На наступний день після хакерської атаки: знайте, що розставити в компанії за пріоритетністю

Поява інциденту безпеки, яка призводить до вторгнення хакерів, безсумнівно, є одним із найбільших кошмарів для будь-якої компанії сьогодні. На додаток до безпосереднього впливу на бізнес, існують юридичні та репутаційні наслідки, які можуть тривати місяцями або навіть роками. У Бразилії Закон про загальний захист даних (LGPD) встановлює низку вимог, яких компанії повинні дотримуватися після виникнення таких інцидентів.

Згідно з нещодавнім звітом Федерасула – Федерації бізнес-утворень Ріо-Гранде-ду-Сул, понад 401 тп3Т бразильських компаній вже стали об’єктом певного типу кібератаки. Однак багато з цих компаній все ще стикаються з труднощами у виконанні вимог законодавства, встановлених LGPD. Дані Національного органу захисту даних (ANPD) показують, що лише близько 301 т.п. 3 т компаній, які вторглися, офіційно оголосили інцидент. Цю невідповідність можна пояснити кількома факторами, включаючи недостатню обізнаність, складність процесів дотримання вимог та страх перед негативними наслідками для репутації компанії.

День після інциденту: перші кроки

Після підтвердження вторгнення хакерів першим заходом є стримування інциденту, щоб запобігти його поширенню. Це включає ізоляцію уражених систем, припинення несанкціонованого доступу та впровадження заходів контролю шкоди.

Паралельно важливо створити групу реагування на інциденти, до якої повинні входити експерти з інформаційної безпеки, ІТ-фахівці, юристи та консультанти з комунікацій. Ця команда відповідатиме за низку прийняття рішень, особливо тих, які передбачають безперервність бізнесу в наступні дні.

З точки зору дотримання ГПД, необхідно задокументувати всі дії, вжиті під час реагування на інцидент. Ця документація буде служити доказом того, що Компанія діяла відповідно до вимог законодавства і може використовуватися в остаточних перевірках або розслідуванні ANPD.

Протягом перших кількох днів група реагування повинна провести детальний судово-медичний аналіз, щоб визначити походження вторгнення, метод, який використовується хакерами та обсяг прихильності. Цей процес є життєво важливим не лише для розуміння технічних аспектів атаки, а й для збору доказів, які будуть необхідні для повідомлення про інцидент компетентним органам, а також страховику – якщо компанія проводила кіберстрахування.

Тут є дуже важливий аспект: судово-медичний аналіз також служить для визначення того, чи зловмисники все ще перебувають у мережі компанії – ситуація, яка, на жаль, дуже поширена, тим більше, якщо після інциденту компанія зазнає якогось фінансового шантажу, оприлюднивши дані, які злочинці врешті-решт викрали.

Крім того, LGPD у своїй статті 48 вимагає від контролера даних повідомити Національний орган захисту даних (ANPD) та суб’єктам даних, які постраждали від події безпеки, яка може спричинити ризик або пошкодження власників. Це повідомлення має бути здійснене протягом розумного періоду відповідно до конкретного регламенту ANPD і має включати інформацію про характер залучених даних, залучених власників, про технічні заходи та заходи безпеки, які використовуються для захисту даних, ризики, пов’язані з інцидентом, та заходи, які були або які будуть вжиті для скасування або пом’якшення наслідків шкоди.

Виходячи з цієї законодавчої вимоги, після первинного аналізу важливо підготувати детальний звіт, який містить всю інформацію, згадану LGPD. У цьому судово-медичний аналіз також допомагає визначити, чи було вилучення даних і крадіжка – до такої міри, в якій зрештою заявляють злочинці.

Цей звіт повинен бути перевірений фахівцями з комплаєнс та юристами компанії перед подачею до ANPD. Законодавством також визначено, що компанія надає чітке та прозоре повідомлення власникам заражених даних, пояснюючи, що сталося, вжиті заходи та наступні кроки для забезпечення захисту персональних даних.

Прозорість та ефективна комунікація, по суті, є фундаментальними стовпами під час управління інцидентом безпеки. Керівництво має підтримувати постійне спілкування з внутрішніми та зовнішніми командами, забезпечуючи поінформованість усіх залучених сторін про хід дій та наступні кроки.

Оцінка політики безпеки є необхідною дією

Паралельно з комунікацією із зацікавленими сторонами, компанія повинна розпочати процес оцінки та перегляду своїх політик і практик безпеки. Це включає переоцінку всіх засобів контролю безпеки, доступу, облікових даних з високим рівнем доступу, а також впровадження додаткових заходів для запобігання майбутнім інцидентам.

Паралельно з оглядом та аналізом уражених систем і процесів, компанія також повинна зосередитися на відновленні систем і відновленні її діяльності. Це передбачає очищення всіх уражених систем, застосування виправлень безпеки, відновлення резервних копій та повторного контролю доступу. Важливо переконатися, що системи повністю безпечні перед введенням в експлуатацію.

Після того, як системи знову запрацюють, для визначення отриманих уроків та напрямків для покращення потрібен огляд після інциденту. Цей огляд має залучати всі відповідні сторони та в результаті до остаточного звіту, в якому висвітлюються причини інциденту, вжиті заходи, вплив та рекомендації щодо покращення позиції компанії в майбутньому.

На додаток до технічних та організаційних дій, управління інцидентом безпеки вимагає активного підходу до культури управління та безпеки. Це включає впровадження безперервної програми покращення кібербезпеки та просування корпоративної культури, яка підвищує безпеку та конфіденційність.

Реакція на інцидент безпеки вимагає набору добре спланованих і добре спланованих дій, що відповідають вимогам GLPD. Від початкового стримування та спілкування із зацікавленими сторонами до відновлення системи та перевірки після інциденту, кожен крок є важливим для мінімізації негативного впливу та забезпечення дотримання законодавства. Більше того, вам потрібно дивитися вперед на недоліки та виправляти їх – перш за все, інцидент повинен вивести стратегію кібербезпеки компанії на новий рівень.