การเกิดเหตุการณ์ด้านความปลอดภัยที่ส่งผลให้เกิดการบุกรุกของแฮกเกอร์คือ, ไม่มีข้อสงสัย, หนึ่งในฝันร้ายที่ใหญ่ที่สุดสำหรับบริษัทใด ๆ ในปัจจุบัน. นอกจากผลกระทบทันทีต่อธุรกิจ, มีผลทางกฎหมายและชื่อเสียงที่อาจคงอยู่เป็นเวลาหลายเดือนหรือแม้กระทั่งหลายปี. ในบราซิล, พระราชบัญญัติคุ้มครองข้อมูลทั่วไป (LGPD) กำหนดชุดข้อกำหนดที่บริษัทต่างๆ ต้องปฏิบัติตามหลังจากเกิดเหตุการณ์ดังกล่าว.
ตามรายงานล่าสุดจาก Federasul – สหพันธ์องค์กรธุรกิจแห่งรัฐริโอกรันเดดูซูล, มากกว่า 40% ของบริษัทบราซิลเคยเป็นเป้าหมายของการโจมตีทางไซเบอร์ประเภทใดประเภทหนึ่ง. อย่างไรก็ตาม, หลายบริษัทเหล่านี้ยังคงเผชิญกับความยากลำบากในการปฏิบัติตามข้อกำหนดทางกฎหมายที่กำหนดโดย LGPD. ข้อมูลจากหน่วยงานคุ้มครองข้อมูลส่วนบุคคลแห่งชาติ (ANPD) เปิดเผยว่า มีเพียงประมาณ 30% ของบริษัทที่ถูกโจมตีที่ประกาศเหตุการณ์อย่างเป็นทางการ. ความไม่ตรงกันนี้อาจเกิดจากปัจจัยหลายประการ, รวมถึงการขาดการตระหนักรู้, ความซับซ้อนของกระบวนการปฏิบัติตามกฎระเบียบและความกลัวผลกระทบเชิงลบต่อชื่อเสียงของบริษัท.
วันหลังจากเหตุการณ์: ก้าวแรก
หลังจากการยืนยันการบุกรุกของแฮกเกอร์, มาตรการแรกคือการควบคุมเหตุการณ์เพื่อป้องกันการแพร่กระจาย. นี่รวมถึงการแยกระบบที่ได้รับผลกระทบ, หยุดการเข้าถึงที่ไม่ได้รับอนุญาตและดำเนินการควบคุมความเสียหาย.
ในขนาน, การจัดตั้งทีมตอบสนองต่อเหตุการณ์เป็นสิ่งสำคัญ, ที่ควรรวมถึงผู้เชี่ยวชาญด้านความปลอดภัยข้อมูล, ผู้เชี่ยวชาญด้านไอที, ทนายความและที่ปรึกษาด้านการสื่อสาร. ทีมนี้จะเป็นผู้รับผิดชอบในการตัดสินใจหลายชุด – โดยเฉพาะอย่างยิ่งที่เกี่ยวข้องกับการดำเนินธุรกิจในวันถัดไป.
ในแง่ของการปฏิบัติตาม LGPD, จำเป็นต้องบันทึกทุกการดำเนินการที่ทำในระหว่างการตอบสนองต่อเหตุการณ์. เอกสารนี้จะทำหน้าที่เป็นหลักฐานว่า บริษัทได้ดำเนินการตามข้อกำหนดทางกฎหมายและสามารถนำไปใช้ในการตรวจสอบหรือการสอบสวนโดย ANPD ได้.
