6 דברים שלא לעשות לאחר הפרת נתונים

שמירה ואכיפה של אבטחת מידע זה דבר שכיסינו מכמה זוויות, במיוחד מגמות אבטחה כיצד להתפתח ולהתפתח, וזה בהחלט מידע שכדאי לעכל ביסודיות. בנוסף, עליך לוודא שהעסק שלך מצויד היטב כדי להגן ולהגן על עצמו מפני התקפות סייבר, במיוחד באמצעות הגנה על נקודות קצה מסוג IT וניהול אמצעי זהות פרטניים ובקרת גישה. גם תהליך גיבוי נתונים מוצק ונבדק הוא חובה. לרוע המזל, ספר ההשמעה להפרת נתונים ממשיך להשתנות, מה שאומר שחלק מהפעולות שלך במהלך אסון עלולות להזיק באותה מידה שהן מועילות. כאן נכנס הקטע הזה.

אנו דנים במה חברות צריכות להימנע מביצוע לאחר שהן מבינות שהמערכת שלהן הופרה. דיברנו עם כמה מומחים מחברות אבטחה וחברות ניתוח בתעשייה בכדי להבין טוב יותר את החסרונות והתרחישים האסון הפוטנציאליים שמתפתחים בעקבות התקפות סייבר.

1. לא לאלתר

במקרה של התקפה, האינסטינקט הראשון שלך יגיד לך להתחיל בתהליך תיקון המצב. זה עשוי לכלול הגנה על נקודות הקצה אשר מכוונו או חזרה לגיבויים קודמים כדי לסגור את נקודת הכניסה המשמשת את התוקפים שלך. למרבה הצער, אם לא היית קודם פיתח אסטרטגיה, כל החלטות פזיזות שתקח לאחר מתקפה עלולות להחמיר את המצב.

"הדבר הראשון שאסור לעשות לאחר הפרה הוא ליצור את התגובה שלך תוך כדי תנועה", אמר מארק נוניקהובן, סגן נשיא מחקרי ענן בספק פתרונות אבטחת הסייבר Trend Micro. "חלק קריטי מתכנית התגובה שלך הוא הכנה. יש למפות את אנשי הקשר העיקריים לפני הזמן ולאחסן אותם באופן דיגיטלי. זה צריך להיות זמין בעותק קשיח במקרה של הפרה קטסטרופלית. כשאתה מגיב להפרה, הדבר האחרון שאתה הצורך לעשות הוא מנסה להבין מי אחראי לאילו פעולות ומי יכול לאשר תגובות שונות."

ארמיס ספאקיאנודיס, נשיא ומנכ"ל חברת שירותי הגנת המידע Trivalent, מסכים עם גישה זו. הוא אמר שזה קריטי שחברות "לא מתחרפנות" לאחר שנפגעו מהפרה. "בעוד שאי-מוכנות לנוכח הפרת נתונים עלולה לגרום נזק בלתי הפיך לחברה, בהלה ואי-ארגון יכולים גם הם להזיק מאוד", הסביר. "קריטי שחברה שהפרה לא הסתלקה מתכנית התגובה שלה, שאמורה לכלול זיהוי הגורם החשוד לאירוע כצעד ראשון. למשל, הייתה הפרה שנגרמה כתוצאה מהתקפת מוצלחת של ransomware, תוכנות זדוניות במערכת, חומת אש עם יציאה פתוחה, תוכנה מיושנת או איום פנים לא מכוון? בשלב הבא, בידדו את המערכת שבוצעה ומגרו את הגורם להפרה כדי להבטיח שהמערכת שלכם לא תהיה בסכנה."

ספאקיאנודיס אמר שחיוני שחברות יבקשו עזרה כאשר הן עומדות מעל לראש. "אם אתה קובע כי אכן אירעה הפרה בעקבות החקירה הפנימית שלך, הכניס מומחיות של צד ג 'כדי לעזור בהתמודדות עם הנפילה, " אמר. "זה כולל ייעוץ משפטי, חוקרים חיצוניים שיכולים לערוך בירור משפטי יסודי ומומחי יחסי ציבור ותקשורת שיכולים ליצור אסטרטגיה ולתקשר לתקשורת מטעמך.

"בעזרת הנחיות משולבות זו של מומחים, ארגונים יכולים להישאר רגועים דרך התוהו ובוהו, לזהות אילו פגיעויות גרמו להפרת הנתונים, לתקן מחדש כדי שהנושא לא יתרחש בעתיד ולהבטיח שהתגובה שלהם ללקוחות המושפעים היא מתאימה ומתוזמנת. עובדים גם עם היועצים המשפטיים שלהם כדי לקבוע אם ומתי יש להודיע ​​על אכיפת החוק."

