إن وقوع حادث أمني يؤدي إلى اختراق من قبل أحد القراصنة هو بلا شك أحد أكبر الكوابيس التي تواجهها أي شركة اليوم. بالإضافة إلى التأثير الفوري على الأعمال التجارية، هناك آثار قانونية وأخرى تتعلق بالسمعة يمكن أن تستمر لأشهر أو حتى سنوات. في البرازيل، ينص قانون حماية البيانات العام (LGPD) على سلسلة من المتطلبات التي يجب على الشركات اتباعها بعد وقوع مثل هذه الحوادث.
وبحسب تقرير صدر مؤخرا عن اتحاد الكيانات التجارية في ريو غراندي دو سول، فإن أكثر من 40% من الشركات البرازيلية أصبحت بالفعل هدفا لنوع ما من الهجمات الإلكترونية. ومع ذلك، لا تزال العديد من هذه الشركات تواجه صعوبات في الامتثال للمتطلبات القانونية التي ينص عليها قانون حماية البيانات الشخصية. تكشف بيانات الهيئة الوطنية لحماية البيانات (ANPD) أن حوالي 30% فقط من الشركات التي تعرضت للاختراق أعلنت رسميًا عن وقوع الحادث. ويمكن أن يعزى هذا التناقض إلى عدد من العوامل، بما في ذلك الافتقار إلى الوعي، وتعقيد عمليات الامتثال، والخوف من العواقب السلبية على سمعة الشركة.
اليوم التالي للحادث: الخطوات الأولى
بعد التأكد من اختراق أحد القراصنة، فإن الخطوة الأولى هي احتواء الحادث لمنع انتشاره. ويتضمن ذلك عزل الأنظمة المتأثرة، ووقف الوصول غير المصرح به، وتنفيذ تدابير السيطرة على الأضرار.
وبالتوازي مع ذلك، من المهم تشكيل فريق للاستجابة للحوادث، والذي ينبغي أن يشمل خبراء في أمن المعلومات، ومتخصصين في تكنولوجيا المعلومات، ومحامين، ومستشارين في مجال الاتصالات. وسيكون هذا الفريق مسؤولاً عن اتخاذ سلسلة من القرارات - خاصة تلك التي تتعلق باستمرارية العمل في الأيام التالية.
فيما يتعلق بالامتثال لمعايير LGPD، من الضروري توثيق جميع الإجراءات المتخذة أثناء الاستجابة للحادث. ستكون هذه الوثائق بمثابة دليل على أن الشركة تصرفت وفقًا للمتطلبات القانونية ويمكن استخدامها في أي عمليات تدقيق أو تحقيقات من قبل ANPD.
في الأيام القليلة الأولى، يجب على فريق الاستجابة إجراء تحليل جنائي مفصل لتحديد مصدر الاختراق، والطريقة التي يستخدمها المتسللون، ونطاق الاختراق. وتعتبر هذه العملية حيوية ليس فقط لفهم الجوانب الفنية للهجوم، بل أيضًا لجمع الأدلة التي ستكون مطلوبة للإبلاغ عن الحادث إلى السلطات المختصة وأيضًا إلى شركة التأمين - إذا كانت الشركة قد حصلت على تأمين سيبراني.
هناك جانب مهم للغاية هنا: يستخدم التحليل الجنائي أيضًا لتحديد ما إذا كان المهاجمون لا يزالون داخل شبكة الشركة - وهو موقف شائع جدًا، للأسف، وخاصة إذا كانت الشركة تعاني بعد الحادث من نوع من الابتزاز المالي من خلال إصدار البيانات التي ربما سرقها المجرمون.
علاوة على ذلك، يتطلب قانون حماية البيانات العامة، في المادة 48 منه، من مسؤول البيانات إبلاغ الهيئة الوطنية لحماية البيانات (ANPD) وأصحاب البيانات المتضررين بشأن وقوع حادث أمني قد ينطوي على خطر أو ضرر ذي صلة بأصحاب البيانات. يجب أن يتم تقديم هذا الاتصال خلال فترة زمنية معقولة، وفقًا للوائح ANPD المحددة، ويجب أن يتضمن معلومات حول طبيعة البيانات المتأثرة، وموضوعات البيانات المعنية، والتدابير الفنية والأمنية المستخدمة لحماية البيانات، والمخاطر المرتبطة بالحادث والتدابير التي تم أو سيتم اعتمادها لعكس أو تخفيف آثار الضرر.
