ESET: Plan de urgenţă în 10 paşi pentru companii, după o breşă de securitate
0Se spune adesea că breşele de securitate nu mai sunt o chestiune de „dacă”, ci de „când”. Iată ce ar trebui să facă compania dumneavoastră sau să evite să facă în cazul unui astfel de incident.
Phil Muncaster, jurnalist de IT, explică pe blogul ESET cum ar trebui să procedezi în cazul unui atac cibernetic.
La nivel global, se estimează că breşele de date pot costa, în prezent, peste 4,2 milioane de dolari pentru un incident. Aceste incidente au loc la o scară fără precedent, fiind direct corelate cu ritmul în care companiile îşi construiesc infrastructura digitală şi îşi extind, implicit, suprafaţa de atac corporativă.
În SUA, de exemplu, numărul de breşe de securitate raportate până în cel de-al treilea trimestru al 2021 a depăşit deja numărul total anunţat în 2020. Din păcate, în zilele noastre, încă este nevoie de mult timp pentru ca o companie de mărime medie să identifice şi să remedieze o breşă de date – aproximativ 287 de zile.
Cu toate acestea, ce se întâmplă odată ce se declanşează alarma, că ceva este în neregulă? Prezenţa ameninţărilor de tip ransomware, un precursor din ce în ce mai comun al breşelor moderne de date, complică şi mai mult lucrurile. Iată ce trebuie să faceţi şi ce să evitaţi în urma unei breşe de securitate digitală.
Păstraţi-vă calmul
O încălcare a securităţii datelor poate fi una dintre cele mai stresante situaţii prin care poate trece compania, mai ales dacă incidentul a fost cauzat de atacuri ransomware, care folosesc sisteme de chei criptate şi solicită o răscumpărare financiară. O strategie rapidă, încropită la faţa locului, poate face mai mult rău decât bine. Deşi este de o importanţă vitală ca afacerea să fie operaţională cât mai repede, o abordare metodică a incidentului este crucială. Va trebui să parcurgeţi planul de răspuns la incidente prestabilit şi să înţelegeţi gradul de compromitere înainte de a lua orice decizie majoră.
Urmaţi planul de răspuns la incidente prestabilit
Având în vedere că nu este vorba despre „când”, ci „dacă” organizaţia dvs. va fi supusă unui incident de securitate astăzi, un plan de răspuns la incidente prestabilit este unul dintre paşii esenţiali pentru o bună practică de securitate cibernetică. Acest lucru va necesita o planificare în avans, urmând recomandările autorităţilor naţionale sau pe cele ale Institutului Naţional de Standarde şi Tehnologie din SUA (NIST) sau ale Centrului Naţional de Securitate Cibernetică (NCSC) din Marea Britanie, ca îndrumări generale. Atunci când este detectată o breşă majoră de securitate, o echipă de răspuns prestabilită, care include şi angajaţi ai companiei din diverse domenii, ar trebui să parcurgă pas cu pas măsurile de aplicat. Este o idee bună să efectuaţi periodic simulări-test pentru acest scenariu, astfel încât toată lumea să fie pregătită şi procedurile în sine să fie actualizate.
Evaluaţi amploarea incidentului de securitate
Unul dintre primii paşi critici în urma oricărui incident major de securitate este să înţelegem cât de grav a fost afectată compania. Aceste informaţii vor dicta acţiunile ulterioare, cum ar fi notificările necesare şi remedierea incidentului. În mod ideal, va trebui să intuiţi cât mai rapid care au fost punctele de acces folosite şi care este „raza de acţiune” a atacului – ce sisteme au fost afectate, ce date au fost compromise şi dacă „intruşii” se află încă în reţea. În acestă etapă, echipei locale i se pot alătura experţi criminalistici terţi.
Implicaţi departamentul juridic
După o breşă de securitate, trebuie să ştiţi implicaţiile juridice şi poziţia companiei legate de incident. Ce responsabilităţi are compania? Ce autorităţi de reglementare trebuie informate? Ar trebui să negociaţi cu atacatorii pentru a câştiga mai mult timp? Când trebuie notificaţi clienţii şi/sau partenerii? Consilierul juridic intern este, în acest caz, primul sfetnic. Acesta poate sugera, la rândul său, consultarea suplimentară a unor experţi specializaţi pe zona de răspuns la incidente cibernetice. În acest punct devin esenţiale acele detalii şi informaţii despre ceea ce s-a întâmplat de fapt, astfel încât experţii să poată lua măsuri customizate.
