Inhoudsopgave:
- 1. Niet improviseren
- 2. Ga niet stil
- 3. Maak geen valse of misleidende verklaringen
- 4. Onthoud klantenservice
- 5. Sluit incidenten niet te snel
- 6. Vergeet niet om te onderzoeken
Video: Aflevering 6: Datalekken (November 2024)
Het handhaven en afdwingen van IT-beveiliging is iets dat we vanuit verschillende invalshoeken hebben behandeld, met name how-to en evoluerende beveiligingstrends, en dat is zeker informatie die u grondig moet verwerken. Bovendien moet u ervoor zorgen dat uw bedrijf goed is uitgerust om zichzelf te beschermen en te verdedigen tegen cyberaanvallen, met name via IT-eindpuntbescherming en granulair identiteitsbeheer en toegangscontrolemaatregelen. Een degelijk en getest back-upproces is ook een must. Helaas blijft het speelboek voor een datalek veranderen, wat betekent dat sommige van uw acties tijdens een ramp even schadelijk als nuttig kunnen zijn. Dat is waar dit stuk binnen komt.
, bespreken we wat bedrijven moeten vermijden als ze zich realiseren dat hun systemen zijn overtreden. We spraken met verschillende experts van beveiligingsbedrijven en industrieanalysebedrijven om de mogelijke valkuilen en rampscenario's die zich ontwikkelen na cyberaanvallen beter te begrijpen.
1. Niet improviseren
In het geval van een aanval zal je eerste instinct je vertellen om te beginnen met het proces om de situatie recht te zetten. Dit kan inhouden het beschermen van de eindpunten waarop is gericht of terugkeren naar eerdere back-ups om het toegangspunt te sluiten dat door uw aanvallers wordt gebruikt. Helaas, als je nog niet eerder een strategie had ontwikkeld, zou elke overhaaste beslissing die je na een aanval neemt, de situatie kunnen verslechteren.
"Het eerste wat u na een inbreuk niet moet doen, is uw reactie ter plekke creëren", zegt Mark Nunnikhoven, vice-president van Cloud Research bij Trend Micro, leverancier van oplossingen voor cyberbeveiliging. "Een cruciaal onderdeel van uw incidentresponsplan is voorbereiding. Belangrijke contacten moeten van tevoren in kaart worden gebracht en digitaal worden opgeslagen. Het moet ook beschikbaar zijn op papier in geval van een catastrofale inbreuk. Als u op een inbreuk reageert, is het laatste wat u moet proberen te achterhalen wie verantwoordelijk is voor welke acties en wie verschillende reacties kan autoriseren."
Ermis Sfakiyanudis, president en CEO van Trivalent, een bedrijf voor gegevensbescherming, is het eens met deze aanpak. Hij zei dat het van cruciaal belang is dat bedrijven "niet in paniek raken" nadat ze door een inbreuk zijn getroffen. "Hoewel onvoorbereidheid in het gezicht van een datalek een bedrijf onherstelbare schade kan toebrengen, kan paniek en desorganisatie ook uiterst schadelijk zijn", legt hij uit. "Het is van cruciaal belang dat een inbreukmakend bedrijf niet afdwaalt van zijn reactieplan voor incidenten, waaronder het identificeren van de vermoedelijke oorzaak van het incident als een eerste stap. De inbreuk werd bijvoorbeeld veroorzaakt door een succesvolle ransomware-aanval, malware op het systeem, een firewall met een open poort, verouderde software of onopzettelijke insider-bedreiging? Isoleer vervolgens het betreffende systeem en verwijder de oorzaak van de inbreuk om ervoor te zorgen dat uw systeem buiten gevaar is."
Sfakiyanudis zei dat het van vitaal belang is dat bedrijven om hulp vragen wanneer ze boven hun hoofd zitten. "Als u na uw interne onderzoek vaststelt dat er inderdaad een inbreuk heeft plaatsgevonden, schakel dan expertise van derden in om de gevolgen te helpen aanpakken en verminderen, " zei hij. "Dit omvat juridische adviseurs, externe onderzoekers die een grondig forensisch onderzoek kunnen uitvoeren, en public relations- en communicatie-experts die namens u een strategie kunnen opstellen en met de media kunnen communiceren.
