bir siber güvenlik olayı meydana gelmesi ve bunun bir hacker saldırısına yol açmasıdır, şüphesiz, bugün herhangi bir şirket için en büyük kabuslardan biri. Ayrıca işlerdeki anlık etki, hukuki ve itibar açısından aylarca veya yıllarca sürebilecek etkileri olabilir. Brezilya'da, Genel Veri Koruma Yasası (LGPD), şirketlerin bu tür olayların ardından uyması gereken bir dizi gereklilik belirler
Sonuç olarak, yakın zamanda Federasul tarafından yayımlanan bir rapora göre – Rio Grande do Sul İşletmeler Dernekleri Federasyonu -, Brezilya'daki şirketlerin %40'ından fazlası zaten bir tür siber saldırıya maruz kaldı. Ancak, bu şirketlerin birçoğu hala LGPD tarafından belirlenen yasal gereklilikleri yerine getirmekte zorluk çekiyor. Ulusal Veri Koruma Otoritesi (ANPD) verilerine göre, saldırıya uğrayan şirketlerin yalnızca yaklaşık %30'u olayı resmi olarak bildirmiştir. Bu tutarsızlık çeşitli faktörlere atfedilebilir, farkındalık eksikliği de dahil olmak üzere, uygunluk süreçlerinin karmaşıklığı ve şirketin itibarında olumsuz sonuçlar korkusu
Olaydan sonraki gün: ilk adımlar
Bir hacker saldırısının onaylanmasının ardından, ilk adım olayı kontrol altına almak ve yayılmasını önlemektir. Bu, etkilenen sistemleri izole etmeyi içerir, yetkisiz erişimi kesmek ve zarar kontrol önlemleri uygulamak
Paralel olarak, bir olaylara müdahale ekibi kurmak önemlidir, bilgi güvenliği uzmanlarını içermelidir, BT profesyonelleri, avukatlar ve iletişim danışmanları. Bu ekip bir dizi karar almaktan sorumlu olacak – özellikle sonraki günlerde işin sürekliliğini içerenler
LGPD'ye uyum açısından, Olay yanıtı sırasında alınan tüm eylemleri belgelemek gereklidir. Bu belge, şirketin yasal gereklere uygun hareket ettiğine dair bir kanıt olarak hizmet edecek ve ANPD tarafından yapılacak olası denetimlerde veya soruşturmalarda kullanılabilecektir
İlk günlerde, yanıt ekibi, saldırının kaynağını belirlemek için ayrıntılı bir adli analiz gerçekleştirmelidir, hackers tarafından kullanılan yöntem ve ihlalin kapsamı. Bu süreç, saldırının teknik yönlerini anlamak için hayati öneme sahiptir, ama aynı zamanda yetkili otoritelere ve sigorta şirketine olayı raporlamak için gerekli olacak kanıtları toplamak içindir – eğer şirket siber sigorta yaptırmışsa
Burada çok önemli bir nokta var: adli analiz aynı zamanda saldırganların şirketin ağında hâlâ olup olmadığını belirlemek için de kullanılır – bir durum ki, maalesef, çok yaygındır, daha da olaydan sonra şirket, suçluların belki de çaldığı verilerin serbest bırakılması yoluyla herhangi bir tür mali şantaja maruz kalıyorsa
Ayrıca, LGPD, 48. maddesinde, veri, veri sahiplerine önemli bir risk veya zarar verebilecek bir güvenlik olayı meydana geldiğinde, veri kontrolörünün Ulusal Veri Koruma Otoritesi'ne (ANPD) ve etkilenen veri sahiplerine bildirimde bulunmasını gerektirir. Bu iletişim makul bir süre içinde yapılmalıdır, ANPD'nin özel düzenlemesine uygun olarak, ve ve içermelidir etkilenen verilerin doğası hakkında bilgiler, ilgili başlıklar, veri koruma için kullanılan teknik ve güvenlik önlemleri, olayla ilgili riskler ve zararın etkilerini tersine çevirmek veya hafifletmek için alınan veya alınacak önlemler
