駭客攻擊後的第二天:知道公司要優先考慮什麼

導致駭客入侵的安全事件的發生無疑是當今任何公司最大的噩夢之一。除了對業務的直接影響外,還會產生可能持續數月甚至數年的法律和聲譽影響。在巴西,《一般資料保護規範》(LGPD) 規定了一系列要求,公司在發生此類事件後必須遵守這些要求。.

根據 Federasul(南里奧格蘭德州商業實體聯合會 -)最近的一份報告,超過 40% 的巴西公司已成為某種類型網路攻擊的目標。然而,其中許多公司在遵守LGPD 制定的法律要求。國家資料保護局(ANPD)的數據顯示,只有約30%的被入侵公司正式宣布事件發生。這種差異可歸因於多種因素,包括缺乏認識、合規流程複雜以及擔心公司聲譽受到負面影響。.

事件發生後的第二天:第一步

確認駭客入侵後,首要措施是遏制事件,防止其傳播。這包括隔離受影響的系統、停止未經授權的存取以及實施損害控制措施。.

同時,組成一個事件回應團隊也很重要,其中應包括資訊安全專家、IT專業人員、律師和通訊顧問。該團隊將負責一系列決策流程,特別是涉及未來幾天業務連續性的決策流程。.

在遵守 LGPD 方面,有必要記錄事件回應期間採取的所有行動。該文件將作為公司按照法律要求行事的證據,並可用於 ANPD 的任何審計或調查。.

在早期,回應團隊必須進行詳細的取證分析,以確定入侵的來源、駭客使用的方法以及妥協的範圍。這個過程不僅對於了解攻擊的技術方面至關重要,而且對於收集向主管機關和保險公司報告事件所需的證據至關重要「如果該公司已經進行了網路保險」。.

這裡有一個非常重要的方面:取證分析還可以確定攻擊者是否仍在公司網路內,不幸的是,這種情況非常常見,特別是如果事件發生後公司遭受某種財務勒索釋放犯罪分子最終竊取的數據。.

此外,LGPD在其第48條中要求資料控制者向國家資料保護局(ANPD)和受影響的資料主體通報可能對資料主體造成相關風險或損害的安全事件的發生情況。這種溝通必須根據特定的 ANPD 法規在合理的時間內進行,並且必須包括有關受影響資料的性質、所涉及的資料主體、用於資料保護的技術和安全措施、與事件相關的風險以及已經或將要採取的措施來扭轉或減輕傷害的影響。.

根據這項法律要求,在初步分析後不久,有必要準備一份包含 LGPD 提到的所有資訊的詳細報告。在此過程中,法醫分析還有助於確定是否存在犯罪分子最終聲稱的資料提取和盜竊行為。.

該報告在提交給 ANPD 之前必須經過合規專業人士和公司律師的審查。該立法還要求公司與受影響的資料主體進行清晰透明的溝通,解釋所發生的情況、採取的措施以及確保個人資料保護的以下步驟。.

順便說一句,透明度和有效的溝通是安全事件管理過程中的關鍵支柱。管理階層必須與內部和外部團隊保持持續溝通,確保所有相關方了解行動的進度和後續步驟。.

安全政策的評估是必要的

在與利害關係人溝通的同時,公司應開始評估和審查其安全政策和實踐。這包括重新評估所有安全控制、存取、高存取等級的憑證,以及實施額外措施來防止未來發生事件。.

在審查和分析受影響的系統和流程的同時,公司還應專注於系統的恢復及其營運的恢復。這涉及清理所有受影響的系統、應用安全修補程式、恢復備份和重新驗證存取控制。在系統重新投入運作之前,必須確保系統完全安全。.

一旦系統恢復運行,就需要進行事件後審查,以確定經驗教訓和需要改進的領域。此次審查應讓所有相關方參與,並產生最終報告,強調事件的原因、採取的行動、影響以及改善公司未來安全態勢的建議。.

除了技術和組織行動之外,管理安全事件還需要採取積極主動的安全治理和文化方法。這包括實施持續的網路安全改進計劃以及促進重視安全和隱私的企業文化。.

對安全事件的反應需要一系列協調一致且精心策劃的行動,符合 LGPD 的要求。從最初的遏制和與利益相關者的溝通到系統恢復和事件後審查,每一步對於最大限度地減少負面影響並確保法律合規性至關重要。除此之外,您還需要正面審視缺陷並糾正它們「最重要的是,事件應該將公司的網路安全策略提升到一個新的水平。.