Plan de urgență în 10 pași, după o breșă de securitate


Se spune adesea că breșele de securitate nu mai sunt o chestiune de „dacă”, ci de „când”. Iată ce ar trebui să facă compania dumneavoastră sau să evite să facă în cazul unui astfel de incident. 

La nivel global, se estimează că breșele de date pot costa, în prezent, peste 4,2 milioane USD / incident. Aceste incidente au loc la o scară fără precedent, fiind direct corelate cu ritmul în care companiile își construiesc infrastructura digitală și își extind, implicit, suprafața de atac corporativă. În SUA, de exemplu, numărul de breșe de securitate raportate până în cel de-al treilea trimestru al 2021 a depășit deja numărul total anunțat în 2020. Din păcate, în zilele noastre, încă este nevoie de mult timp pentru ca o companie de mărime medie să identifice și să remedieze o breșă de date – aproximativ 287 de zile.

Cu toate acestea, ce se întâmplă odată ce se declanșează alarma, că ceva este în neregulă? Prezența amenințărilor de tip ransomware, un precursor din ce în ce mai comun al breșelor moderne de date, complică și mai mult lucrurile. Iată ce trebuie să faceți și ce să evitați în urma unei breșe de securitate digitală.

Păstrați-vă calmul

O încălcare a securității datelor poate fi una dintre cele mai stresante situații prin care poate trece compania dvs., mai ales dacă incidentul a fost cauzat de atacuri ransomware, care folosesc sisteme de chei criptate și solicită o răscumpărare financiară. O strategie rapidă, încropită la fața locului, poate face mai mult rău decât bine. Deși este de o importanță vitală ca afacerea să fie operațională cât mai repede, o abordare metodică a incidentului este crucială. Va trebui să parcurgeți planul de răspuns la incidente prestabilit și să înțelegeți gradul de compromitere înainte de a lua orice decizie majoră.

Citiți și: 5 lucruri esențiale de făcut înainte de a vă confrunta cu un atac ransomware

Urmați planul de răspuns la incidente prestabilit

Având în vedere că nu este vorba despre „când”, ci „dacă” organizația dvs. va fi supusă unui incident de securitate astăzi, un plan de răspuns la incidente prestabilit este unul dintre pașii esențiali pentru o bună practică de securitate cibernetică. Acest lucru va necesita o planificare în avans, urmând recomandările autorităților naționale sau pe cele ale Institutului Național de Standarde și Tehnologie din SUA (NIST) sau ale  Centrului Național de Securitate Cibernetică (NCSC) din Marea Britanie, ca îndrumări generale. Atunci când este detectată o breșă de securitate majoră, o echipă de răspuns prestabilită, care include și acționari ai companiei din diverse domenii, ar trebui să parcurgă pas cu pas măsurile de aplicat. Este o idee bună să efectuați periodic simulări-test pentru acest scenariu, astfel încât toată lumea să fie pregătită și procedurile în sine să fie actualizate.

Evaluați amploarea incidentului de securitate

Unul dintre primii pași critici în urma oricărui incident major de securitate este să înțelegem cât de grav a fost afectată compania. Aceste informații vor dicta acțiunile ulterioare, cum ar fi notificările necesare și remedierea incidentului. În mod ideal, va trebui să intuiți cât mai rapid care au fost punctele de acces folosite și care este „raza de acțiune” a atacului – ce sisteme au fost afectate, ce date au fost compromise și dacă „intrușii” se află încă în rețea. În acestă etapă, echipei locale i se pot alătura experți criminalistici terți.

Implicați departamentul juridic

După o breșă de securitate, trebuie să știți implicațiile juridice și poziția companiei legate de incident. Ce responsabilități are compania? Ce autorități de reglementare trebuie informate? Ar trebui să negociați cu atacatorii pentru a câștiga mai mult timp? Când trebuie notificați clienții și/sau partenerii? Consilierul juridic intern este, în acest caz, primul sfetnic. Acesta poate sugera, la rândul său, consultarea suplimentară a unor experți specializați pe zona de răspuns la incidente cibernetice. În acest punct devin esențiale acele detalii și informații despre ceea ce s-a întâmplat de fapt, astfel încât experții să poată lua măsuri customizate.

