תכנון תגובת ההפרה שלך

הפרת נתונים יכולה לכבות את החברה שלך לאורך זמן קריטי, לעיתים לנצח; זה בהחלט יכול לסכן את עתידך הכלכלי, ובמקרים מסוימים הוא אפילו יכול להנחיל אותך לכלא. אבל שום דבר מזה לא צריך לקרות מכיוון שאם אתם מתכננים נכון, אתם והחברה שלכם יכולים להתאושש ולהמשיך בעסק, לפעמים תוך דקות ספורות. בסופו של דבר, הכל מסתכם בתכנון.

בשבוע שעבר דנו כיצד להתכונן להפרת נתונים. בהנחה שעשית זאת לפני שהפרה שלך התרחשה, הצעדים הבאים שלך פשוטים למדי. אבל אחד מאותם צעדים מוכנים היה ליצור תוכנית ואז לבדוק אותה. וכן, זה ידרוש עבודה משמעותית.

ההבדל הוא שתכנון מקדים שנעשה לפני כל הפרה נועד למזער את הנזק. לאחר ההפרה, התוכנית צריכה להתמקד בתהליך ההחלמה והתמודדות עם סוגיות לאחר מכן, בהנחה שישנם כאלה. זכור את המטרה הכללית שלך, ממש כמו לפני ההפרה, היא למזער את ההשפעה שיש להפרה על החברה שלך, על עובדיך ועל לקוחותיך.

תכנון לשחזור

תכנון התאוששות מורכב משתי קטגוריות רחבות. הראשון הוא תיקון הנזק שנגרם מהפרה וודא כי האיום מתבטל בפועל. השני - דואג לסיכונים הכספיים והמשפטיים הנלווים להפרת נתונים. מבחינת הבריאות העתידית של הארגון שלך, שניהם חשובים לא פחות.

שון בלנקהורן, סגן נשיא, הנדסת פתרונות ושירותי ייעוץ להגנה מנוהלת ומגיב מנוהל eSentire, אמר כי "ההכלה היא המפתח מבחינת ההחלמה". "ככל שנוכל לזהות את האיום מהר יותר, כך אנו יכולים להכיל אותו טוב יותר."

בלנקהורן אמר כי הכילה של איום יכולה להיות שונה תלוי באיזה סוג איום מדובר. במקרה של תוכנת כופר, למשל, ייתכן שמשמעותה היא להשתמש בפלטפורמת ההגנה המוגדרת על קצה הקצה שלך כדי לסייע בבידוד התוכנה הזדונית יחד עם כל זיהומים משניים כך שהיא לא תוכל להתפשט ואז להסיר אותה. פירוש הדבר יכול גם להטמיע אסטרטגיות חדשות כך שפריצות עתידיות ייחסמו, כמו הצטיידות נדידה ותקשורת משתמשים בחשבונות רשת פרטית וירטואלית פרטית (VPN).

עם זאת, סוגים אחרים של איומים עשויים לדרוש טקטיקות שונות. לדוגמה, התקפה המחפשת מידע פיננסי, קניין רוחני (IP) או נתונים אחרים של הארגון שלך לא תטופל באותה דרך כמו התקפת תוכנת ransomware. במקרים אלה יתכן שתצטרך למצוא ולחסל את נתיב הכניסה, ותצטרך למצוא דרך לעצור את הפקודה ואת הודעות הבקרה. זה, בתורו, ידרוש ממך לפקח ולנהל את תעבורת הרשת שלך עבור ההודעות האלה, כך שתוכל לראות היכן מקורם ואיפה הם שולחים נתונים.

"לתוקפים יש יתרון ראשוני", אמר בלנקהורן. "אתה צריך לחפש חריגות."

חריגות אלה יעבירו אתכם למשאב, בדרך כלל לשרת, המספק גישה או שמספק סינון. לאחר שמצאת זאת, אתה יכול להסיר את התוכנה הזדונית ולשחזר את השרת. עם זאת, בלנקהורן מזהיר כי יתכן שתצטרך לצלם מחדש את השרת כדי להיות בטוח שכל תוכנה זדונית באמת נעלמה.

שלבי התאוששות הפרה

בלנקהורן אמר שיש שלושה דברים נוספים שכדאי לזכור כשמתכננים התאוששות מהפרה:

1. ההפרה היא בלתי נמנעת,
2. טכנולוגיה בלבד לא מתכוונת לפתור את הבעיה, ו
3. אתה צריך להניח שזה איום שמעולם לא ראית לפני כן.

אך לאחר שחיסלתם את האיום, ביצעתם רק מחצית מההחלמה. החצי השני הוא הגנה על העסק עצמו. לדברי ארי ורד, מנהל מוצר בכיר בספק CyberPolicy, ספק זה אומר להכין את שותפי ההחלמה שלך מראש.

"זה המקום שבו תוכנית להחלמת סייבר במקום יכולה להציל את העסק, " אמרה ורד ל- PCMag בהודעת דוא"ל. "זה אומר לוודא שהצוות המשפטי שלך, צוות משפטי נתונים, צוות יחסי הציבור שלך ואנשי צוות המפתח שלך יודעים מראש מה צריך לעשות בכל פעם שיש הפרה."

