Die voorkoms van 'n veiligheidsinsident wat lei tot 'n hackerinval is, sonder twijfel, een van die grootste nagmerries vir enige maatskappy vandag. Benewens die onmiddellike impak op die besigheid, daar is wettige en reputasiesimplikasies wat maande of selfs jare kan duur. In Brasilië, die Algemene Wet op Gegevensbeskerming (LGPD) stel 'n reeks vereistes wat maatskappye moet volg na die voorval van sulke insidente
Volgens 'n onlangse verslag van Federasul – Federasie van Besigheidsentiteite van Rio Grande do Sul -, meer as 40% van die Brasiliaanse maatskappye was reeds die teiken van 'n tipe kuberaanval. Togtans, baie van hierdie maatskappye ondervind steeds probleme om aan die wettige vereistes van die LGPD te voldoen. Gegevens van die Nasionale Owerheid vir Gegevensbeskerming (ANPD) onthul dat slegs ongeveer 30% van die geaffekteerde maatskappye amptelik die voorval verklaar het. Hierdie verskil kan aan verskeie faktore toegeskryf word, insluitend die gebrek aan bewustheid, die kompleksiteit van die nakomingsprosesse en die vrees vir negatiewe gevolge vir die maatskappy se reputasie
Die dag na die voorval: eerste stappe
Na bevestiging van 'n hackerinval, die eerste maatregel is om die voorval te bevat om die verspreiding daarvan te voorkom. Dit sluit in om die geraakte stelsels te isoleer, onderbreek ongeoorloofde toegang en implementeer skadebeheermaatreëls
In parallel, dit is belangrik om 'n insidentreaksiespan saam te stel, wat moet spesialiste in inligtingsveiligheid insluit, IT-professionals, advokate en kommunikasiekonsultante. Hierdie span sal verantwoordelik wees vir 'n reeks besluitnemings – hoofsaaklik dié wat die voortsetting van die besigheid in die volgende dae behels
In terme van nakoming van die LGPD, dit is nodig om al die aksies wat tydens die insidentreaksie geneem is, te dokumenteer. Hierdie dokumentasie sal dien as bewys dat die maatskappy volgens die wettige vereistes opgetree het en kan gebruik word in enige oudit of ondersoek deur die ANPD
In die eerste dae, die responsspan moet 'n gedetailleerde forensiese ontleding doen om die oorsprong van die indringing te identifiseer, die metode wat deur hackers gebruik word en die omvang van die kompromie. Hierdie proses is van kardinale belang nie net om die tegniese aspekte van die aanval te verstaan, maar ook om getuienisse te versamel wat nodig sal wees om die voorval aan die bevoegde owerhede en ook aan die versekeringsmaatskappy te rapporteer – indien die maatskappy 'n kuberveveiligingsversekering geneem het
Daar is 'n baie belangrike aspek: die forensiese analise dien ook om te bepaal of die aanvallers steeds binne die maatskappy se netwerk is – 'n situasie wat, ongelukkig, dit is baie algemeen, nog meer as die maatskappy na die voorval onder enige vorm van finansiële afpersing ly deur die vrystelling van data wat die misdadigers moontlik gesteel het
Boonop, die LGPD, in sy artikel 48, vereis dat die data-beheerder die Nasionale Owerheid vir Gegevensbeskerming (ANPD) en die betrokke data-eienaars in kennis stel van die voorkoms van 'n sekuriteitsinsident wat 'n risiko of relevante skade aan die eienaars kan inhou. Hierdie kommunikasie moet binne 'n redelike tydperk gemaak word, volgens die spesifieke regulasies van die ANPD, en moet inligting oor die aard van die geraakte data insluit, die betrokke partye, die tegniese en veiligheidsmaatreëls wat gebruik word vir die beskerming van data, die risiko's verbonde aan die voorval en die maatreëls wat geneem is of geneem sal word om die gevolge van die verlies te keer of te verminder
Op grond van hierdie wettige vereiste, is noodsaaklik, kort na die aanvanklike ontleding, berei 'n gedetailleerde verslag op wat alle inligting insluit wat deur die LGPD genoem word. In dit geval, die forensiese analise help ook om te bepaal of daar data-ekstraksie en -diefstal plaasgevind het – in die mate wat die misdadigers moontlik beweer
Hierdie verslag moet deur nakomingsprofessionals en die maatskappy se prokureurs hersien word voordat dit aan die ANPD voorgelê word. Die wet bepaal ook dat die maatskappy duidelike en deursigtige kommunikasie aan die betrokke data-eienaars moet maak, verklaring van wat gebeur het, die maatreëls wat geneem is en die volgende stappe om die beskerming van persoonlike data te verseker
Deursigtigheid en effektiewe kommunikasie, trouens, dit is fundamentele pilare tydens die bestuur van 'n veiligheidsinsident. Die bestuur moet 'n konstante kommunikasie met die interne en eksterne span handhaaf, verseker dat alle betrokke partye ingelig is oor die vordering van die aksies en die volgende stappe
Evaluering van sekuriteitsbeleide is 'n noodsaaklike aksie
Parallel met die kommunikasie met die belanghebbendes, die maatskappy moet 'n proses van evaluering en hersiening van sy veiligheidsbeleide en -praktyke begin. Dit sluit die herwaardering van al die veiligheidsmaatreëls in, toegang, akkredite met hoë toegangsvlak, soos die implementering van addisionele maatreëls om toekomstige voorvalle te voorkom
In parallel with the review and analysis of affected systems and processes, die maatskappy moet fokus, ook, in die herstel van die stelsels en die herstelling van hul bedrywighede. Dit behels die skoonmaak van al die geraakte stelsels, die toepassing van sekuriteitsplakkers, die herstel van rugsteun en die herbevestiging van toegangbeheer. Dit is noodsaaklik om te verseker dat die stelsels heeltemal veilig is voordat dit weer in werking gestel word
Sodra die stelsels weer operasioneel is, dit is nodig om 'n nabehandeling van die voorval te doen om geleerde lesse en verbeterareas te identifiseer. Hierdie hersiening moet alle relevante partye insluit en lei tot 'n finale verslag wat die oorsake van die voorval beklemtoon, die maatreëls wat geneem is, die impakte en die aanbevelings om die maatskappy se veiligheidsposisie in die toekoms te verbeter
Benewens die tegniese en organisatoriese aksies, die bestuur van 'n veiligheidsinsident vereis 'n proaktiewe benadering tot bestuur en die kultuur van veiligheid. Dit sluit die implementering van 'n deurlopende program van verbeterings in kuberveiligheid in en die bevordering van 'n korporatiewe kultuur wat veiligheid en privaatheid waardeer
Die reaksie op 'n veiligheidsinsident vereis 'n stel gekoördineerde en goed beplande aksies, in lyn met die vereistes van die LGPD. Van die aanvanklike beperking en kommunikasie met belanghebbendes tot die herstel van stelsels en die post-voorval hersiening, elke stap is noodsaaklik om die negatiewe impakte te minimaliseer en wettige nakoming te verseker. Meer as dit, dit is nodig om die foute reg in die gesig te staar en dit reg te stel – bo alles, 'n voorval moet die maatskappy se kuberveiligheidstrategie na 'n nuwe vlak neem
