发生安全事件导致黑客入侵无疑是当今任何企业最大的噩梦之一。 除了对业务的直接影响外,还存在可能持续数月甚至数年的法律和声誉方面的影响。 在巴西,通用数据保护法(LGPD)规定了企业在发生此类事件后必须遵守的一系列要求。
根据里约格兰德苏尔联邦企业协会(Federasul)最近的一份报告,超过40%的巴西企业曾遭受过某种类型的网络攻击。 然而,许多这些公司仍然面临遵守《通用数据保护条例》规定的法律要求的困难。 国家数据保护局(ANPD)的数据显示,只有大约30%的被侵入企业正式报告了事件的发生。 这种差异可能归因于多种因素,包括缺乏意识、合规流程的复杂性以及对公司声誉受到负面影响的担忧。
事件发生后的第二天:第一步
在确认黑客入侵后,第一步是遏制事件,以防止其扩散。 这包括隔离受影响的系统,阻止未经授权的访问以及实施损害控制措施。
同时,组建一支应急响应团队也很重要,该团队应包括信息安全专家、IT专业人员、律师和沟通顾问。 这个团队将负责一系列的决策——主要是涉及业务在接下来的几天内的持续性。
在符合《通用数据保护条例》(LGPD)的方面,必须记录在事件响应过程中采取的所有行动。 本文件将作为公司遵守法律要求的证据,并可在ANPD的审计或调查中使用。
在最初几天,响应团队应进行详细的取证分析,以识别入侵的来源、黑客使用的方法以及受影响的范围。 这个过程对于理解攻击的技术方面以及收集向相关当局和保险公司报告事件所需的证据都至关重要——如果公司购买了网络保险的话。
这里有一个非常重要的方面:取证分析还可以确定攻击者是否仍在公司网络中——不幸的是,这种情况非常常见,如果事件发生后公司通过发布犯罪分子可能窃取的数据而遭受某种财务勒索,则更是如此。
此外,LGPD在第48条中规定,数据控制者应向国家数据保护局(ANPD)及受影响的数据所有者通报可能对所有者造成风险或重大损害的安全事件的发生。 此通知应在合理期限内根据ANPD的具体规定进行,并应包括有关受影响数据的性质、相关数据主体、用于保护数据的技术和安全措施、与事件相关的风险以及已采取或将要采取的措施以逆转或减轻损失的影响的信息。
根据这一法律要求,在初步分析之后,必须准备一份详细的报告,包含LGPD提及的所有信息。 在此,取证分析也有助于确定是否存在数据提取和盗窃——以犯罪分子可能声称的程度为准。
该报告应由合规专业人员和公司律师在提交给ANPD之前进行审查。 法律还规定,公司应向受影响的数据所有者进行清晰透明的沟通,解释发生的情况、采取的措施以及确保个人数据保护的后续步骤。
透明度和有效沟通,实际上,是安全事件管理中的基本支柱。 管理层应与内部和外部团队保持持续沟通,确保所有相关方了解行动的进展和下一步措施。
安全政策评估是必要行动
除了与相关方的沟通外,公司还应启动安全政策和实践的评估与审查流程。 这包括对所有安全控制、访问权限、具有高级权限的凭证的重新评估,以及实施额外措施以防止未来的事件。
在审查和分析受影响的系统和流程的同时,公司还应专注于系统的恢复和运营的恢复。 这包括清理所有受影响的系统、应用安全补丁、恢复备份以及重新验证访问控制。 在重新投入运行之前,确保系统完全安全是至关重要的。
一旦系统重新正常运行,就需要进行事后审查,以识别经验教训和改进领域。 此次审查应涵盖所有相关方面,并产生一份最终报告,重点说明事件的原因、采取的措施、影响以及未来改善公司安全态势的建议。
除了技术和组织措施外,安全事件的管理还需要在治理和安全文化方面采取主动措施。 这包括实施一个持续的网络安全改进计划以及促进一种重视安全和隐私的企业文化。
对安全事件的反应需要一套协调良好、规划周密的行动,符合LGPD的要求。 从最初的遏制和与相关方的沟通到系统的恢复和事后审查,每一步都对减少负面影响和确保法律合规至关重要。 更重要的是,要正视漏洞并加以修正——最重要的是,一次事件应将公司的网络安全策略提升到一个新的水平。