ในวันแรก ๆ, ทีมตอบสนองต้องทำการวิเคราะห์นิติวิทยาศาสตร์อย่างละเอียดเพื่อตรวจสอบแหล่งที่มาของการบุกรุก, วิธีการที่แฮกเกอร์ใช้และขอบเขตของการถูกบุกรุก. กระบวนการนี้มีความสำคัญไม่เพียงแต่เพื่อเข้าใจแง่มุมทางเทคนิคของการโจมตี, แต่ยังเพื่อรวบรวมหลักฐานที่จำเป็นสำหรับการรายงานเหตุการณ์ต่อหน่วยงานที่เกี่ยวข้องและยังรวมถึงบริษัทประกันภัยด้วย – กรณีที่บริษัทได้ทำประกันภัยไซเบอร์.
มีแง่มุมที่สำคัญมากที่นี่: การวิเคราะห์นิติวิทยาศาสตร์ยังใช้เพื่อกำหนดว่าผู้โจมตียังอยู่ภายในเครือข่ายของบริษัทหรือไม่ – สถานการณ์ที่, น่าเสียดาย, เป็นเรื่องปกติมาก, ยิ่งไปกว่านั้นหากหลังจากเหตุการณ์นั้นบริษัทกำลังประสบกับการแบล็กเมล์ทางการเงินโดยการปล่อยข้อมูลที่อาชญากรอาจขโมยไป.
นอกจากนี้, LGPD, ในบทความที่ 48 ของคุณ, กำหนดให้ผู้ควบคุมข้อมูลต้องแจ้งหน่วยงานคุ้มครองข้อมูลแห่งชาติ (ANPD) และเจ้าของข้อมูลที่ได้รับผลกระทบเกี่ยวกับการเกิดเหตุการณ์ด้านความปลอดภัยที่อาจก่อให้เกิดความเสี่ยงหรือความเสียหายที่สำคัญต่อเจ้าของข้อมูล. การสื่อสารนี้ต้องทำภายในระยะเวลาที่เหมาะสม, ตามกฎระเบียบเฉพาะของ ANPD, และต้องรวมข้อมูลเกี่ยวกับลักษณะของข้อมูลที่ได้รับผลกระทบ, ผู้ถือหุ้นที่เกี่ยวข้อง, มาตรการทางเทคนิคและความปลอดภัยที่ใช้ในการปกป้องข้อมูล, ความเสี่ยงที่เกี่ยวข้องกับเหตุการณ์และมาตรการที่ได้ดำเนินการหรือจะดำเนินการเพื่อย้อนกลับหรือบรรเทาผลกระทบจากความเสียหาย.
ตามข้อกำหนดทางกฎหมายนี้, เป็นสิ่งจำเป็น, ทันทีหลังจากการวิเคราะห์เบื้องต้น, จัดทำรายงานรายละเอียดที่รวมข้อมูลทั้งหมดที่กล่าวถึงโดย LGPD. ในเรื่องนี้, การวิเคราะห์นิติวิทยาศาสตร์ยังช่วยในการกำหนดว่ามีการขโมยและการขโมยข้อมูลเกิดขึ้นหรือไม่ – ในขอบเขตที่อาชญากรอาจจะอ้างว่า.
รายงานนี้ต้องได้รับการตรวจสอบโดยผู้เชี่ยวชาญด้านการปฏิบัติตามกฎหมายและทนายความของบริษัทก่อนที่จะส่งไปยัง ANPD. กฎหมายยังกำหนดให้บริษัทต้องสื่อสารอย่างชัดเจนและโปร่งใสกับเจ้าของข้อมูลที่ได้รับผลกระทบ, อธิบายสิ่งที่เกิดขึ้น, มาตรการที่ดำเนินการและขั้นตอนถัดไปเพื่อรับประกันการปกป้องข้อมูลส่วนบุคคล.
ความโปร่งใสและการสื่อสารที่มีประสิทธิภาพ, นอกจากนี้, เป็นเสาหลักที่สำคัญในระหว่างการจัดการเหตุการณ์ด้านความปลอดภัย. การจัดการต้องรักษาการสื่อสารอย่างต่อเนื่องกับทีมงานภายในและภายนอก, การรับประกันว่าทุกฝ่ายที่เกี่ยวข้องได้รับข้อมูลเกี่ยวกับความก้าวหน้าของการดำเนินการและขั้นตอนถัดไป.
