Происхождение инцидента безопасности, которое приводит в хакерское вторжение является, без сомнения, один из самых больших ночных кошмаров для любой компании сегодня. Помимо немедленного влияния на бизнес, есть последствия юридические и репутационные которые могут продлиться месяцами или даже годами. В Бразилии, общий Закон о защите данных (LGPD) устанавливает ряд требований, которые компании должны следовать после возникновения таких инцидентов
Согласно согласно недавнему докладу Federasul – Федерация предпринимательских организаций Риу-Гранди-ду-Сул -, более 40% бразильских компаний уже были мишенью какого-то типа кибератаки. Тем не менее, многие из этих компаний все еще сталкиваются трудности с соблюдением юридических требований установленных LGPD. Данные Национального органа по защите данных (ANPD) показывают что только около 30% взломанных компаний официально заявили о возникновении инцидента. Это расхождение может быть отнесено к нескольким факторам, включая отсутствие осведомлённости, сложность процессов соответствия и страх негативных последствий для репутации компании
На следующий день после инцидента: первые шаги
После подтверждения хакерского вторжения, первая мера - сдержать инцидент для предотвращения его распространения. Это включает изолировать затронутые системы, прекратить несанкционированный доступ и внедрить меры контроля ущерба
Параллельно, важно собрать команду реагирования на инциденты, которое должно включать специалистов по безопасности информации, профессионалы информационной технологии, юристы и консультанты коммуникации. Эта команда будет ответственной за ряд принятых решений – главным образом те, которые связаны с продолжением бизнеса в последующие дни
С точки зрения соответствия с LGPD, надо документировать все действия принятые во время ответа на инцидент. Эта документация будет служить как доказательство того, что компания действовала в соответствии с юридическими требованиями и может быть использована в возможных аудитах или расследованиях со стороны ANPD
В первые дни, команда реагирования должна провести подробный криминалистический анализ чтобы идентифицировать источник вторжения, метод использован хакерами и масштаб компрометации. Этот процесс жизненно важен не только для понимания технических аспектов атаки, но также для сбора доказательств которые будут необходимы для сообщения инцидента компетентным властям и также страховщику – если предприятие приняло киберстраховку
Есть здесь очень важный аспект: криминалистический анализ также служит для определения, находятся ли атакующие все еще внутри сети компании – ситуацию, которая, к сожалению, является очень распространен, еще больше если после инцидента компания находится под каким-либо видом финансового шантажа посредством освобождения данных которые преступники имели возможно украден
Кроме того, а LGPD, в его статье 48, требует, чтобы контролер данных сообщал Национальному Органу по защите данных (ANPD) и владельцам затрагиваемых данных о возникновении инцидента безопасности, который может повлечь риск или ущерб значительный для владельцев. Это сообщение должно быть сделано в разумный срок, согласно конкретной регламентации ANPD, и должна включать информацию о характере затрагиваемых данных, задействованные держатели, технические меры и меры безопасности используемые для защиты данных, риски связанные с инцидентом и меры, которые были или будут приняты для реверсирования или смягчения последствий убытка
На основе этого юридического требования, это необходимо, сразу после первоначального анализа, подготовить подробный доклад, включающий всю информацию, упомянутую LGPD. В этом, криминалистический анализ также помогает определить, было ли извлечение и кража данных – в той степени что преступники возможно будут утверждать
Этот доклад должен быть пересмотрен профессионалами соблюдения и юристами компании перед тем как быть представленным в ANPD. Законодательство также требует что компания делает ясное и прозрачное сообщение владельцам данных, затронутых, объясняя случившееся, принятые меры и последующие шаги для обеспечения защиты персональных данных
Транспарентность и эффективное сообщение, кстати, являются основополагающими во время управления инцидентом безопасности. Управление должно поддерживать постоянную коммуникацию с командами внутренними и внешними, обеспечивая что все заинтересованные стороны информированы о прогрессе действий и следующих шагах
Оценка политик безопасности — необходимое действие
Параллельно коммуникации с заинтересованными сторонами, компания должна начать процесс оценки и пересмотра своих стратегий и практик безопасности. Это включает в себя переоценку всех контролей безопасности, доступы, удостоверения с высоким уровнем доступа, а также внедрение дополнительных мер для предотвращения будущих инцидентов
В параллеле с обзором и анализом систем и процессов, затронутых, компания должна фокусироваться, также, в восстановлении систем и в восстановлении их операций. Это включает в себя очистку всех систем, пострадавших, применение защитных патчей, восстановление резервных копий и ревалидация контролей доступа. Крайне важно обеспечить, чтобы системы были полностью безопасны прежде чем быть помещенными обратно в эксплуатацию
Как только системы будут снова операционными, надо проводить пост-инцидентный обзор для выявления уроков извлеченных и областей улучшения. Этот обзор должен включать все соответствующие стороны и привести к окончательному докладу, выделяющему причины инцидента, меры принятые, воздействия и рекомендации для улучшения позиции безопасности компании в будущем
Помимо технических и организационных действий, управление инцидентом безопасности требует проактивный подход по отношению к управлению и культуре безопасности. Это включает реализацию непрерывной программы улучшений в кибербезопасности и продвижение корпоративной культуры, которая ценит безопасность и конфиденциальность
Реакция на инцидент безопасности требует набор скоординированных и хорошо спланированных действий, скорректированные с требованиями LGPD. От первоначального сдерживания и коммуникации с заинтересованными сторонами до восстановления систем и обзора пост-инцидента, каждый шаг необходим для минимизации негативных воздействий и обеспечения правовой соответствия. Больше того, надо смотреть в лицо недостаткам и исправлять их – прежде всего, инцидент должен привести стратегию кибербезопасности компании на новый уровень
