Tilvik öryggisatburðar sem leiðir til tölvuárásar er, ánægja, eitt af stærstu martröðum fyrir hvaða fyrirtæki í dag. Auk strax áhrifa á viðskipti, það eru lögfræðilegar afleiðingar og orðspor sem geta varað í mánuði eða jafnvel ár. Í Brasil, almenna persónuverndarlögin (LGPD) setur upp fjölda krafna sem fyrirtæki þurfa að fylgja eftir að slík atvik eiga sér stað.
Samkvæmt nýlegri skýrslu Federasul – Samtök atvinnulífsins í Rio Grande do Sul -, meira en 40% af brasilískum fyrirtækjum hafa þegar verið skotmörk einhvers konar netárásar. Engu skiptir máli, mörg þessara fyrirtækja enn standa frammi fyrir erfiðleikum við að uppfylla lagakröfur settar af LGPD. Gögn frá Persónuvernd (ANPD) sýna að aðeins um 30% af innbrotið fyrirtækjum lýstu opinberlega yfir að atvikið hafi átt sér stað. Þessi ósamræmi má rekja til ýmissa þátta, þar á meðal skortur á vitundarvakningu, flókið af samræmisferlum og óttinn við neikvæðum afleiðingum á orðspor fyrirtækisins.
Daginn eftir atvikið: fyrstu skrefin
Eftir staðfestingu á hacker innrás, fyrsta aðgerðin er að hemja atvikið til að koma í veg fyrir útbreiðslu þess. Þetta felur í sér að einangra þau kerfi sem áhrif hafa, stöðva óleyfilegan aðgang og innleiða skaðanefndaraðgerðir.
Samhliða, það er mikilvægt að setja saman lið til að bregðast við atvikum, sem skal innihalda sérfræðinga í upplýsingaöryggi, fagaðilar í IT, lögmenn og ráðgjafar samskipta. Þetta teymi verður það ábyrgt fyrir fjölda ákvarðanatöku – aðallega þær sem fela í sér áframhaldandi viðskipti á næstu dögum.
Í tengslum við samræmi við LGPD, þarf að skjalfesta allar aðgerðir teknar meðan viðbrögðum við atvikinu. Þessi skjalagerð mun þjóna sem sönnun þess að fyrirtækið hafi hagað sér í samræmi við lögbundnar kröfur og getur verið notuð í hugsanlegum úttektum eða rannsóknum af ANPD.
Á fyrstu dögum, viðbragðshópurinn skal framkvæma ítarlega réttindagreiningu til að bera kennsl á uppruna innrásarinnar, aðferð notuð af tölvusnápur og umfang kompromissins. Þetta ferli er lífsnauðsynlegt ekki aðeins til að skilja tæknilega þætti árásarinnar, en einnig til að safna sönnunargögnum sem verða nauðsynleg til að tilkynna atvikið við viðeigandi yfirvöld og einnig tryggingaraðila – ef fyrirtækið hefur tekið rafræna tryggingu.
Hér er einn mjög mikilvægur þáttur: réttindagreiningin nýtist einnig til að ákvarða hvort árásarmennirnir eru enn innan netkerfis fyrirtækisins – ástand sem, því miður, er mjög algengt, enn frekar ef eftir atvikið fyrirtækið er að verða fyrir einhvers konar fjárhagslegri svindli með því að losa um gögn sem glæpamennirnir hafi hugsanlega stolið.
Auk þess, a LGPD, í greininni 48, krefst þess að gagnaeftirlitsmaðurinn tilkynni Þjóðvegsverndaryfirvaldi (ANPD) og þeim gagnaeigendum sem áhrif hafa um að upp hafi komið öryggisatvik sem geta leitt til áhættu eða skaða sem er viðeigandi fyrir gagnaeigendur. Þessi tilkynning þarf að vera gerð innan sanngjarns tíma, samkvæmt sérstakri reglugerð ANPD, og skal innihalda upplýsingar um eðli gagna sem áhrif hafa, þeir handhafar sem koma við sögu, þær tæknilegu og öryggisráðstafanir notaðar til verndar gagna, áhætturnar tengdar atvikinu og aðgerðir sem hafa verið eða að verða teknar til að snúa við eða milda áhrif tjónsins.