2. אל תשתוק

לאחר שהותקפת, זה מנחם לחשוב שאיש מחוץ למעגל הפנימי שלך לא יודע מה בדיוק קרה. לרוע המזל, הסיכון כאן אינו שווה את הפרס. תרצה לתקשר עם עובדים, ספקים ולקוחות כדי ליידע את כולם מה ניגש אליהם, מה עשית כדי לתקן את המצב ואילו תוכניות אתה מתכוון לנקוט כדי להבטיח שלא יתקיימו התקפות דומות בעתיד. "אל תתעלם מהעובדים שלך", יעץ היידי שי, אנליסט בכיר לביטחון וסיכון במחקר פורסטר. "אתה צריך לתקשר עם העובדים שלך על האירוע, ולספק הדרכה לעובדים שלך מה לעשות או לומר אם הם שאלו על ההפרה."

שיי, כמו ספאקיאנודיס, אמרה שאולי תרצה לבחון צוות של יחסי ציבור שיעזור לשלוט בהודעות שמאחורי תגובתך. זה נכון במיוחד לגבי הפרות נתונים גדולות ויקרות מול לקוחות. "באופן אידיאלי, תרצה שספק כזה יזהה מראש כחלק מתכנון התגובה לאירועים שלך, כך שתוכל להיות מוכן לבעוט בתגובה שלך, " הסבירה.

רק בגלל שאתה מקדם ליידע את הציבור שהפרת אותו, זה לא אומר שאתה יכול להתחיל להצהיר הצהרות פראיות והכרזות. לדוגמה, כאשר הופרה Tymaker VTech, האקר ניגש לתמונות של ילדים ולוגי צ'אט. לאחר שהמצב מת, הקברן שינה את תנאי השירות שלו כדי לוותר על אחריותו במקרה של הפרה. למותר לציין שהלקוחות לא היו מרוצים. שי. "אתה לא רוצה להיראות כאילו אתה נוהג להסתתר מאחורי אמצעים משפטיים, בין אם זה בהימנעות מאחריות או בשליטה על הנרטיב". "עדיף שתתקיים תגובת הפרה ותוכנית לניהול משברים שתסייע בתקשורת הקשורה להפרה."

3. אל תצהיר הצהרות כוזבות או מטעות

זה ברור מאליו אבל תרצו להיות מדויקים וכנים ככל האפשר כשאתם פונים אל הציבור. זה מועיל למותג שלך, אבל זה מועיל גם לכמה כסף שתחזור מפוליסת ביטוח הסייבר שלך אם יהיה לך כסף. "אל תפרסם הצהרות פומביות ללא התחשבות בהשלכות של מה שאתה אומר ואיך אתה נשמע", אמר נונניקובן.

"האם זה היה באמת פיגוע 'מתוחכם'? תיוגו ככזה לא בהכרח הופך אותו לאמיתי, " המשיך. "האם המנכ"ל שלך באמת צריך לקרוא לזה 'מעשה טרור'? קראת את האותיות הקטנות של פוליסת ביטוח הסייבר שלך כדי להבין אי הכללות?"

נונניקובן ממליץ על העברת מסרים שהם "אין-פר, תכופים ואשר מציינים בבירור פעולות שננקטות ואלה שצריך לנקוט". מנסה לסובב את המצב, הוא אמר, נוטה להחמיר את המצב. "כשמשתמשים שומעים על הפרה מצד צד שלישי, זה מייד שוחק את האמון שזכה קשה", הסביר. "צאי מול המצב והישאר מול, עם זרם קבוע של תקשורת תמציתית בכל הערוצים שבהם אתה כבר פעיל."

4. זכור את שירות הלקוחות

אם הפרת הנתונים שלך משפיעה על שירות מקוון, על חוויית הלקוחות שלך, או על היבט אחר בעסק שלך שעלול לגרום ללקוחות לשלוח אליך פניות, הקפד להתמקד בזה כנושא נפרד וחשוב. התעלמות מבעיות הלקוחות שלך או אפילו ניסיון גלוי להפוך את מזלם הרע לרווח שלך יכולה להפוך במהירות הפרת נתונים רצינית לאובדן סיוט של עסקים והכנסות.

