发生安全事件并导致黑客入侵无疑是当今任何公司最大的噩梦之一。除了对业务的直接影响外,还会产生可能持续数月甚至数年的法律和声誉影响。在巴西,《通用数据保护法》(LGPD)制定了一系列要求,企业在发生此类事件后必须遵守。
根据南里奥格兰德州商业实体联合会 (Federasul) 最近发布的一份报告,超过 40% 的巴西公司已经成为某种类型的网络攻击的目标。然而,许多公司在遵守 LGPD 规定的法律要求方面仍然面临困难。印度国家数据保护局(ANPD)的数据显示,只有约 30% 的遭受黑客攻击的公司正式宣布了该事件的发生。这种差异可归因于多种因素,包括缺乏意识、合规流程的复杂性以及对公司声誉产生负面影响的担忧。
事件发生后的第二天:第一步
在确认黑客入侵后,第一步就是遏制事件,防止其蔓延。这包括隔离受影响的系统、阻止未经授权的访问以及实施损害控制措施。
同时,组建一个事件响应团队也很重要,该团队应包括信息安全专家、IT 专业人员、律师和通信顾问。该团队将负责做出一系列决策——主要是涉及接下来几天业务连续性的决策。
在 LGPD 合规性方面,有必要记录事件响应期间采取的所有行动。该文件将作为公司按照法律要求行事的证据,并可用于 ANPD 的任何审计或调查。
在最初几天,响应团队必须进行详细的取证分析,以确定入侵的来源、黑客使用的方法以及入侵的范围。这一过程不仅对于了解攻击的技术方面至关重要,而且对于收集向主管当局和保险公司(如果公司已购买网络保险)报告事件所需的证据也至关重要。
这里有一个非常重要的方面:取证分析还可以确定攻击者是否仍在公司网络中——不幸的是,这种情况非常常见,如果事件发生后公司通过发布犯罪分子可能窃取的数据而遭受某种财务勒索,则更是如此。
此外,LGPD 第 48 条要求数据控制者向国家数据保护局 (ANPD) 和受影响的数据主体通报可能对数据主体造成风险或相关损害的安全事件的发生情况。此沟通必须根据特定的 ANPD 规定在合理的时间内进行,并且必须包括受影响数据的性质、所涉及的数据主体、用于保护数据的技术和安全措施、与事件相关的风险以及已经或将要采取的措施来扭转或减轻损害的影响。
根据此法律要求,在初步分析后立即准备一份包含 LGPD 提到的所有信息的详细报告至关重要。在这方面,法医分析还有助于确定是否发生了数据提取和盗窃——就像犯罪分子可能声称的那样。
该报告在提交给 ANPD 之前必须经过合规专业人员和公司律师的审查。该立法还规定,公司必须向受影响的数据主体提供清晰透明的沟通,解释发生了什么、采取了哪些措施以及下一步措施,以确保个人数据的保护。
事实上,透明度和有效沟通是安全事件管理的基本支柱。管理层必须与内部和外部团队保持持续沟通,确保所有相关方都了解行动的进展和后续步骤。
安全政策评估是必要行动
在与利益相关者沟通的同时,公司必须开始评估和审查其安全政策和实践的过程。这包括重新评估所有安全控制、访问和高级凭证,以及实施额外措施以防止未来发生事故。
在审查和分析受影响的系统和流程的同时,公司还必须注重恢复系统和恢复运营。这包括清理所有受影响的系统、应用安全补丁、恢复备份和重新验证访问控制。在系统重新投入运行之前,必须确保其完全安全。
一旦系统恢复运行,应该进行事后审查,以确定经验教训和需要改进的领域。审查应涉及所有相关方,并形成最终报告,重点介绍事件的原因、采取的行动、影响以及改善公司未来安全态势的建议。
除了技术和组织行动外,管理安全事件还需要采取积极主动的治理和安全文化方法。这包括实施持续的网络安全改进计划,并培育重视安全和隐私的企业文化。
应对安全事件需要一系列协调且精心策划的行动,并符合 LGPD 的要求。从最初的遏制和利益相关者沟通到系统恢复和事件后审查,每一步对于最大限度地减少负面影响和确保法律合规都至关重要。更重要的是,我们必须直面故障并予以纠正——最重要的是,事件必须将公司的网络安全战略提升到一个新的水平。