Este important să știi când, cum și pe cine anunțați

În conformitate cu termenii GDPR, notificarea autorității locale de reglementare trebuie să aibă loc în termen de 72 de ore de la descoperirea unei breșe. Cu toate acestea, este important să cunoașteți care sunt cerințele minime pentru notificare, deoarece, în cazul anumitor incidente, aceasta ar putea să nu fie necesară. Aici este esențială o bună estimare a suprafeței digitale afectate. Dacă nu știți câte date au fost preluate sau cum au pătruns atacatorii, va trebui să considerați cel mai nefavorabil scenariu în vederea notificării autorității de reglementare. Biroul Comisarului pentru Informații (ICO) din Marea Britanie, care a jucat un rol esențial în elaborarea GDPR, are câteva indicații utile în acest sens.

Anunțați autoritățile competente

Orice s-ar întâmpla în raport cu autoritatea de reglementare, este de preferat să colaborați cât mai deschis cu forțele de ordine, mai ales dacă intrușii se află încă în interiorul rețelei. Este obligatoriu să implicați autoritățile competente cât mai repede posibil. În cazul ransomware-ului, de exemplu, aceștia ar putea să vă pună în legătură cu furnizori de soluții de securitate și cu alte părți terțe care oferă chei de decriptare și instrumente de diminuare a pagubelor.

Anunțați clienții, partenerii și angajații

Aceasta este o altă acțiune implicită de pe „to do list-ul” post-breșă de securitate. Cu toate acestea, încă o dată, numărul de clienți/angajați/parteneri pe care trebuie să îi notificați, mesajul pe care îl veți transmite și momentul informării, depind de detaliile incidentului și de datele care au fost furate. Luați în considerare mai întâi o declarație publică care să spună că organizația este la curent cu un incident și că o investigație este în curs. Cum zvonurile tind să evolueze foarte rapid, va trebui să reveniți cu mai multe detalii destul de curând, după comunicarea inițială. Echipele de IT, PR și juridice ar trebui să lucreze îndeaproape în acest sens.

Începeți procesul de recuperare și remediere

Odată ce sfera atacului este clară și echipele de răspuns la incidente/echipele criminalistice sunt sigure că atacatorii nu mai au acces la sistem, este timpul ca situația să reintre pe făgașul normal. Acest lucru ar putea însemna restaurarea sistemelor din backup, reconfigurarea sistemelor compromise, corecția punctelor de acces finale afectate și resetarea parolelor.

Începeți să întăriți sistemul pentru atacurile viitoare

Autorii atacurilor împărtășesc adesea cunoștințe despre criminalitatea cibernetică în darknet. De asemenea, aceștia pot ataca de mai multe ori aceleași companii ce le-au mai căzut victime și în trecut – în special cu tehnici tip ransomware. Astfel, utilizarea informațiilor obținute prin investigarea breșei de securitate și rezultatele din evaluarea experților în criminalistică cibernetică sunt foarte importante pentru a vă asigura că toate vulnerabilitățile pe care atacatorii le-au folosit prima dată nu pot fi exploatate din nou, în cazul unor posibile incidente viitoare. Câteva exemple de astfel de măsuri sunt: îmbunătățiri ale aplicațiilor de management pentru patch-uri și parole, traininguri educaționale legat de importanța securității, implementarea autentificării multifactor (MFA) sau modificări mai complexe la nivel de personal, proceduri și tehnologie.

Studiați cazurile cu răspunsuri slabe la un incident de securitate

Ultima piesă a puzzle-ului de strategie de răspuns la incidente este învățarea din experiență. O parte din aceasta este întărirea rezilienței pentru viitor, detaliată mai sus. Dar se pot trage concluzii și din exemplul altora. Istoricul breșelor de securitate a datelor este plin de situații „celebre” de răspuns slab la incident. Într-un caz puternic mediatizat, contul corporativ de Twitter al unei firme, aflate sub atac, a publicat un link de phishing de patru ori, confundându-l cu link-ul către site-ul de răspuns la incidente al companiei. În altul, o companie importantă de telecomunicații din Marea Britanie a fost aspru criticată pentru comunicarea de informații contradictorii.

Concluzii

Orice s-ar întâmpla, clienții se așteaptă din ce în ce mai mult ca organizațiile cu care colaborează să sufere incidente de securitate. Modul în care reacționați va fi factorul care îi va determina pe aceștia să rămână sau să plece și care va influența scala prejudiciului financiar și reputațional.

Phil Muncaster November 17, 2021

Lasa un comentariu