Rikkomusvastauksen suunnittelu

Tietojen rikkominen voi sulkea yrityksen kriittiseksi ajaksi, joskus ikuisesti; se voi varmasti vaarantaa taloudellisen tulevaisuutesi ja joissakin tapauksissa se voi jopa viedä sinut vankilaan. Mutta minkään tällaisen ei tarvitse tapahtua, koska jos suunnittelet oikein, sinä ja yrityksesi voi palautua ja jatkaa liiketoimintaa, joskus muutamassa minuutissa. Viime kädessä kaikki laskeutuu suunnitteluun.

Viime viikolla keskustelimme siitä, miten varauduttaisiin tietorikkomukseen. Olettaen, että teit sen ennen rikkomuksen tapahtumista, seuraavat vaiheet ovat kohtuullisen yksinkertaisia. Mutta yksi niistä valmistautumisvaiheista oli luoda suunnitelma ja testata se. Ja kyllä, se vie huomattavan määrän työtä.

Ero on siinä, että ennen rikkomista tehdyllä ennakkosuunnittelulla on tarkoitus minimoida vahingot. Rikkomisen jälkeen suunnitelman on keskityttävä palautusprosessiin ja jälkikäteen liittyvien ongelmien käsittelemiseen olettaen, että niitä on. Muista yleinen tavoite, aivan kuten se oli ennen rikkomusta, on minimoida rikkomuksen vaikutus yritykseesi, työntekijöihisi ja asiakkaisiisi.

Terveydenhuollon suunnittelu

Elvytyssuunnittelu koostuu kahdesta laajasta luokasta. Ensimmäinen on rikkomisen aiheuttamien vahinkojen vahvistaminen ja sen varmistaminen, että uhka todella poistetaan. Toinen on tietojen rikkomiseen liittyvien taloudellisten ja juridisten riskien hoitaminen. Organisaation tulevaisuuden terveyden kannalta molemmat ovat yhtä tärkeitä.

"Suojaaminen on avainasemassa palautumisen kannalta", sanoi Sean Blenkhorn, johtaja, ratkaisujen suunnittelusta ja neuvontapalveluista johdetulle suojaus- ja vastaustoimittajalle eSentirelle. "Mitä nopeammin havaitsemme uhan, sitä paremmin pystymme hillitsemään sen."

Blenkhorn sanoi, että uhan sisältäminen voi vaihdella riippuen siitä, millaiseen uhkaan liittyy. Esimerkiksi ransomware-ohjelmissa se voi tarkoittaa hallinnoidun päätepisteiden suojausalustan käyttöä haittaohjelmien eristämiseksi yhdessä mahdollisten sekundaaristen infektioiden kanssa, jotta se ei voi levitä, ja poistaminen sitten. Se voi tarkoittaa myös uusien strategioiden toteuttamista, joten tulevat rikkomukset estetään, kuten verkkovierailu- ja etätyöntekijöiden varustaminen henkilökohtaisilla virtuaalisen yksityisen verkon (VPN) tileillä.

Muun tyyppiset uhat voivat kuitenkin vaatia erilaista taktiikkaa. Esimerkiksi hyökkäystä, jolla etsitään taloudellisia tietoja, immateriaalioikeuksia (IP) tai muuta yritystäsi koskevaa tietoa, ei käsitellä samalla tavalla kuin ransomware-hyökkäystä. Tällöin joudut ehkä etsimään ja poistamaan pääsypolun, ja sinun on löydettävä tapa pysäyttää komento- ja hallintaviestit. Tämä puolestaan ​​edellyttää, että seuraat ja hallitset kyseisten viestien verkkoliikennettä, jotta näet, mistä viestit ovat peräisin ja mistä he lähettävät tietoja.

"Hyökkääjillä on ensisijainen hyöty", Blenkhorn sanoi. "Sinun on etsittävä poikkeavuuksia."