לדוגמה, בהתחשב בהפרת אקוויפקס, החברה אמרה במקור ללקוחות שהם יכולים לקבל שנת דיווח על אשראי בחינם, רק אם הם לא יתבעו. היא אף ניסתה להפוך את הפרצה למרכז רווחים כאשר היא רצתה לחייב את הלקוחות בתוספת תשלום אם הם יבקשו להקפיא את הדיווחים שלהם. זו הייתה טעות וזה פגע ביחסי הלקוחות של החברה על בסיס ארוך טווח. מה שהחברה הייתה צריכה לעשות הייתה למקם את לקוחותיה במקום הראשון ופשוט הציעה לכולם דיווח ללא תנאים, אולי אפילו ללא עלות, באותה תקופה כדי להדגיש את המחויבות שלהם לשמור על לקוחות.

5. אל תסגור אירועים מוקדם מדי

סגרת את נקודות הקצה הפגומות שלך. יצרת קשר עם העובדים והלקוחות שלך. שחזרת את כל הנתונים שלך. העננים נפרדו וקרן שמש התפלגה על שולחנך. לא כל כך מהר. למרות שזה יכול להיראות כאילו המשבר שלך הסתיים, תרצה להמשיך ולעקוב באופן אגרסיבי ופרואקטיבי על הרשת שלך כדי להבטיח שלא יתקיימו פיגועי מעקב.

"יש לחץ אדיר להחזיר שירותים ולהתאושש לאחר הפרה", אמר נוניוהובן. "התוקפים עוברים במהירות דרך רשתות ברגע שהם מקבלים דריסת רגל, כך שקשה לקבל החלטה קונקרטית שהתייחסת לכל הנושא. להישאר בשקידה ולעקוב בצורה אגרסיבית יותר זה צעד חשוב עד שאתה בטוח שהארגון במצב ברור."

ספאקיאנודיס מסכים להערכה זו. לדבריו, "לאחר שהפרת נתונים נפתרה ופעילות עסקית רגילה תתחדש, אל תניח את אותה טכנולוגיה ותוכניות שהיו לך במקום הפרה מוקדמת יספיקו". "ישנם פערים באסטרטגיית האבטחה שלך אשר נוצלו, וגם לאחר שמטופלים בפערים אלה, זה לא אומר שלא יהיו יותר בעתיד. על מנת לנקוט גישה פרואקטיבית יותר להגנת נתונים קדימה, התייחס תוכנית תגובת הפרת הנתונים שלך כמסמך חי. ככל שאנשים משנים תפקידים והארגון מתפתח באמצעות מיזוגים, רכישות וכו ', התוכנית צריכה להשתנות גם כן."

6. אל תשכחו לחקור

"כשאתה חוקר הפרה, תעד את הכל", אמר ספאקיאנודיס. "איסוף מידע על אירוע הוא קריטי לאימות כי התרחשה הפרה, אילו מערכות ונתונים הושפעו ואיך טופלה הפחתה או טיפול. רישום תוצאות החקירות באמצעות לכידת נתונים וניתוח כך שיהיו זמינים לבדיקה לאחר המוות.

"הקפד גם לראיין את כל המעורבים ולתעד בזהירות את תשובותיהם", המשיך. "יצירת דוחות מפורטות עם תמונות דיסק, כמו גם פרטים על מי, מה, איפה ומתי האירוע, יעזור לך ליישם כל אמצעי הפחתת סיכונים או הגנה על נתונים חדשים או חסרים."

אמצעים כאלה הם כמובן בעלי השלכות משפטיות אפשריות לאחר מעשה, אך זו לא הסיבה היחידה לחקור תקיפה. לדעת מי היה האחראי ומי הושפע הוא ידע מרכזי עבור עורכי הדין, וודאי שיש לחקור אותו. אך כיצד הפרה התרחשה ומה היה ממוקד היא מידע מרכזי עבור ה- IT וצוות האבטחה שלך. איזה חלק מהמערך זקוק לשיפור ואילו חלקים מהנתונים שלך הם (ככל הנראה) בעלי ערך לבארות-באר-טוב? הקפד לחקור את כל הזוויות החשובות לאירוע זה וודא שהחוקרים שלך יודעים זאת כבר מההתחלה.

אם החברה שלך אנלוגית מכדי לבצע ניתוח זה בכוחות עצמה, סביר להניח שתרצה לשכור צוות חיצוני שיבצע עבורך את החקירה הזו (כפי שציין Sfakiyanudis קודם). רשמו הערות גם על תהליך החיפוש. שימו לב אילו שירותים הוצעו לכם, עם אילו ספקים דיברתם והאם הייתם מרוצים מתהליך החקירה. מידע זה יעזור לך לקבוע אם להתייצב עם הספק שלך או לא, לבחור ספק חדש או להעסיק צוות פנים שיכול לבצע את התהליכים האלה אם החברה שלך תהיה חסרת מזל כדי לסבול מהפרה שנייה.