Wystąpienie incydentu bezpieczeństwa, który skutkuje włamaniem hakerskim, jest, bez wątpienia, jednym z największych koszmarów dla każdej firmy dzisiaj. Oprócz natychmiastowego wpływu na biznes, są implikacje prawne i reputacyjne, które mogą trwać przez miesiące lub nawet lata. W Brazylii, Ogólne rozporządzenie o ochronie danych (LGPD) ustanawia szereg wymogów, które firmy muszą spełniać po wystąpieniu takich incydentów
Zgodnie z niedawnym raportem Federasul – Federacja Organizacji Przedsiębiorców Rio Grande do Sul -, ponad 40% brazylijskich firm padło ofiarą jakiegoś rodzaju ataku cybernetycznego. Jednakże, wiele z tych firm wciąż boryka się z trudnościami w spełnieniu wymogów prawnych określonych przez LGPD. Dane Krajowej Autority Ochrony Danych (ANPD) ujawniają, że tylko około 30% firm, które zostały zaatakowane, oficjalnie zgłosiło wystąpienie incydentu. Ta dysproporcja może być przypisana różnym czynnikom, w tym brak świadomości, złożoność procesów zgodności i obawa przed negatywnymi konsekwencjami dla reputacji firmy
Dzień po incydencie: pierwsze kroki
Po potwierdzeniu ataku hakerskiego, pierwszym krokiem jest powstrzymanie incydentu, aby zapobiec jego rozprzestrzenieniu. To obejmuje izolację dotkniętych systemów, przerwać nieautoryzowany dostęp i wdrożyć środki kontroli szkód
Równolegle, ważne jest stworzenie zespołu do reagowania na incydenty, co powinni obejmować specjaliści ds. bezpieczeństwa informacji, profesjonali IT, prawnicy i konsultanci ds. komunikacji. Ten zespół będzie odpowiedzialny za szereg podejmowanych decyzji – głównie te, które dotyczą kontynuacji działalności w kolejnych dniach
W zakresie zgodności z LGPD, należy udokumentować wszystkie działania podjęte podczas reakcji na incydent. Ta dokumentacja będzie służyć jako dowód, że firma działała zgodnie z wymaganiami prawnymi i może być wykorzystana w ewentualnych audytach lub dochodzeniach prowadzonych przez ANPD
W pierwszych dniach, zespół reagowania musi przeprowadzić szczegółową analizę kryminalistyczną, aby zidentyfikować źródło włamania, metoda używana przez hakerów i zakres kompromitacji. Ten proces jest kluczowy nie tylko dla zrozumienia technicznych aspektów ataku, ale także w celu zebrania dowodów, które będą potrzebne do zgłoszenia incydentu odpowiednim władzom oraz ubezpieczycielowi – jeśli firma wykupiła ubezpieczenie cybernetyczne
Jest tutaj bardzo ważny aspekt: analiza kryminalistyczna służy również do ustalenia, czy napastnicy wciąż znajdują się w sieci firmy – sytuacja, która, niestety, jest bardzo powszechne, tym bardziej, jeśli po incydencie firma będzie cierpiała z powodu jakiegoś rodzaju szantażu finansowego w związku z ujawnieniem danych, które przestępcy ewentualnie ukradli
Ponadto, LGPD, w swoim artykule 48, wymaga, aby administrator danych poinformował Krajowy Urząd Ochrony Danych Osobowych (ANPD) oraz osoby, których dane dotyczą, o wystąpieniu incydentu bezpieczeństwa, który może wiązać się z ryzykiem lub istotną szkodą dla osób, których dane dotyczą. Ta komunikacja powinna być dokonana w rozsądnym terminie, zgodnie z określonymi przepisami ANPD, i powinien zawierać informacje o charakterze dotkniętych danych, zaangażowani tytularzy, środki techniczne i bezpieczeństwa stosowane w celu ochrony danych, ryzyka związane z incydentem oraz środki, które zostały lub zostaną podjęte w celu odwrócenia lub złagodzenia skutków szkody
Na podstawie tego wymogu prawnego, jest niezbędne, zaraz po wstępnej analizie, przygotować szczegółowy raport, który zawiera wszystkie informacje wymienione w LGPD. W tym, analiza kryminalistyczna pomaga również ustalić, czy doszło do wykradzenia i kradzieży danych – w zakresie, w jakim przestępcy mogą ewentualnie twierdzić
Ten raport powinien być sprawdzony przez specjalistów ds. zgodności oraz prawników firmy przed złożeniem go do ANPD. Ustawa również nakłada obowiązek jasnego i przejrzystego informowania osób, których dane dotyczą, wyjaśniając zaistniałą sytuację, podjęte środki i następne kroki w celu zapewnienia ochrony danych osobowych
Przejrzystość i skuteczna komunikacja, zresztą, są to podstawowe filary podczas zarządzania incydentem bezpieczeństwa. Zarządzanie powinno utrzymywać stałą komunikację z zespołami wewnętrznymi i zewnętrznymi, zapewniając, że wszystkie zaangażowane strony są informowane o postępach działań i następnych krokach
Ocena polityki bezpieczeństwa jest działaniem koniecznym
Równolegle do komunikacji z interesariuszami, firma powinna rozpocząć proces oceny i przeglądu swoich polityk i praktyk bezpieczeństwa. To obejmuje ponowną ocenę wszystkich środków bezpieczeństwa, dostępy, poświadczenia z wysokim poziomem dostępu, jak również wdrożenie dodatkowych środków mających na celu zapobieganie przyszłym incydentom
Równolegle do przeglądu i analizy systemów oraz procesów, które są dotknięte, firma powinna skupić się, też, w odzyskiwaniu systemów i przywracaniu ich operacji. To obejmuje czyszczenie wszystkich dotkniętych systemów, aplikacja poprawek zabezpieczeń, przywracanie kopii zapasowych i ponowna walidacja kontroli dostępu. Ważne jest, aby zapewnić, że systemy są całkowicie bezpieczne przed ponownym uruchomieniem
Gdy systemy będą znowu operacyjne, konieczne jest przeprowadzenie przeglądu poincydentowego w celu zidentyfikowania wyciągniętych wniosków i obszarów do poprawy. Ta rewizja powinna obejmować wszystkie istotne strony i skutkować końcowym raportem, który podkreśli przyczyny incydentu, podjęte środki, wpływy i zalecenia dotyczące poprawy postawy bezpieczeństwa firmy w przyszłości
Oprócz działań technicznych i organizacyjnych, zarządzanie incydentem bezpieczeństwa wymaga proaktywnego podejścia do zarządzania i kultury bezpieczeństwa. To obejmuje wdrożenie ciągłego programu poprawy bezpieczeństwa cybernetycznego oraz promowanie kultury korporacyjnej, która ceni bezpieczeństwo i prywatność
Reakcja na incydent bezpieczeństwa wymaga zestawu skoordynowanych i dobrze zaplanowanych działań, dostosowane do wymogów LGPD. Od początkowego ograniczenia i komunikacji z zainteresowanymi stronami po odzyskiwanie systemów i przegląd po incydencie, każdy krok jest niezbędny do minimalizacji negatywnych skutków i zapewnienia zgodności z prawem. Więcej niż to, trzeba spojrzeć na błędy z przodu i je naprawić – ponad wszystko, incydent powinien wprowadzić strategię cyberbezpieczeństwa firmy na nowy poziom
