發生一個安全事件而導致一個黑客入侵是, 毫无疑问, 一種對任何企業今天最大的噩夢. 除了直接的影響在生意上, 有法律和聲譽的影響,可能持續了幾個月或甚至幾年. 在巴西, 一般資料保護法 (LGPD) 制定了一系列要求,企業必須遵循發生此類事件後的
根據一個最近的 Federasul 報告 – Federação de Entidades Empresariais do Rio Grande do Sul -, 超過 40% 的巴西企業已經成為某種網絡攻擊的目標. 然而, 很多這些企業仍然面臨困難來遵守 LGPD 所設定的法律要求. 國家資料保護權威 (ANPD) 的數據揭示,只有約 30% 的入侵企業正式聲明了事件的發生. 這個 discrepancy 可以被歸因於幾個因素, 包括 lack of awareness 的意識, 遵守程序的复杂性和担心对企业声誉的负面影响
事件发生后的第二天:第一步
在確認了一次黑客入侵後, 第一個措施是
并行, 是重要組建一個回應事件的團隊, 必須包括資訊安全專家, 資訊專業人士, 律師和溝通顧問. 這個團隊將負責一連串的決策採取 – 主要那些涉及到業務的持續性在接下來幾天
在遵守 LGPD 的方面, 要記錄所有在回應事件時采取的行動. 這份文件將作為證據,公司已行動符合法律要求,並可能被用在可能的審查或調查由ANPD
在最初的日子, 响应团队应进行详细的法医分析来识别入侵的来源, 黑客們使用的方法和 compromise 的範圍. 這個過程是至关重要的不僅為了理解攻擊的技術方面, 但也為收集證據, 這將需要去報告事件給主管当局並且向保險公司 – 如果公司已經進行了網絡保險
這裡有一個非常重要的一面: 法醫分析也用來確定攻擊者是否還在企業的網絡內 – 一種情況讓, 不幸的是, 是很常見, 更何况如果事件之后公司正在遭受某种形式的金融勒索行为通过释放犯罪分子可能已经偷走的数据
此外, a LGPD, 在它的第 48 条, 要求數據控制器告知國家數據保護權威 (ANPD) 和受影響的數據持有者關於發生的一個安全事件,可能導致數據持有者相關風險或傷害. 此通報應在合理的期限內進行, 依 ANPD 的特定規範, 並應包括關於受影響數據的性質的資訊, 參與的持有者, 所使用的技術和安全措施為保護數據, 相關事件的風險和已經或將要採取的措施來逆轉或緩解損害的影響
基於這個法律要求, 是必不可少的, 在初步分析之後, 编写一份详细的报告,包括了 LGPD 所提到的所有信息. 在這裏, 法醫分析也幫助判斷是否發生提取和盜用數據 – 在犯罪者可能正在聲稱的範圍內
這個報告應由合規專業人士和公司的律師審核,在被提交給ANPD之前. 立法還要求公司做明確和透明的溝通給受影響的數據持有者, 解釋了所發生的, 所采取的措施和接下来的步骤来确保个人数据的保护
透明度和有效的溝通, 顺便说一下, 是管理安全事件的過程中關鍵支柱. 管理層應保持與內部和外部團隊的持續溝通, 確保所有參與方都被通知了行動的進展和下一步
安全政策评估是必要行动
并行于与利益相关者沟通, 公司必須開始一個評估和檢討其安全政策和做法的過程. 這包括重新評估所有安全控制的, 接入, 憑證有高水平的存取, 以及實施額外的措施來防止未來事件
在同時對受影響的系統和流程的審查和分析, 公司應該聚焦, 也, 在恢復系統並在恢復其運營. 這涉及清理所有受影響的系統, 安全貼帶的應用, 恢復備份和重新驗證存取控制. 必須確保系統在被放回運營之前是完全安全的
一旦系統們又是運作正常的, 需要進行一項事件後檢討以發現學到的教訓和改善的領域. 这项审查应涉及所有相关各方,并导致一份最终报告,突出事件的根源, 所采取的措施, 影響和為改善公司未來的安全態度而提出的建議
除了技術和組織性的行動, 安全事件的管理需要對安全治理和文化的積極方法. 这包括实施一个持续的网络安全改进计划和促进一个重视安全和隐私的企业文化
對安全事件的反應需要一套協調和精心規劃的行動, 符合 LGPD 的要求的. 從最初的遏制和與利益攸關方的溝通到系統的恢復和事故後的檢查, 每個步