"Met deze gecombineerde expertbegeleiding kunnen organisaties kalm blijven door de chaos heen, identificeren welke kwetsbaarheden de datalek hebben veroorzaakt, verhelpen zodat het probleem in de toekomst niet meer gebeurt en ervoor zorgen dat hun reactie op getroffen klanten passend en tijdig is. Ze kunnen werken ook samen met hun juridisch adviseur om te bepalen of en wanneer wetshandhaving moet worden aangemeld."
2. Ga niet stil
Als je eenmaal bent aangevallen, is het geruststellend om te denken dat niemand buiten je innerlijke cirkel weet wat er zojuist is gebeurd. Helaas is het risico hier niet de beloning waard. U wilt communiceren met medewerkers, leveranciers en klanten om iedereen te laten weten wat er is gebeurd, wat u hebt gedaan om de situatie te verhelpen en welke plannen u wilt nemen om ervoor te zorgen dat er in de toekomst geen soortgelijke aanvallen plaatsvinden. "Negeer uw eigen werknemers niet, " adviseerde Heidi Shey, Senior Analyst van Security & Risk bij Forrester Research. "U moet met uw werknemers over het evenement communiceren en uw werknemers begeleiden over wat te doen of te zeggen als zij naar de inbreuk vroegen."
Shey, net als Sfakiyanudis, zei dat je misschien wilt kijken naar het inhuren van een public relations-team om de berichten achter je antwoord te beheersen. Dit geldt met name voor grote en dure datalekken die door consumenten worden geconfronteerd. "In het ideale geval wilt u dat een dergelijke provider vooraf wordt geïdentificeerd als onderdeel van uw planning voor incidentrespons, zodat u klaar bent om uw respons te starten, " legde ze uit.
Alleen omdat u proactief bent om het publiek te laten weten dat u bent overtreden, betekent dit niet dat u kunt beginnen met het uitspreken van wilde verklaringen en proclamaties. Toen toymaker VTech bijvoorbeeld werd overtreden, werden foto's van kinderen en chatlogboeken door een hacker geopend. Nadat de situatie was verdwenen, veranderde de toymaker zijn servicevoorwaarden om afstand te doen van zijn verantwoordelijkheid in geval van een inbreuk. Onnodig te zeggen dat klanten niet tevreden waren. "Je wilt er niet uitzien alsof je je verbergt achter juridische middelen, of het nu gaat om het vermijden van aansprakelijkheid of het beheersen van het verhaal, " zei Shey. "Het is beter om een responsplan en crisisbeheersingsplan te hebben om te helpen met communicatie over inbreuken."
3. Maak geen valse of misleidende verklaringen
Dit is een voor de hand liggende, maar je wilt zo nauwkeurig en eerlijk mogelijk zijn wanneer je je tot het publiek richt. Dit is gunstig voor uw merk, maar het is ook gunstig voor hoeveel geld u van uw cyberverzekering terugkrijgt als u er een heeft. "Geef geen publieke verklaringen af zonder rekening te houden met de implicaties van wat je zegt en hoe je klinkt", zei Nunnikoven.
"Was het echt een 'geavanceerde' aanval? Het labelen als zodanig maakt het niet noodzakelijkerwijs waar, " vervolgde hij. "Moet uw CEO dit echt een 'terroristische daad' noemen? Heb je de kleine lettertjes van je cyberverzekering gelezen om uitsluitingen te begrijpen?"
Nunnikhoven beveelt aan om berichten te maken die "geen bulls zijn, frequent zijn en duidelijk aangeven welke acties worden ondernomen en welke moeten worden genomen." Probeerde de situatie te laten draaien, zei hij, heeft de neiging dingen erger te maken. "Wanneer gebruikers horen over een inbreuk van een derde partij, tast dit onmiddellijk het gewonnen vertrouwen aan", legt hij uit. "Ga voor de situatie staan en blijf voorop met een gestage stroom beknopte communicatie op alle kanalen waar u al actief bent."
4. Onthoud klantenservice
Als uw datalek een online service, de ervaring van uw klanten of een ander aspect van uw bedrijf beïnvloedt waardoor klanten u vragen kunnen sturen, moet u zich hierop concentreren als een apart en belangrijk probleem. Het negeren van de problemen van uw klanten of zelfs openlijk proberen om hun pech in uw winst om te zetten, kan een ernstige datalek snel veranderen in een nachtmerrieachtig verlies van omzet en inkomsten.
