Возникновение инцидента безопасности, приводящего к хакерскому вторжению, без сомнения, является сегодня одним из самых больших кошмаров для любой компании. Помимо непосредственного воздействия на бизнес, существуют правовые и репутационные последствия, которые могут длиться месяцами или даже годами. В Бразилии Общий закон о защите данных (LGPD) устанавливает ряд требований, которые компании должны соблюдать после возникновения подобных инцидентов.
Согласно недавнему отчету Federasul (Федерации предприятий Риу-Гранди-ду-Сул), более 40% бразильских компаний уже стали объектами того или иного вида кибератак. Однако многие из этих компаний по-прежнему сталкиваются с трудностями в выполнении юридических требований, установленных LGPD. Данные Национального управления по защите данных (ANPD) показывают, что только около 30% компаний, подвергшихся взлому, официально заявили о факте инцидента. Это несоответствие можно объяснить рядом факторов, включая недостаточную осведомленность, сложность процессов обеспечения соответствия и страх негативных последствий для репутации компании.
На следующий день после инцидента: первые шаги
После подтверждения факта хакерского вторжения первым шагом является локализация инцидента, чтобы не допустить его распространения. Это включает в себя изоляцию затронутых систем, прекращение несанкционированного доступа и реализацию мер по контролю повреждений.
Параллельно важно сформировать группу реагирования на инциденты, в состав которой должны войти эксперты по информационной безопасности, ИТ-специалисты, юристы и консультанты по коммуникациям. Эта команда будет отвечать за принятие ряда решений, в основном тех, которые касаются непрерывности деятельности предприятия в последующие дни.
С точки зрения соблюдения LGPD необходимо документировать все действия, предпринятые в ходе реагирования на инцидент. Эта документация послужит доказательством того, что компания действовала в соответствии с требованиями законодательства, и может быть использована в ходе любых проверок или расследований, проводимых ANPD.
В первые несколько дней группа реагирования должна провести детальный криминалистический анализ, чтобы определить источник вторжения, метод, использованный хакерами, и масштабы взлома. Этот процесс важен не только для понимания технических аспектов атаки, но и для сбора доказательств, которые понадобятся для сообщения об инциденте компетентным органам, а также страховой компании, если у компании оформлена киберстраховка.
Здесь есть очень важный аспект: криминалистический анализ также позволяет определить, находятся ли злоумышленники все еще в сети компании — ситуация, которая, к сожалению, встречается очень часто, тем более, если после инцидента компания подвергается какому-либо финансовому шантажу посредством раскрытия данных, которые могли быть украдены преступниками.
Кроме того, статья 48 LGPD требует, чтобы контролер данных сообщал Национальному органу по защите данных (ANPD) и затронутым субъектам данных о возникновении инцидента безопасности, который может повлечь за собой риск или соответствующий ущерб для субъектов. Такое сообщение должно быть сделано в течение разумного периода времени в соответствии с конкретными правилами ANPD и должно включать информацию о характере затронутых данных, вовлеченных субъектах данных, технических и мерах безопасности, используемых для защиты данных, рисках, связанных с инцидентом, и мерах, которые были или будут приняты для устранения или смягчения последствий ущерба.
Исходя из этого требования закона, крайне важно сразу же после первоначального анализа подготовить подробный отчет, включающий всю информацию, упомянутую LGPD. В этой связи криминалистический анализ также помогает определить, имело ли место извлечение и кража данных — в том объеме, в котором заявляют преступники.
Перед отправкой в ANPD данный отчет должен быть рассмотрен специалистами по обеспечению соответствия и юристами компании. Законодательство также определяет, что компания должна предоставить пострадавшим субъектам данных четкую и прозрачную информацию, объясняющую, что произошло, принятые меры и последующие шаги по обеспечению защиты персональных данных.
Прозрачность и эффективная коммуникация, по сути, являются основополагающими принципами при управлении инцидентами безопасности. Руководство должно поддерживать постоянную связь с внутренними и внешними командами, гарантируя, что все вовлеченные стороны будут информированы о ходе выполнения действий и следующих шагах.
Оценка политик безопасности — необходимое действие
Параллельно с общением с заинтересованными сторонами компания должна начать процесс оценки и пересмотра своих политик и практик безопасности. Это включает в себя переоценку всех средств контроля безопасности, доступа и учетных данных высокого уровня, а также реализацию дополнительных мер по предотвращению будущих инцидентов.
Параллельно с проверкой и анализом затронутых систем и процессов компания должна также сосредоточиться на восстановлении систем и возобновлении своей деятельности. Это включает в себя очистку всех затронутых систем, применение исправлений безопасности, восстановление резервных копий и повторную проверку контроля доступа. Перед повторным вводом систем в эксплуатацию крайне важно убедиться в их полной безопасности.
После того, как системы снова заработают, необходимо провести послеаварийный анализ, чтобы выявить извлеченные уроки и области для улучшения. В этом обзоре должны участвовать все заинтересованные стороны, а результатом станет окончательный отчет, в котором будут указаны причины инцидента, предпринятые действия, последствия и рекомендации по улучшению положения компании в области безопасности в будущем.
Помимо технических и организационных мер, управление инцидентами безопасности требует проактивного подхода к управлению и культуре безопасности. Это включает в себя реализацию постоянной программы по улучшению кибербезопасности и формирование корпоративной культуры, в которой ценятся безопасность и конфиденциальность.
Реагирование на инцидент безопасности требует комплекса скоординированных и хорошо спланированных действий, соответствующих требованиям LGPD. От первоначального сдерживания и взаимодействия с заинтересованными сторонами до восстановления систем и анализа после инцидента — каждый шаг имеет важное значение для минимизации негативных последствий и обеспечения соблюдения законодательства. Более того, необходимо напрямую рассматривать сбои и исправлять их — прежде всего, инцидент должен вывести стратегию кибербезопасности компании на новый уровень.
