6 Perkara yang tidak perlu dilakukan selepas pelanggaran data

Mengekalkan dan menguatkuasakan keselamatan IT adalah sesuatu yang telah kita teliti dari beberapa sudut, terutamanya bagaimana cara dan berkembangnya tren keselamatan, dan itu pasti maklumat yang anda harus teliti. Di samping itu, anda harus memastikan perniagaan anda dilengkapi dengan baik untuk melindungi dan mempertahankan diri dari serangan siber, terutamanya melalui perlindungan endpoint IT dan pengurusan identiti berbilang dan langkah kawalan akses. Proses sandaran data yang mantap dan diuji juga mestilah. Malangnya, buku panduan untuk pelanggaran data terus berubah, yang bermaksud beberapa tindakan anda semasa bencana mungkin berbahaya kerana ia membantu. Di sinilah bahagian ini masuk.

, kami membincangkan apa yang harus dielakkan syarikat apabila mereka menyedari sistem mereka telah dilanggar. Kami bercakap dengan beberapa pakar dari syarikat-syarikat keselamatan dan firma analisis industri untuk lebih memahami kemungkinan terjadinya perangkap dan senario bencana yang berlaku selepas serangan cyber.

1. Jangan Menambah Baik

Sekiranya berlaku serangan, naluri pertama anda akan memberitahu anda untuk memulakan proses membetulkan keadaan. Ini mungkin termasuk melindungi titik akhir yang telah disasarkan atau dikembalikan ke backup sebelumnya untuk menutup titik masuk yang digunakan oleh penyerang anda. Malangnya, jika anda tidak pernah mengembangkan strategi sebelum ini, maka keputusan yang terburu-buru yang anda lakukan selepas serangan dapat memperburuk keadaan.

"Perkara pertama yang anda tidak perlu lakukan selepas melanggar adalah membuat respons anda dengan cepat, " kata Mark Nunnikhoven, Naib Presiden Penyelidikan Awan di penyedia penyelesaian keselamatan siber Trend Micro. "Sebahagian kritikal dari pelan tindak balas kejadian anda adalah persediaan. Kenalan utama perlu dipetakan lebih awal daripada masa dan disimpan secara digital. Ia juga boleh didapati dalam salinan keras sekiranya berlaku pelanggaran bencana. Apabila bertindak balas terhadap pelanggaran, perkara terakhir anda perlu dilakukan adalah cuba untuk mengetahui siapa yang bertanggungjawab untuk tindakan dan siapa yang boleh memberi kuasa pelbagai tanggapan."

Ermis Sfakiyanudis, Presiden dan Ketua Pegawai Eksekutif syarikat perkhidmatan perlindungan data Trivalent, bersetuju dengan pendekatan ini. Beliau berkata adalah penting bahawa syarikat-syarikat "tidak kecewa" selepas mereka telah dilanggar oleh pelanggaran. "Walaupun ketidakhadiran dalam menghadapi pelanggaran data boleh menyebabkan kerosakan yang tidak boleh diperbaiki kepada sebuah syarikat, panik dan tidak teratur juga boleh memudaratkan, " jelasnya. "Adalah kritikal bahawa sebuah syarikat yang dilanggar tidak tersesat dari pelan tindak balas kejadiannya, yang sepatutnya termasuk mengenal pasti punca kejadian yang disyaki itu sebagai langkah pertama. Sebagai contoh, adalah pelanggaran yang disebabkan oleh serangan ransomware yang berjaya, malware pada sistem, firewall dengan pelabuhan terbuka, perisian ketinggalan zaman, atau ancaman orang tidak sengaja yang tidak disengajakan? Seterusnya, mengasingkan sistem yang dilaksanakan dan menghapuskan punca pelanggaran itu untuk memastikan sistem anda berada dalam bahaya."

Sfakiyanudis berkata adalah penting bahawa syarikat meminta bantuan apabila mereka berada di atas kepala mereka. "Jika anda menentukan bahawa pelanggaran telah berlaku selepas siasatan dalaman anda, bawa kepakaran pihak ketiga untuk membantu mengatasi dan menangguhkan kejatuhan, " katanya. "Ini termasuk peguam undang-undang, penyiasat luar yang boleh menjalankan siasatan forensik yang menyeluruh, dan pakar perhubungan awam dan komunikasi yang boleh membuat strategi dan berkomunikasi dengan pihak media bagi pihak anda.

"Dengan bimbingan pakar gabungan ini, organisasi dapat tetap tenang melalui kekacauan, mengenalpasti kelemahan apa yang menyebabkan pelanggaran data, mengatasi masalah tersebut sehingga tidak terjadi lagi di masa depan, dan memastikan respons mereka kepada pelanggan yang terlibat adalah tepat dan tepat waktu. juga bekerja dengan peguam mereka untuk menentukan sama ada dan bila penguatkuasaan undang-undang perlu dimaklumkan."

