Die voorkoms van 'n sekuriteitsvoorval wat 'n hacker-inbraak tot gevolg het, is sonder twyfel een van die grootste nagmerries vir enige maatskappy vandag. Benewens die onmiddellike impak op besigheid, is daar wetlike en reputasie-implikasies wat maande of selfs jare kan duur. In Brasilië stel die Algemene Databeskermingswet (LGPD) 'n reeks vereistes vas wat maatskappye moet volg nadat sulke voorvalle plaasgevind het.
Volgens ’n onlangse verslag deur Federasul – Federation of Business Entities of Rio Grande do Sul – was meer as 40% van Brasiliaanse maatskappye reeds die teiken van een of ander soort kuberaanval. Baie van hierdie maatskappye ondervind egter steeds probleme om te voldoen aan die wetlike vereistes wat deur die LGPD vasgestel is. Data van die Nasionale Databeskermingsowerheid (ANPD) toon dat slegs sowat 30% van die maatskappye wat gekap is, amptelik die voorkoms van die voorval verklaar het. Hierdie teenstrydigheid kan toegeskryf word aan 'n aantal faktore, insluitend 'n gebrek aan bewustheid, die kompleksiteit van voldoeningsprosesse en vrees vir negatiewe uitwerking op die maatskappy se reputasie.
Die dag na die voorval: eerste stappe
Nadat 'n hacker-inbraak bevestig is, is die eerste stap om die voorval te beperk om te verhoed dat dit versprei. Dit sluit in die isolasie van geaffekteerde stelsels, die stop van ongemagtigde toegang en die implementering van skadebeheermaatreëls.
Terselfdertyd is dit belangrik om 'n insidentreaksiespan saam te stel, wat inligtingsekuriteitskundiges, IT-professionele persone, prokureurs en kommunikasiekonsultante moet insluit. Hierdie span sal verantwoordelik wees om 'n reeks besluite te neem - hoofsaaklik dié wat die kontinuïteit van die besigheid in die volgende dae behels.
In terme van LGPD-nakoming is dit nodig om alle aksies wat tydens die voorvalreaksie geneem is, te dokumenteer. Hierdie dokumentasie sal as bewys dien dat die maatskappy in ooreenstemming met wetlike vereistes opgetree het en kan gebruik word in enige oudits of ondersoeke deur die ANPD.
In die eerste paar dae moet die reaksiespan gedetailleerde forensiese ontleding uitvoer om die bron van die inbraak, die metode wat deur die kuberkrakers gebruik is en die omvang van die kompromie te identifiseer. Hierdie proses is noodsaaklik om nie net die tegniese aspekte van die aanval te verstaan nie, maar ook om bewyse in te samel wat nodig sal wees om die voorval by die bevoegde owerhede en ook by die versekeringsmaatskappy aan te meld – indien die maatskappy kuberversekering uitgeneem het.
Hier is 'n baie belangrike aspek: forensiese ontleding dien ook om te bepaal of die aanvallers steeds binne die maatskappy se netwerk is – 'n situasie wat ongelukkig baie algemeen voorkom, selfs meer as die maatskappy ná die voorval die een of ander finansiële afpersing ondervind deur die vrystelling van data wat die misdadigers moontlik gesteel het.
Verder vereis die LGPD, in sy artikel 48, dat die databeheerder aan die Nasionale Databeskermingsowerheid (ANPD) en die geaffekteerde datasubjekte moet kommunikeer oor die voorkoms van ’n sekuriteitsinsident wat ’n risiko of relevante skade aan die datasubjekte kan inhou. Hierdie kommunikasie moet binne 'n redelike tydperk gemaak word, in ooreenstemming met spesifieke ANPD-regulasies, en moet inligting insluit oor die aard van die geaffekteerde data, die betrokke datasubjekte, die tegniese en sekuriteitsmaatreëls wat gebruik word om die data te beskerm, die risiko's wat verband hou met die voorval en die maatreëls wat aangeneem is of gaan word om die gevolge van die skade om te keer of te versag.
Op grond van hierdie wetlike vereiste is dit noodsaaklik om onmiddellik na die aanvanklike ontleding 'n gedetailleerde verslag voor te berei wat al die inligting insluit wat deur die LGPD genoem word. In hierdie verband help forensiese ontleding ook om te bepaal of data-onttrekking en diefstal plaasgevind het – tot die mate wat misdadigers kan eis.
Hierdie verslag moet hersien word deur nakomingskundiges en die maatskappy se prokureurs voordat dit by die ANPD ingedien word. Die wetgewing bepaal ook dat die maatskappy duidelike en deursigtige kommunikasie aan die geaffekteerde datasubjekte moet verskaf, verduidelik wat gebeur het, die maatreëls wat geneem is en die volgende stappe om die beskerming van persoonlike data te verseker.
Deursigtigheid en doeltreffende kommunikasie is om die waarheid te sê fundamentele pilare tydens die bestuur van 'n veiligheidsvoorval. Bestuur moet konstante kommunikasie met interne en eksterne spanne handhaaf, om te verseker dat alle betrokke partye ingelig is oor die vordering van aksies en volgende stappe.
Evaluering van sekuriteitsbeleide is 'n noodsaaklike aksie
Parallel met kommunikasie met belanghebbendes, moet die maatskappy 'n proses begin om sy sekuriteitsbeleide en -praktyke te evalueer en te hersien. Dit sluit die herevaluering van alle sekuriteitskontroles, toegang en hoëvlakbewyse in, asook die implementering van bykomende maatreëls om toekomstige voorvalle te voorkom.
Parallel met die hersiening en ontleding van geaffekteerde stelsels en prosesse, moet die maatskappy ook fokus op die herwinning van stelsels en die herstel van sy bedrywighede. Dit behels die skoonmaak van alle geaffekteerde stelsels, die toepassing van sekuriteitskolle, die herstel van rugsteun en die hervalidering van toegangskontroles. Dit is noodsaaklik om te verseker dat stelsels heeltemal veilig is voordat dit weer in werking gestel word.
Sodra stelsels weer in werking is, moet 'n na-voorval hersiening gedoen word om lesse wat geleer is en areas vir verbetering te identifiseer. Hierdie hersiening moet alle relevante partye betrek en 'n finale verslag tot gevolg hê wat die oorsake van die voorval, die aksies wat geneem is, die impakte en aanbevelings vir die verbetering van die maatskappy se sekuriteitsposisie in die toekoms uitlig.
Benewens tegniese en organisatoriese aksies, vereis die bestuur van 'n sekuriteitsvoorval 'n proaktiewe benadering tot bestuur en sekuriteitskultuur. Dit sluit in die implementering van 'n deurlopende program van kuberveiligheidverbeterings en die bevordering van 'n korporatiewe kultuur wat sekuriteit en privaatheid waardeer.
Reageer op 'n sekuriteitsvoorval vereis 'n stel gekoördineerde en goed beplande aksies, in lyn met die vereistes van die LGPD. Van aanvanklike inperking en kommunikasie met belanghebbendes tot stelselherstel en na-voorval hersiening, is elke stap noodsaaklik om negatiewe impakte te minimaliseer en wetlike nakoming te verseker. Meer nog, dit is nodig om na die mislukkings te kyk en dit reg te stel – bowenal moet 'n voorval die maatskappy se kuberveiligheidstrategie na 'n nuwe vlak neem.