Bu yasal gereklilik temelinde, hayati önem taşıyor, ilk analizden hemen sonra, LGPD tarafından belirtilen tüm bilgileri içeren ayrıntılı bir rapor hazırlamak. Bunda, adli analiz ayrıca veri çıkarımı ve hırsızlığının olup olmadığını belirlemeye yardımcı olur – suçluların nihayetinde iddia ettikleri ölçüde
Bu rapor, ANPD'ye sunulmadan önce uyum uzmanları ve şirket avukatları tarafından gözden geçirilmelidir. Yasa ayrıca şirketin etkilenen veri sahiplerine açık ve şeffaf bir iletişimde bulunmasını zorunlu kılar, olayı açıklamak, alınan önlemler ve kişisel verilerin korunmasını sağlamak için atılacak sonraki adımlar
Şeffaflık ve etkili iletişim, ayrıca, güvenlik olayı yönetimi sırasında temel direklerdir. Yönetim, iç ve dış ekiplerle sürekli bir iletişim sağlamalıdır, tüm tarafların eylemlerin ilerlemesi ve sonraki adımlar hakkında bilgilendirildiğinden emin olmak
Güvenlik politikalarının değerlendirilmesi gerekli bir eylemdir
Paydaşlarla iletişimle paralel olarak, şirket, güvenlik politikaları ve uygulamalarını değerlendirme ve gözden geçirme sürecine başlamalıdır. Bu, tüm güvenlik kontrollerinin yeniden değerlendirilmesini içerir, erişimler, yüksek erişim seviyesine sahip kimlik bilgileri, gelecek olayları önlemek için ek önlemlerin uygulanması
Etkilenen sistemler ve süreçlerin gözden geçirilmesi ve analizi ile paralel olarak, şirket odaklanmalıdır, aynı zamanda, sistemlerin kurtarılmasında ve operasyonlarının yeniden sağlanmasında. Bu, etkilenen tüm sistemlerin temizlenmesini içerir, güvenlik yamalarının uygulanması, yedeklerin geri yüklenmesi ve erişim kontrollerinin yeniden doğrulanması. Sistemlerin tekrar çalışmaya alınmadan önce tamamen güvenli olduğundan emin olmak esastır
Sistemler yeniden çalışır hale geldiğinde, bir olay sonrası inceleme yapmak, öğrenilen dersleri ve iyileştirme alanlarını belirlemek gereklidir. Bu inceleme, tüm ilgili tarafları kapsamalı ve olaya neden olan unsurları vurgulayan bir nihai raporla sonuçlanmalıdır, alınan önlemler, şirketin gelecekteki güvenlik duruşunu iyileştirmek için etkiler ve öneriler
Teknik ve organizasyonel eylemlerin yanı sıra, bir güvenlik olayı yönetimi, yönetişim ve güvenlik kültürü ile ilgili proaktif bir yaklaşım gerektirir. Bu, sürekli bir siber güvenlik iyileştirme programının uygulanmasını ve güvenlik ile gizliliği değerli kılan bir kurumsal kültürün teşvik edilmesini içerir
Bir güvenlik olayına tepki, koordine edilmiş ve iyi planlanmış bir dizi eylem gerektirir, LGPD gereksinimlerine uygun hale getirilmiş. Başlangıçtaki kısıtlamalardan ve paydaşlarla iletişimden sistemlerin kurtarılmasına ve olay sonrası gözden geçirmeye kadar, her adım, olumsuz etkileri en aza indirmek ve yasal uyumu sağlamak için esastır. Bundan daha fazlası, hataları doğrudan görmek ve düzeltmek gerekir – her şeyden önce, bir olay, şirketin siber güvenlik stratejisini yeni bir seviyeye taşımalıdır
