Một ngày sau vụ hacker tấn công: biết những gì cần ưu tiên trong công ty

Sự xuất hiện của một sự cố bảo mật dẫn đến một cuộc xâm lược của hacker chắc chắn là một trong những cơn ác mộng lớn nhất đối với bất kỳ công ty nào hiện nay.Ngoài tác động ngay lập tức đến kinh doanh, còn có những tác động pháp lý và danh tiếng có thể kéo dài trong nhiều tháng hoặc thậm chí nhiều năm.Ở Brazil, Luật bảo vệ dữ liệu chung (LGPD) thiết lập một loạt các yêu cầu mà các công ty phải tuân theo sau khi xảy ra sự cố như vậy.

Theo một báo cáo gần đây của Federasul (Liên đoàn các thực thể kinh doanh của Rio Grande do Sul -, hơn 40% của các công ty Brazil đã là mục tiêu của một số loại tấn công mạng.Tuy nhiên, nhiều công ty trong số này vẫn gặp khó khăn trong việc tuân thủ các yêu cầu pháp lý do LGPD thiết lập. Dữ liệu từ Cơ quan bảo vệ dữ liệu quốc gia (ANPD) tiết lộ rằng chỉ có khoảng 30% trong số các công ty bị xâm lược đã chính thức tuyên bố sự xuất hiện của vụ việc. Sự khác biệt này có thể là do một số yếu tố, bao gồm thiếu nhận thức, sự phức tạp của các quy trình tuân thủ và nỗi sợ hãi về những tác động tiêu cực đến danh tiếng của công ty.

Ngày sau khi xảy ra sự cố: những bước đầu tiên

Sau khi xác nhận một cuộc xâm lược của hacker, biện pháp đầu tiên là ngăn chặn sự cố để ngăn chặn sự lây lan của nó.Điều này bao gồm cách ly các hệ thống bị ảnh hưởng, ngăn chặn truy cập trái phép và thực hiện các biện pháp kiểm soát thiệt hại.

Song song đó, điều quan trọng là phải tập hợp một nhóm ứng phó sự cố, trong đó phải bao gồm các chuyên gia bảo mật thông tin, chuyên gia CNTT, luật sư và tư vấn truyền thông. đội ngũ này sẽ chịu trách nhiệm cho một loạt các quy trình ra quyết định ¡N đặc biệt là những quy trình liên quan đến kinh doanh liên tục trong những ngày tiếp theo.

Về mặt tuân thủ LGPD, cần phải ghi lại tất cả các hành động được thực hiện trong quá trình phản hồi sự cố. tài liệu này sẽ đóng vai trò là bằng chứng cho thấy công ty đã hành động phù hợp với các yêu cầu pháp lý và có thể được sử dụng trong bất kỳ cuộc kiểm toán hoặc điều tra nào của ANPD.

Trong những ngày đầu, nhóm phản ứng phải tiến hành phân tích pháp y chi tiết để xác định nguồn gốc của sự xâm nhập, phương pháp được sử dụng bởi các tin tặc và phạm vi của sự thỏa hiệp. quá trình này là rất quan trọng không chỉ để hiểu các khía cạnh kỹ thuật của cuộc tấn công, mà còn để thu thập bằng chứng sẽ là cần thiết để báo cáo sự cố cho các cơ quan có thẩm quyền và cũng cho công ty bảo hiểm 'NẾU công ty đã thực hiện bảo hiểm mạng.

Có một khía cạnh rất quan trọng ở đây: phân tích pháp y cũng phục vụ để xác định xem những kẻ tấn công có còn nằm trong mạng lưới công ty hay không & Một tình huống, thật không may, là rất phổ biến, đặc biệt nếu sau vụ việc, công ty đang phải chịu một số loại tống tiền tài chính bằng cách phát hành dữ liệu mà bọn tội phạm cuối cùng đã đánh cắp.