2. Jangan Pergi Senyap

Sebaik sahaja anda telah diserang, ia menyegarkan untuk berfikir bahawa tiada siapa di luar kalangan dalaman anda yang tahu apa yang baru saja berlaku. Malangnya, risiko di sini tidak bernilai ganjaran. Anda akan mahu berkomunikasi dengan kakitangan, vendor, dan pelanggan supaya semua orang tahu apa yang telah diakses, apa yang anda lakukan untuk memperbaiki keadaan, dan rancangan yang anda ingin ambil untuk memastikan tiada serangan yang serupa berlaku pada masa akan datang. "Jangan mengabaikan pekerja anda sendiri, " kata Heidi Shey, Penganalisis Kanan Keselamatan & Risiko Senior di Penyelidikan Forrester. "Anda perlu berkomunikasi dengan pekerja anda mengenai acara itu, dan memberi panduan kepada pekerja tentang apa yang perlu dilakukan atau katakan jika mereka bertanya tentang pelanggaran itu."

Shey, seperti Sfakiyanudis, berkata anda mungkin mahu melihat menyewa pasukan perhubungan awam untuk membantu mengawal pemesejan di sebalik tindak balas anda. Hal ini terutama berlaku untuk pelanggaran data pengguna yang besar dan mahal. "Sebaik-baiknya, anda ingin pembekal sedemikian dikenal pasti terlebih dahulu sebagai sebahagian daripada perancangan tindak balas kejadian anda supaya anda boleh bersedia untuk memulakan respons anda, " jelasnya.

Hanya kerana anda proaktif untuk memberitahu orang ramai bahawa anda telah dilanggar, ini tidak bermakna anda boleh mengeluarkan kenyataan dan pernyataan liar. Contohnya, apabila penyunting VTech telah dilanggar, foto kanak-kanak dan log perbualan telah diakses oleh penggodam. Setelah situasi itu telah mati, para penerbit mengubah Syarat Perkhidmatan untuk melepaskan tanggungjawabnya sekiranya berlaku pelanggaran. Tidak perlu dikatakan, pelanggan tidak senang. "Anda tidak mahu kelihatan seperti anda bersembunyi di sebalik cara undang-undang, sama ada dengan mengelakkan liabiliti atau mengawal naratif itu, " kata Shey. "Lebih baik mempunyai respons pelanggaran dan pelan pengurusan krisis untuk membantu komunikasi yang berkaitan dengan pelanggaran."

3. Jangan Buat Pernyataan Salah atau Misleading

Ini adalah yang jelas tetapi anda akan mahu menjadi setepat dan jujur ​​apabila dapat menangani orang ramai. Ini memberi manfaat kepada jenama anda, tetapi ia juga memberi manfaat kepada berapa banyak wang yang akan anda dapatkan daripada polisi insurans siber anda sekiranya anda mempunyai satu. "Jangan mengeluarkan kenyataan umum tanpa pertimbangan untuk implikasi apa yang anda katakan dan bagaimana anda berbunyi, " kata Nunnikoven.

"Adakah serangan 'canggih' itu? Pelabelan itu tidak semestinya benar, " katanya. "Adakah CEO anda benar-benar perlu memanggil ini sebagai 'tindakan keganasan'? Adakah anda membaca cetak polisi insurans siber anda untuk memahami pengecualian?"

Nunnikhoven mengesyorkan keratan mesej yang "tidak-lembu, kerap, dan yang jelas menyatakan tindakan yang sedang diambil dan yang perlu diambil." Cuba untuk memutar keadaan, katanya, cenderung untuk membuat keadaan lebih teruk. "Apabila pengguna mendengar mengenai pelanggaran dari pihak ketiga, ia segera menghancurkan kepercayaan yang dimenangi, " jelasnya. "Keluar di hadapan situasi dan tinggal di depan, dengan aliran komunikasi ringkas di semua saluran di mana anda sudah aktif."

4. Ingat Customer Service

Sekiranya pelanggaran data anda menjejaskan perkhidmatan dalam talian, pengalaman pelanggan anda, atau beberapa aspek perniagaan anda yang mungkin mempunyai pelanggan yang menghantar pertanyaan kepada anda, pastikan anda memberi tumpuan kepada isu ini sebagai isu yang berasingan dan penting. Mengabaikan masalah pelanggan anda atau secara terang-terangan cuba untuk mengubah nasib buruk mereka ke keuntungan anda dengan cepat boleh mengubah pelanggaran data yang serius ke dalam kehilangan perniagaan dan hasil yang teruk.