Nämä poikkeamat vie sinut resurssiin, yleensä palvelimeen, joka tarjoaa pääsyn tai joka tarjoaa suodatuksen. Kun olet löytänyt sen, voit poistaa haittaohjelman ja palauttaa palvelimen. Blenkhorn kuitenkin varoittaa, että saatat joutua kuvantamaan palvelimen uudelleen, jotta voit olla varma, että kaikki haittaohjelmat ovat todella poissa.

Rikkomusten palautuksen vaiheet

Blenkhorn kertoi, että rikkomuksen palautumista suunniteltaessa on muistettava kolme muuta asiaa:

1. Rikkominen on väistämätöntä,
2. Pelkästään tekniikka ei ratkaise ongelmaa, ja
3. Sinun täytyy olettaa, että se on uhka, jota et ole koskaan ennen nähnyt.

Mutta kun olet poistanut uhan, olet suorittanut vain puolet palautuksesta. Toinen puoli suojelee itse yritystä. Kybervakuutusyhtiö CyberPolicy -tuotteen vanhempi johtaja Ari Vared toteaa, että tämä tarkoittaa palautuskumppaneidesi valmistelemista etukäteen.

"Täällä kybertietojen palauttamissuunnitelma voi säästää yritystä", Vared kertoi PCMagille sähköpostissa. "Tämä tarkoittaa, että on varmistettava, että laillinen tiimisi, rikostutkintaryhmä, PR-ryhmä ja avainhenkilöt tietävät etukäteen, mitä on tehtävä, kun rikkomuksia tapahtuu."

Ensimmäinen askel siellä tarkoittaa elvytyökumppaneiden tunnistamista etukäteen, heidän ilmoittamista suunnitelmastaan ​​ja tarvittavien toimenpiteiden toteuttamista palvelujensa säilyttämiseksi rikkomusten yhteydessä. Se kuulostaa suurelta hallinnolliselta taakalta, mutta Vared mainitsi neljä tärkeää syytä, jotka tekevät prosessista vaivan arvoista:

1. Jos on tarpeen paljastamatta jättämistä ja luottamuksellisuutta koskevia sopimuksia, niin niistä voidaan sopia etukäteen sekä palkkioihin ja muihin ehtoihin, jotta et menetä aikaa sen jälkeen kun kybera hyökkäys yrittää neuvotella uuden myyjän kanssa.
2. Jos sinulla on verkkovakuutus, toimistollasi voi olla jo tunnistettuja kumppaneita. Tässä tapauksessa kannattaa käyttää näitä resursseja varmistaaksesi, että kustannukset katetaan käytännön mukaisesti.
3. Tietoverkkoturvayritykselläsi saattaa olla ohjeita määrästä, jonka se on valmis kattamaan tietyistä näkökohdista, ja pienten ja keskisuurten yritysten (SMB) omistajat haluavat varmistaa, että heidän myyjämaksunsa kuuluvat näiden ohjeiden piiriin.
4. Joillakin verkkovakuutusyhtiöillä on tarvittavat hyödyntämiskumppanit sisäisesti, mikä tekee siitä avaimet käteen -ratkaisun yrityksen omistajalle, koska suhteet ovat jo olemassa ja palvelut kuuluvat automaattisesti vakuutuksen piiriin.

Oikeudellisten ja rikosteknisten kysymysten käsittely

Vared sanoi, että laillinen tiimisi ja oikeuslääketieteellinen tiimisi ovat etusijalla hyökkäyksen jälkeen. Oikeuslääketieteellinen ryhmä ryhtyy ensimmäisiin toimiin paranemisessa, kuten Blenkhorn esitti. Kuten nimestä voi päätellä, tämä joukkue on paikalla selvittämään, mitä tapahtui ja mikä tärkeintä, miten. Tämä ei tarkoita syyllisyyden osoittamista; se on tunnistaa haavoittuvuus, joka mahdollisti rikkomuksen, jotta voit kytkeä sen. Se on tärkeä ero työntekijöiden kanssa ennen oikeuslääketieteellisen tiimin saapumista, jotta vältetään kohtuuton karja tai huolta.