Este important să ştii când, cum şi pe cine anunţaţi
În conformitate cu termenii GDPR, notificarea autorităţii locale de reglementare trebuie să aibă loc în termen de 72 de ore de la descoperirea unei breşe. Cu toate acestea, este important să cunoaşteţi care sunt cerinţele minime pentru notificare, deoarece, în cazul anumitor incidente, aceasta ar putea să nu fie necesară. Aici este esenţială o bună estimare a suprafeţei digitale afectate. Dacă nu ştiţi câte date au fost preluate sau cum au pătruns atacatorii, va trebui să consideraţi cel mai nefavorabil scenariu în vederea notificării autorităţii de reglementare. Biroul Comisarului pentru Informaţii (ICO) din Marea Britanie, care a jucat un rol esenţial în elaborarea GDPR, are câteva indicaţii utile în acest sens.
Anunţaţi autorităţile competente
Orice s-ar întâmpla în raport cu autoritatea de reglementare, este de preferat să colaboraţi cât mai deschis cu forţele de ordine, mai ales dacă intruşii se află încă în interiorul reţelei. Este obligatoriu să implicaţi autorităţile competente cât mai repede posibil. În cazul ransomware-ului, de exemplu, aceştia ar putea să vă pună în legătură cu furnizori de soluţii de securitate şi cu alte părţi terţe care oferă chei de decriptare şi instrumente de diminuare a pagubelor.
Anunţaţi clienţii, partenerii şi angajaţii
Aceasta este o altă acţiune implicită de pe „to do list-ul” post-breşă de securitate. Cu toate acestea, încă o dată, numărul de clienţi/angajaţi/parteneri pe care trebuie să îi notificaţi, mesajul pe care îl veţi transmite şi momentul informării, depind de detaliile incidentului şi de datele care au fost furate. Luaţi în considerare mai întâi o declaraţie publică care să spună că organizaţia este la curent cu un incident şi că o investigaţie este în curs. Cum zvonurile tind să evolueze foarte rapid, va trebui să reveniţi cu mai multe detalii destul de curând, după comunicarea iniţială. Echipele de IT, PR şi juridice ar trebui să lucreze îndeaproape în acest sens.
Începeţi procesul de recuperare şi remediere
Odată ce sfera atacului este clară şi echipele de răspuns la incidente/echipele criminalistice sunt sigure că atacatorii nu mai au acces la sistem, este timpul ca situaţia să reintre pe făgaşul normal. Acest lucru ar putea însemna restaurarea sistemelor din backup, reconfigurarea sistemelor compromise, corecţia punctelor de acces finale afectate şi resetarea parolelor.
Începeţi să întăriţi sistemul pentru atacurile viitoare
Autorii atacurilor împărtăşesc adesea cunoştinţe despre criminalitatea cibernetică în darknet. De asemenea, aceştia pot ataca de mai multe ori aceleaşi companii ce le-au mai căzut victime şi în trecut – în special cu tehnici tip ransomware. Astfel, utilizarea informaţiilor obţinute prin investigarea breşei de securitate şi rezultatele din evaluarea experţilor în criminalistică cibernetică sunt foarte importante pentru a vă asigura că toate vulnerabilităţile pe care atacatorii le-au folosit prima dată nu pot fi exploatate din nou, în cazul unor posibile incidente viitoare. Câteva exemple de astfel de măsuri sunt: îmbunătăţiri ale aplicaţiilor de management pentru patch-uri şi parole, traininguri educaţionale legat de importanţa securităţii, implementarea autentificării multifactor (MFA) sau modificări mai complexe la nivel de personal, proceduri şi tehnologie.
Studiaţi cazurile cu răspunsuri slabe la un incident de securitate
Ultima piesă a puzzle-ului de strategie de răspuns la incidente este învăţarea din experienţă. O parte din aceasta este întărirea rezilienţei pentru viitor, detaliată mai sus. Dar se pot trage concluzii şi din exemplul altora. Istoricul breşelor de securitate a datelor este plin de situaţii „celebre” de răspuns slab la incident. Într-un caz puternic mediatizat, contul corporativ de Twitter al unei firme, aflate sub atac, a publicat un link de phishing de patru ori, confundându-l cu link-ul către site-ul de răspuns la incidente al companiei. În altul, o companie importantă de telecomunicaţii din Marea Britanie a fost aspru criticată pentru comunicarea de informaţii contradictorii.
Concluzii
Orice s-ar întâmpla, clienţii se aşteaptă din ce în ce mai mult ca organizaţiile cu care colaborează să sufere incidente de securitate. Modul în care reacţionaţi va fi factorul care îi va determina pe aceştia să rămână sau să plece şi care va influenţa scala prejudiciului financiar şi reputaţional.