Ngoài ra, LGPD, trong điều 48 của mình, yêu cầu người kiểm soát dữ liệu liên lạc với Cơ quan bảo vệ dữ liệu quốc gia (ANPD) và các chủ thể dữ liệu bị ảnh hưởng về sự xuất hiện của sự cố bảo mật có thể kéo theo rủi ro hoặc thiệt hại liên quan đến chủ thể dữ liệu. Việc liên lạc này phải được thực hiện trong thời gian hợp lý, phù hợp với các quy định cụ thể của ANPD và phải bao gồm thông tin về bản chất của dữ liệu bị ảnh hưởng, chủ thể dữ liệu liên quan, các biện pháp kỹ thuật và bảo mật được sử dụng để bảo vệ dữ liệu, các rủi ro liên quan đến sự cố và các biện pháp đã hoặc sẽ được áp dụng để đảo ngược hoặc giảm thiểu ảnh hưởng của thương tích.

Dựa trên yêu cầu pháp lý này, ngay sau phân tích ban đầu, điều cần thiết là phải chuẩn bị một báo cáo chi tiết bao gồm tất cả thông tin được LGPD đề cập. Trong đó, phân tích pháp y cũng giúp xác định liệu có hành vi trích xuất và đánh cắp dữ liệu đến mức mà bọn tội phạm cuối cùng đã tuyên bố hay không.

Báo cáo này phải được các chuyên gia tuân thủ và luật sư của công ty xem xét trước khi nộp cho ANPD. Pháp luật cũng yêu cầu công ty phải liên lạc rõ ràng và minh bạch với các chủ thể dữ liệu bị ảnh hưởng, giải thích những gì đã xảy ra, các biện pháp được thực hiện và các bước sau để đảm bảo bảo vệ dữ liệu cá nhân.

Minh bạch và hiệu quả truyền thông, tình cờ, là trụ cột chính trong quá trình quản lý một sự cố an ninh. quản lý phải duy trì liên lạc liên tục với các nhóm nội bộ và bên ngoài, đảm bảo rằng tất cả các bên liên quan được thông báo về tiến trình của các hành động và các bước tiếp theo.

Việc đánh giá các chính sách bảo mật là cần thiết

Song song với việc giao tiếp với các bên liên quan, công ty nên bắt đầu quá trình đánh giá và xem xét các chính sách và thực tiễn bảo mật của mình.Điều này bao gồm đánh giá lại tất cả các biện pháp kiểm soát bảo mật, quyền truy cập, thông tin xác thực với mức độ truy cập cao, cũng như thực hiện các biện pháp bổ sung để ngăn chặn các sự cố trong tương lai.

Song song với việc xem xét và phân tích các hệ thống và quy trình bị ảnh hưởng, công ty cũng nên tập trung vào việc khôi phục hệ thống và khôi phục hoạt động của chúng.Điều này liên quan đến việc làm sạch tất cả các hệ thống bị ảnh hưởng, áp dụng các bản vá bảo mật, khôi phục bản sao lưu và xác nhận lại các biện pháp kiểm soát truy cập.Điều cần thiết là đảm bảo rằng các hệ thống hoàn toàn an toàn trước khi chúng được đưa vào hoạt động trở lại.

Một khi các hệ thống hoạt động trở lại, một đánh giá sau sự cố là cần thiết để xác định các bài học kinh nghiệm và các lĩnh vực để cải thiện. xem xét này nên liên quan đến tất cả các bên liên quan và kết quả trong một báo cáo cuối cùng nêu bật các nguyên nhân của sự cố, các hành động được thực hiện, các tác động và khuyến nghị để cải thiện tình trạng an ninh của công ty trong tương lai.

Ngoài các hành động kỹ thuật và tổ chức, quản lý một sự cố bảo mật đòi hỏi một cách tiếp cận chủ động để quản trị an ninh và culture.This bao gồm thực hiện một chương trình liên tục cải tiến an ninh mạng và thúc đẩy một nền văn hóa doanh nghiệp coi trọng an ninh và quyền riêng tư.

Phản ứng trước một sự cố bảo mật đòi hỏi một tập hợp các hành động phối hợp và được lên kế hoạch tốt, phù hợp với các yêu cầu của LGPD.Từ ngăn chặn ban đầu và liên lạc với các bên liên quan đến việc khôi phục hệ thống và xem xét sau sự cố, mỗi bước là cần thiết để giảm thiểu tác động tiêu cực và đảm bảo tuân thủ pháp luật.Hơn thế nữa, bạn cần phải nhìn về phía trước để thất bại và sửa chúng 'trên hết, một sự cố nên đưa chiến lược an ninh mạng của công ty lên một tầm cao mới.