وبناء على هذا المطلب القانوني، فمن الضروري، فور إجراء التحليل الأولي، إعداد تقرير مفصل يتضمن جميع المعلومات المذكورة في قانون حماية البيانات الشخصية. وفي هذا الصدد، يساعد التحليل الجنائي أيضًا في تحديد ما إذا كان استخراج البيانات وسرقتها قد حدث - إلى الحد الذي قد يدعيه المجرمون.
يجب مراجعة هذا التقرير من قبل متخصصي الامتثال ومحامي الشركة قبل تقديمه إلى ANPD. وينص التشريع أيضًا على أن الشركة يجب أن تقدم اتصالات واضحة وشفافة إلى أصحاب البيانات المتأثرين، موضحة ما حدث، والتدابير المتخذة والخطوات التالية لضمان حماية البيانات الشخصية.
وفي الواقع، تعد الشفافية والتواصل الفعال من الركائز الأساسية أثناء إدارة الحوادث الأمنية. يجب على الإدارة الحفاظ على التواصل المستمر مع الفرق الداخلية والخارجية، والتأكد من إبلاغ جميع الأطراف المعنية بالتقدم المحرز والخطوات التالية.
إن تقييم السياسات الأمنية هو إجراء ضروري
وبالتوازي مع التواصل مع أصحاب المصلحة، يجب على الشركة أن تبدأ عملية تقييم ومراجعة سياساتها وممارساتها الأمنية. ويتضمن ذلك إعادة تقييم جميع عناصر التحكم الأمنية، والوصول، وبيانات الاعتماد رفيعة المستوى، فضلاً عن تنفيذ تدابير إضافية لمنع وقوع حوادث مستقبلية.
وبالتوازي مع مراجعة وتحليل الأنظمة والعمليات المتأثرة، يجب على الشركة أيضًا التركيز على استعادة الأنظمة واستعادة عملياتها. يتضمن ذلك تنظيف جميع الأنظمة المتأثرة، وتطبيق تصحيحات الأمان، واستعادة النسخ الاحتياطية، وإعادة التحقق من عناصر التحكم في الوصول. من الضروري التأكد من أن الأنظمة آمنة تمامًا قبل إعادة تشغيلها.
بمجرد أن تصبح الأنظمة جاهزة للعمل مرة أخرى، يجب إجراء مراجعة لما بعد الحادث لتحديد الدروس المستفادة ومجالات التحسين. ويجب أن تشمل هذه المراجعة جميع الأطراف ذات الصلة وتؤدي إلى تقرير نهائي يسلط الضوء على أسباب الحادث والإجراءات المتخذة والتأثيرات والتوصيات لتحسين وضع الأمن للشركة في المستقبل.
بالإضافة إلى الإجراءات الفنية والتنظيمية، تتطلب إدارة الحوادث الأمنية اتباع نهج استباقي للحوكمة وثقافة الأمن. ويتضمن ذلك تنفيذ برنامج مستمر لتحسينات الأمن السيبراني وتعزيز ثقافة الشركات التي تقدر الأمن والخصوصية.
تتطلب الاستجابة لحادث أمني مجموعة من الإجراءات المنسقة والمخططة جيدًا، والمتوافقة مع متطلبات قانون حماية البيانات العامة. بدءًا من الاحتواء الأولي والتواصل مع أصحاب المصلحة وحتى استعادة الأنظمة والمراجعة بعد الحادث، فإن كل خطوة ضرورية لتقليل التأثيرات السلبية وضمان الامتثال القانوني. علاوة على ذلك، من الضروري النظر إلى الإخفاقات بشكل مباشر وتصحيحها - وقبل كل شيء، يجب أن يأخذ الحادث استراتيجية الأمن السيبراني للشركة إلى مستوى جديد.