Á grundvelli þessarar lagalegrar kröfu, er nauðsynlegt, strax eftir upphaflegu rannsóknina, búa til ítarlega skýrslu sem inniheldur allar upplýsingarnar sem nefndar eru af LGPD. Í því, réttindagreiningin hjálpar einnig að ákvarða hvort verið hafi útdrátt og þjófnaður gagna – í því umfang sem glæpamennirnir hugsanlega séu að halda fram.
Þessi skýrsla skal vera skoðuð af fagmönnum samræmis og lögfræðingum fyrirtækisins áður en hún er lögð fyrir ANPD. Löggjöfin kveður einnig á um að fyrirtækið geri skýra og gagnsæja tilkynningu til eigenda gagna sem áhrif hafa, útskýrandi það sem komið er, þær ráðstafanir teknar og næstu skrefin til að tryggja vernd persónulegra gagna.
Gagnsæi og skilvirk samskipti, að auki, eru grundvallarstoðir meðan á stjórnun öryggisatburðar stendur. Stjórnin skal halda stöðugri samskipti við teymin innri og ytri, tryggja að allir hlutaðeigandi aðilar séu upplýstir um framgang aðgerða og næstu skref.
Mat á öryggisstefnu er nauðsynleg aðgerð
Samhliða samskiptum við hagsmunaaðila, fyrirtækið skal hefja ferli mats og endurskoðunar á öryggisstefnum sínum og vinnubrögðum. Þetta felur í sér endurmat á öllum öryggiskontröllum, aðgangur, skilríki með hátt stig aðgangs, auk þess sem innleiðing viðbótar aðgerða til að koma í veg fyrir framtíðar atvik.
Í samhliða endurskoðun og greiningu af kerfum og ferlum sem áhrif hafa, fyrirtækið þarf að einbeita, einnig, í endurreisn kerfanna og í endurreisn starfsemi þeirra. Það felur í sér hreinsun allra kerfa sem áhrif höfðu, því að setja öryggispatta, endurreisn öryggis og endurvottun aðgangsstýringar. Það er nauðsynlegt tryggja að kerfin séu algjörlega örugg áður en þau eru sett aftur í notkun.
Einu sinni sem kerfin eru aftur starfandi, þarf að framkvæma endurskoðun eftir atvik til að bera kennsl á lærdóm lærðan og svæði fyrir umbætur. Þessi endurskoðun skal fela í sér alla viðeigandi aðila og skila sér í endanlegri skýrslu sem undirstrikar orsakir atviksins, aðgerðirnar teknar, áhrifin og tillögur til að bæta öryggisstöðu fyrirtækisins í framtíðinni.
Auk tæknilegra og skipulagslegra aðgerða, stjórnun öryggisatburðar krefst proaktivs nálgunar gagnvart stjórnsýslu og öryggiskulturinni. Þetta felur í sér innleiðingu á áframhaldandi áætlun um úrbætur í netöryggi og eflingu fyrirtækjamenningar sem metur öryggi og friðhelgi.
Viðbrögð við öryggisatvikum krefjast settar samræmdar og vel skipulagðar aðgerðir, samræmdar kröfum LGPD. Frá upphaflegri meðhöndlun og samskiptum við hlutaðeigandi aðila til endurreisnar kerfanna og yfirferðar eftir atvik, hvert skref er nauðsynlegt til að lágmarka neikvæð áhrifin og tryggja löglega samræmi. Meira en þetta, þarf að líta framan galla og leiðrétta þá – fyrir ofan allt, atvik skal taka netöryggisstefnu fyrirtækisins á nýtt stig.