Vared totesi, että rikkomukseen reagoiva lakimies ei todennäköisesti ole samoja ihmisiä, jotka hoitavat yrityksesi perinteiset lailliset tehtävät. He ovat pikemminkin erikoistunut ryhmä, jolla on kokemusta kyberhyökkäysten jälkimainingeista. Tämä joukkue voi puolustaa sinua rikkomuksesta johtuvilta oikeudenkäynneiltä, ​​tekemisiltä sääntelijöiden kanssa tai jopa neuvotteluista tietovarkaiden ja heidän lunastuksiensa kanssa.

Samaan aikaan PR-tiimisi työskentelee laillisen tiimisi kanssa käsitellä ilmoitusvaatimuksia, kommunikoida asiakkaillesi selittääksesi rikkomuksen ja vastauksesi ja mahdollisesti jopa selittämään samat yksityiskohdat tiedotusvälineille.

Kun olet suorittanut tarvittavat toimenpiteet rikkomisesta toipumiseksi, sinun on koottava nämä joukkueet yhdessä C-tason johtajien kanssa ja pidettävä jälkikäteen pidettävä kokous ja raportoitava. Toimenpiteiden jälkeinen raportti on kriittinen organisaation valmistelemiseksi seuraavaa rikkomusta varten määrittämällä, mikä meni oikein, mikä meni pieleen ja mitä voitaisiin tehdä vastauksen parantamiseksi seuraavalla kerralla.

Testaa suunnitelmasi

• 6 Asioita, joita ei saa tehdä tietorikkomuksen jälkeen 6 Asioita, joita ei saa tehdä tietorikkomuksen jälkeen
• Tietosuojarikkomukset vakiintuneita 4, 5 miljardia tietuetta vuoden 2018 ensimmäisellä puoliskolla
• Cathay Pacific paljastaa 9.4M matkustajia koskevan tietojen rikkomisen Cathay Pacific julkistaa tietojen rikkomisen 9.4M matkustajat

Kaikki tämä edellyttää, että suunnitelmasi oli hyvin suunniteltu ja toteutettu asianmukaisesti huonon asian sattuessa. Valitettavasti se ei ole koskaan turvallinen oletus. Ainoa tapa olla kohtuullisen varma suunnitelmassasi mahdollisuus menestyä on harjoittaa sitä valmistautuneensa. Kiinnostavat asiantuntijat, jotka käsittelevät kyberhyökkäyksiä säännöllisinä tapahtumina liiketoiminnassaan, eivät anna sinulle paljon vastustusta suunnitelmasi harjoittamisessa - he ovat tottuneet siihen ja todennäköisesti odottavat sitä. Mutta koska he ovat ulkopuolisia, sinun on varmistettava, että he on suunniteltu harjoitteluun ja sinun on todennäköisesti maksettava heille aikansa. Tämä tarkoittaa, että on tärkeää ottaa tämä huomioon budjetoinnissasi paitsi kerran, mutta säännöllisesti.

Se, kuinka säännöllinen tämä perusta on, riippuu siitä, kuinka sisäiset työntekijäsi vastaavat ensimmäiseen testiisi. Ensimmäinen testi epäonnistuu melkein varmasti joillakin tai mahdollisesti kaikilla. Sitä on odotettavissa, koska tämä vastaus on monille monimutkaisempi ja raskaampi kuin yksinkertainen palopora. Sinun tarvitsee mitata epäonnistumisen vakavuus ja käyttää sitä lähtökohtana päätettäessä kuinka usein ja missä määrin sinun täytyy harjoittaa vastausta. Muista, että paloharjoitus on siellä katastrofissa, jota useimmat yritykset eivät koskaan koe. Cyberack-harjoituksesi on tarkoitettu katastrofille, joka on käytännössä väistämätön jossain vaiheessa.