การประเมินนโยบายความปลอดภัยเป็นการกระทำที่จำเป็น
ขนานไปกับการสื่อสารกับผู้มีส่วนได้ส่วนเสีย, บริษัทควรเริ่มกระบวนการประเมินและทบทวนนโยบายและแนวปฏิบัติด้านความปลอดภัยของตน. สิ่งนี้รวมถึงการประเมินใหม่ของการควบคุมความปลอดภัยทั้งหมด, การเข้าถึง, ข้อมูลประจำตัวที่มีระดับการเข้าถึงสูง, รวมถึงการดำเนินการมาตรการเพิ่มเติมเพื่อป้องกันเหตุการณ์ในอนาคต.
พร้อมกับการตรวจสอบและวิเคราะห์ระบบและกระบวนการที่ได้รับผลกระทบ, บริษัทควรให้ความสำคัญ, เช่นกัน, ในการฟื้นฟูระบบและการคืนสถานะการดำเนินงานของพวกเขา. นี่เกี่ยวข้องกับการทำความสะอาดระบบที่ได้รับผลกระทบทั้งหมด, การติดตั้งแพตช์ความปลอดภัย, การกู้คืนข้อมูลสำรองและการตรวจสอบความถูกต้องของการควบคุมการเข้าถึง. จำเป็นต้องรับประกันว่าระบบจะต้องปลอดภัยอย่างสมบูรณ์ก่อนที่จะนำกลับมาใช้งาน.
เมื่อระบบกลับมาใช้งานได้อีกครั้ง, จำเป็นต้องดำเนินการตรวจสอบหลังเหตุการณ์เพื่อระบุบทเรียนที่ได้เรียนรู้และพื้นที่ที่ต้องปรับปรุง. การตรวจสอบนี้ต้องเกี่ยวข้องกับทุกฝ่ายที่เกี่ยวข้องและส่งผลให้มีรายงานสุดท้ายที่เน้นสาเหตุของเหตุการณ์, มาตรการที่ดำเนินการ, ผลกระทบและคำแนะนำในการปรับปรุงท่าทีด้านความปลอดภัยของบริษัทในอนาคต.
นอกเหนือจากการดำเนินการทางเทคนิคและการจัดองค์กร, การจัดการกับเหตุการณ์ด้านความปลอดภัยต้องการแนวทางเชิงรุกเกี่ยวกับการบริหารจัดการและวัฒนธรรมด้านความปลอดภัย. สิ่งนี้รวมถึงการดำเนินการตามโปรแกรมการปรับปรุงความปลอดภัยทางไซเบอร์อย่างต่อเนื่องและการส่งเสริมวัฒนธรรมองค์กรที่ให้คุณค่ากับความปลอดภัยและความเป็นส่วนตัว.
การตอบสนองต่อเหตุการณ์ด้านความปลอดภัยต้องการชุดของการดำเนินการที่ประสานงานและวางแผนมาอย่างดี, สอดคล้องกับข้อกำหนดของ LGPD. ตั้งแต่การควบคุมเบื้องต้นและการสื่อสารกับผู้มีส่วนได้ส่วนเสียไปจนถึงการฟื้นฟูระบบและการตรวจสอบหลังเหตุการณ์, ทุกขั้นตอนมีความสำคัญต่อการลดผลกระทบเชิงลบและรับประกันความสอดคล้องทางกฎหมาย. มากกว่านั้น, จำเป็นต้องมองไปข้างหน้าเพื่อหาข้อบกพร่องและแก้ไขมัน – เหนือสิ่งอื่นใด, เหตุการณ์หนึ่งควรนำกลยุทธ์ด้านความปลอดภัยไซเบอร์ของบริษัทไปสู่ระดับใหม่.