Mengambil pelanggaran Equifax sebagai contoh, syarikat itu pada asalnya memberitahu pelanggan bahawa mereka boleh mempunyai laporan kredit percuma setahun jika hanya mereka tidak akan mendakwa. Ia juga cuba untuk mengubah pelanggaran itu menjadi pusat keuntungan apabila mahu mengecilkan pelanggan tambahan jika mereka meminta laporan mereka dibekukan. Itulah kesilapan, dan ia menyakiti hubungan pelanggan syarikat secara jangka panjang. Apa yang sepatutnya dilakukan oleh syarikat itu adalah meletakkan pelanggannya terlebih dahulu dan hanya menawarkan semua laporan tanpa syarat, bahkan mungkin tanpa caj, untuk tempoh masa yang sama untuk menekankan komitmen mereka untuk memastikan pelanggan selamat.

5. Jangan Tutup Insiden Terlalu Segera

Anda telah menutup titik akhir yang rosak anda. Anda telah menghubungi pekerja dan pelanggan anda. Anda telah memulihkan semua data anda. Awan telah berpisah dan sinar matahari telah mengalir ke meja anda. Tidak begitu pantas. Walaupun ia kelihatan seolah-olah krisis anda telah berakhir, anda akan mahu terus memantau rangkaian anda secara agresif dan proaktif untuk memastikan tiada serangan susulan.

"Terdapat banyak tekanan untuk memulihkan perkhidmatan dan pulih selepas pelanggaran, " kata Nunnikhoven. "Penyerang bergerak dengan cepat melalui rangkaian apabila mereka mendapat kedudukan, jadi sukar untuk membuat penentuan konkrit yang anda telah menangani keseluruhan masalah. Mengekalkan rajin dan pemantauan lebih agresif adalah langkah penting sehingga anda pasti organisasi itu jelas."

Sfakiyanudis bersetuju dengan penilaian ini. "Selepas pelanggaran data diselesaikan dan operasi perniagaan tetap diteruskan, jangan ambil tahu teknologi yang sama dan rancangan yang anda miliki sebelum pelanggaran akan mencukupi, " katanya. "Terdapat jurang dalam strategi keselamatan anda yang dieksploitasi dan, walaupun selepas jurang ini ditangani, itu tidak bermakna tidak akan ada lagi di masa depan. Untuk mengambil pendekatan yang lebih proaktif terhadap perlindungan data yang bergerak maju, pelan tindak balas pelanggaran data anda sebagai dokumen yang hidup. Sebagai individu mengubah peranan dan organisasi berubah melalui penggabungan, pengambilalihan, dan lain-lain, rancangan itu perlu diubah juga."

6. Jangan Lupakan Penyiasatan

"Apabila menyiasat pelanggaran, dokumen semuanya, " kata Sfakiyanudis. "Mengumpulkan maklumat mengenai sesuatu kejadian adalah penting dalam mengesahkan bahawa pelanggaran berlaku, apa sistem dan data yang terkena dampak, dan bagaimana mitigasi atau pemulihan ditangani. Hasil log penyiasatan melalui penangkapan dan analisa data supaya mereka boleh didapati untuk semakan bedah siasat.

"Pastikan anda juga menemubual sesiapa sahaja yang terlibat dan berhati-hati mencatatkan respons mereka, " katanya. "Membuat laporan terperinci dengan imej cakera, serta butiran tentang siapa, apa, di mana, dan bila insiden itu berlaku, akan membantu anda melaksanakan langkah-langkah perlindungan atau perlindungan risiko yang baru atau hilang."

Langkah-langkah sedemikian jelas untuk kemungkinan akibat undang-undang selepas fakta, tetapi itu bukan satu-satunya sebab untuk menyiasat serangan. Mencari siapa yang bertanggungjawab dan yang terlibat adalah pengetahuan penting bagi peguam, dan semestinya disiasat. Tetapi bagaimana pelanggaran itu berlaku dan apa yang disasarkan adalah maklumat penting untuk IT dan kakitangan keselamatan anda. Apakah bahagian perimeter yang memerlukan penambahbaikan dan apa bahagian data anda (nampaknya) berharga untuk ne'er-do-wells? Pastikan anda menyiasat semua sudut yang berharga untuk insiden ini dan pastikan penyiasat anda mengetahui yang betul dari awal.

Sekiranya syarikat anda terlalu analog untuk menjalankan analisis ini dengan sendiri, anda mungkin mahu mengupah pasukan luaran untuk menjalankan siasatan ini untuk anda (seperti yang dinyatakan sebelum ini Sfakiyanudis). Ambil nota pada proses carian juga. Perhatikan apa perkhidmatan yang anda tawarkan, vendor yang anda bercakap, dan sama ada anda gembira dengan proses penyiasatan. Maklumat ini akan membantu anda menentukan sama ada atau tidak untuk melekat dengan vendor anda, memilih vendor baru, atau mengupah kakitangan dalaman yang mampu melakukan proses ini sekiranya syarikat anda cukup tidak bernasib baik untuk mengalami pelanggaran kedua.