השלב הראשון שם פירושו לזהות מראש את שותפי ההחלמה שלכם, ליידע אותם על התוכנית שלכם ולנקוט בכל הפעולות הנחוצות כדי לשמור על שירותיהם במקרה של הפרה. זה נשמע כמו נטל ניהולי רב, אבל ורד ציינה ארבע סיבות חשובות שהופכות את התהליך לשווה את המאמץ:

1. אם יש צורך בהסכמי אי-גילוי וסודיות, ניתן להסכים על כך מראש, יחד עם עמלות ותנאים אחרים, כך שלא תאבד זמן לאחר התקפת סייבר שמנסה לנהל משא ומתן עם ספק חדש.
2. אם יש לך ביטוח סייבר, ייתכן שבסוכנות שלך יש שותפים ספציפיים שכבר זוהו. במקרה כזה, תרצה להשתמש במשאבים אלה כדי להבטיח שהעלויות מכוסות על פי המדיניות.
3. יתכן וספק ביטוח הסייבר שלך מכיל הנחיות לגבי הסכום שהוא מוכן לכסות בגין היבטים מסוימים, ובעל העסק לעסקים קטנים ובינוניים (SMB) ירצה לוודא כי דמי הספק שלהם נכללים בהנחיות אלה.
4. בחלק מחברות ביטוח הסייבר יהיו שותפי ההחלמה הנדרשים בתוך הבית, מה שהופך אותו לפיתרון סוהר עבור בעל העסק, מכיוון שהקשרים כבר קיימים והשירותים יכוסו אוטומטית במסגרת הפוליסה.

התייחסות לנושאים משפטיים וזיהוי פלילי

ורד אמר כי הצוות המשפטי והצוות המשפטי שלך זוכים לעדיפות גבוהה לאחר התקפה. צוות הזיהוי הפלילי ינקוט את הצעדים הראשונים בהתאוששות, כפי שתיאר בלנקהורן. כפי שהשם מרמז, צוות זה נמצא שם כדי לגלות מה קרה, וחשוב מכך, איך. זה לא כדי להאשים; זה לזהות את הפגיעות שאפשרה את הפרה כדי שתוכל לחבר אותה. זו הבחנה חשובה שיש לערוך לפני העובדים לפני שמגיע הצוות לזיהוי פלילי בכדי להימנע מנטור או דאגה.

ורד ציין כי הצוות המשפטי המגיב להפרה ככל הנראה לא יהיה אותם אנשים המטפלים במשימות משפטיות מסורתיות עבור העסק שלך. במקום זאת, הם יהיו קבוצה מיוחדת עם ניסיון בהתמודדות עם בעקבות התקפות הסייבר. צוות זה עשוי להגן עליך מפני תביעות הנובעות מההפרה, התמודדות עם רגולטורים, או אפילו טיפול במשא ומתן עם גנבי סייבר וכופרם.

בינתיים, צוות יחסי הציבור שלך יעבוד עם הצוות המשפטי שלך בכדי לטפל בדרישות ההודעות, יתקשר ללקוחות שלך כדי להסביר את ההפרה ואת תגובתך, ואולי אפילו להסביר לאותם התקשורת את אותם פרטים.

לבסוף, לאחר שתנקוט בצעדים הנדרשים כדי להתאושש מההפרה, תצטרך לאסוף את הצוותים הללו יחד עם המנהלים בדרגת C ולקיים פגישה ודיווח לאחר הפעולה. הדוח שלאחר הפעולה הוא קריטי לצורך הכנת הארגון שלך להפרה הבאה על ידי קביעת מה השתבש, מה השתבש ומה ניתן לעשות כדי לשפר את תגובתך בפעם הבאה.

בחינת התוכנית שלך

• 6 דברים שלא לעשות לאחר הפרת נתונים 6 דברים שלא לעשות לאחר הפרת נתונים
• הפרות נתונים התפשרו 4.5 מיליארד שיאים במחצית הראשונה של 2018 הפרות נתונים התפשרו 4.5 מיליארד שיאים במחצית הראשונה של 2018
• קתאי פסיפיק חושפת הפרת נתונים המשפיעים על 9.4 מיליון נוסעים קתאי פסיפיק חושפת הפרת נתונים המשפיעים על 9.4 מיליון נוסעים

כל זה מניח שהתוכנית שלך תוכננה היטב והוצאה לפועל במיומנות במקרה של דבר רע. למרבה הצער, זו אף פעם לא הנחה בטוחה. הדרך היחידה להיות בטוחה במידה סבירה שתוכניתך עומדת בכל סיכוי להצלחה היא לתרגל אותה ברגע שהיא מוכנה. המומחים שעסקתם בהתמודדות עם התקפות סייבר כאירועים קבועים בעסק שלהם לא יעניקו לכם התנגדות רבה לתרגול התוכנית שלכם - הם רגילים לזה וכנראה מצפים לכך. אך מכיוון שהם מבחוץ, עליכם לוודא שהם מתוכננים לאימון וכנראה שתצטרכו לשלם להם על זמנם. משמעות הדבר היא שחשוב להקדיש לכך את התקצוב, לא רק פעם אחת אלא על בסיס קבוע.

עד כמה בסיס זה קבוע תלוי באופן בו עובדי הבית שלך מגיבים למבחן הראשון שלך. המבחן הראשון שלך ייכשל כמעט בוודאות בחלק או אולי בכל ההיבטים. זה צפוי מכיוון שתגובה זו תהיה מורכבת ומכבידה הרבה יותר מאשר תרגיל אש פשוט. מה שעליך לעשות הוא למדוד את חומרת הכישלון הזה ולהשתמש בו כבסיס לבחירת התדירות ובאיזו מידה אתה צריך לתרגל את תגובתך. זכור כי תרגיל כיבוי נדרש לאסון שרוב העסקים לעולם לא יחוו. תרגיל התקפת הסייבר שלך נועד לאסון שהוא כמעט בלתי נמנע בשלב מסוים.