolitik är en nödvändig åtgärd
Parallellt med kommunikationen med intressenterna bör företaget påbörja en process för att utvärdera och granska sina säkerhetspolicyer och -praxis. Detta inkluderar en omvärdering av alla säkerhetskontroller, åtkomster, behörigheter med hög åtkomstnivå samt implementering av ytterligare åtgärder för att förhindra framtida incidenter.
Parallellt med granskning och analys av påverkade system och processer bör företaget också fokusera på återhämtning av systemen och återställning av deras verksamhet. Detta innebär att rengöra alla drabbade system, tillämpa säkerhetsuppdateringar, återställa säkerhetskopior och omvärdera åtkomstkontrollerna. Det är avgörande att säkerställa att systemen är helt säkra innan de sätts i drift igen.
När systemen är återigen i drift är det nödvändigt att genomföra en efterincidentgranskning för att identifiera lärdomar och förbättringsområden. Denna översyn bör omfatta alla relevanta delar och resultera i en slutrapport som belyser orsakerna till incidenten, de vidtagna åtgärderna, påverkan och rekommendationer för att förbättra företagets säkerhetsställning i framtiden.
Förutom tekniska och organisatoriska åtgärder kräver hanteringen av en säkerhetsincident en proaktiv strategi när det gäller styrning och säkerhetskultur. Det inkluderar implementeringen av ett kontinuerligt program för förbättringar inom cybersäkerhet och främjandet av en företagskultur som värdesätter säkerhet och integritet.
Reaktionen på en säkerhetsincident kräver en uppsättning koordinerade och välplanerade åtgärder, i enlighet med kraven i LGPD. Från den initiala begränsningen och kommunikationen med berörda parter till återhämtning av systemen och efterincidentgranskningen är varje steg avgörande för att minimera negativa effekter och säkerställa juridisk efterlevnad. Mer än så måste man se direkt på bristerna och åtgärda dem – framför allt bör en incident leda företagets cybersäkerhetsstrategi till en ny nivå.