Met de Equifax-inbreuk als een voorbeeld, vertelde het bedrijf klanten oorspronkelijk dat ze een jaar gratis kredietrapportage hadden als ze niet zouden aanklagen. Het probeerde zelfs van de inbreuk een winstcentrum te maken wanneer het klanten extra wilde in rekening brengen als ze vroegen om hun rapporten te laten blokkeren. Dat was een vergissing en het schaadde de klantrelaties van het bedrijf op lange termijn. Wat het bedrijf had moeten doen, was zijn klanten op de eerste plaats zetten en hen simpelweg onvoorwaardelijke rapportage aanbieden, misschien zelfs zonder kosten, voor dezelfde periode om hun toewijding om klanten te beschermen te benadrukken.
5. Sluit incidenten niet te snel
U hebt uw beschadigde eindpunten gesloten. U hebt contact opgenomen met uw werknemers en klanten. U hebt al uw gegevens hersteld. De wolken zijn gescheiden en een zonnestraal is op uw bureau gestort. Niet zo snel. Hoewel het lijkt alsof je crisis is geëindigd, wil je je netwerk agressief en proactief blijven controleren om ervoor te zorgen dat er geen vervolgaanvallen zijn.
"Er is een enorme druk om diensten te herstellen en te herstellen na een inbreuk", zei Nunnikhoven. "Aanvallers bewegen snel door netwerken zodra ze voet aan de grond krijgen, dus het is moeilijk om een concrete vaststelling te maken dat je het hele probleem hebt aangepakt. IJverig blijven en agressiever monitoren is een belangrijke stap totdat je zeker weet dat de organisatie veilig is."
Sfakiyanudis is het eens met deze beoordeling. "Nadat een datalek is opgelost en de normale bedrijfsvoering wordt hervat, gaan we er niet vanuit dat dezelfde technologie en plannen die je had vóór de inbreuk voldoende zullen zijn", zei hij. "Er zijn hiaten in uw beveiligingsstrategie die zijn uitgebuit en zelfs nadat deze hiaten zijn verholpen, betekent dit niet dat er in de toekomst niet meer zal zijn. Om een meer proactieve benadering van gegevensbescherming in de toekomst te volgen, behandelt u uw datalekresponsplan als een levend document. Naarmate individuen van rol veranderen en de organisatie evolueert via fusies, overnames, enz., moet het plan ook veranderen."
6. Vergeet niet om te onderzoeken
"Documenteer alles bij het onderzoeken van een inbreuk, " zei Sfakiyanudis. "Het verzamelen van informatie over een incident is van cruciaal belang om te valideren dat er een inbreuk is opgetreden, welke systemen en gegevens zijn beïnvloed en hoe mitigatie of herstel is aangepakt. Logresultaten van onderzoeken door gegevens vast te leggen en te analyseren, zodat ze na het slachten kunnen worden beoordeeld.
"Zorg ervoor dat u ook alle betrokkenen interviewt en hun antwoorden zorgvuldig documenteert, " ging hij verder. "Het opstellen van gedetailleerde rapporten met schijfkopieën, evenals details over wie, wat, waar en wanneer het incident plaatsvond, zal u helpen bij het implementeren van nieuwe of ontbrekende risicobeperkende of gegevensbeschermingsmaatregelen."
Dergelijke maatregelen zijn uiteraard voor mogelijke juridische consequenties achteraf, maar dat is niet de enige reden om een aanval te onderzoeken. Uitzoeken wie verantwoordelijk was en wie getroffen was, is sleutelkennis voor de advocaten en moet zeker worden onderzocht. Maar hoe de inbreuk plaatsvond en waarop werd gericht, is essentiële informatie voor IT en uw beveiligingspersoneel. Welk deel van de perimeter moet worden verbeterd en welke delen van uw gegevens zijn (blijkbaar) waardevol voor nieuwe bronnen? Zorg ervoor dat u alle waardevolle hoeken van dit incident onderzoekt en zorg ervoor dat uw onderzoekers dat vanaf het begin weten.
Als uw bedrijf te analoog is om deze analyse alleen uit te voeren, wilt u waarschijnlijk een extern team inhuren om dit onderzoek voor u uit te voeren (zoals Sfakiyanudis eerder vermeld). Maak ook notities over het zoekproces. Noteer welke services u werd aangeboden, met welke leveranciers u sprak en of u tevreden was met het onderzoeksproces. Met deze informatie kunt u bepalen of u al dan niet bij uw leverancier wilt blijven, een nieuwe leverancier wilt kiezen of personeel in dienst wilt nemen dat in staat is deze processen uit te voeren als uw bedrijf pech heeft met een tweede inbreuk.