6 điều không nên làm sau khi vi phạm dữ liệu

Duy trì và thực thi bảo mật CNTT là điều chúng tôi đã đề cập từ nhiều góc độ, đặc biệt là các xu hướng bảo mật và cách phát triển và đó chắc chắn là thông tin bạn nên tìm hiểu kỹ. Ngoài ra, bạn nên đảm bảo rằng doanh nghiệp của bạn được trang bị tốt để bảo vệ và bảo vệ bản thân khỏi sự tấn công của mạng, đặc biệt là thông qua bảo vệ điểm cuối cấp độ CNTT và các biện pháp kiểm soát truy cập và nhận dạng chi tiết. Một quá trình sao lưu dữ liệu vững chắc và đã được thử nghiệm là một điều bắt buộc, quá. Thật không may, sổ chơi vi phạm dữ liệu liên tục thay đổi, điều đó có nghĩa là một số hành động của bạn trong thảm họa có thể gây hại như chúng hữu ích. Đó là nơi mà mảnh này đến.

, chúng tôi thảo luận về những gì các công ty nên tránh làm một khi họ nhận ra hệ thống của họ đã bị vi phạm. Chúng tôi đã nói chuyện với một số chuyên gia từ các công ty bảo mật và các công ty phân tích ngành để hiểu rõ hơn về những cạm bẫy tiềm ẩn và các kịch bản thảm họa phát triển sau các cuộc tấn công mạng.

1. Không cải thiện

Trong trường hợp bị tấn công, bản năng đầu tiên của bạn sẽ cho bạn bắt đầu quá trình khắc phục tình hình. Điều này có thể bao gồm bảo vệ các điểm cuối đã được nhắm mục tiêu hoặc hoàn nguyên các bản sao lưu trước đó để đóng điểm truy cập được sử dụng bởi những kẻ tấn công của bạn. Thật không may, nếu trước đó bạn không phát triển một chiến lược, thì bất kỳ quyết định vội vàng nào bạn đưa ra sau một cuộc tấn công đều có thể làm tình hình tồi tệ hơn.

Mark Nunnikhoven, Phó chủ tịch nghiên cứu đám mây của nhà cung cấp giải pháp an ninh mạng Trend Micro cho biết: "Điều đầu tiên bạn không nên làm sau khi vi phạm là tạo phản hồi nhanh chóng. "Một phần quan trọng trong kế hoạch ứng phó sự cố của bạn là sự chuẩn bị. Các liên hệ chính cần được vạch ra trước thời hạn và được lưu trữ kỹ thuật số. Nó cũng phải có sẵn trong bản in cứng trong trường hợp vi phạm thảm khốc. Khi phản hồi vi phạm, điều cuối cùng là bạn cần phải làm là cố gắng tìm ra ai chịu trách nhiệm cho những hành động và ai có thể ủy quyền cho các phản ứng khác nhau. "

Ermis Sfakiyanudis, Chủ tịch và Giám đốc điều hành của công ty dịch vụ bảo vệ dữ liệu Trivalent, đồng ý với phương pháp này. Ông nói rằng điều quan trọng là các công ty "không hoảng sợ" sau khi họ bị vi phạm. "Trong khi sự không chuẩn bị khi đối mặt với vi phạm dữ liệu có thể gây ra thiệt hại không thể khắc phục cho một công ty, thì sự hoảng loạn và vô tổ chức cũng có thể vô cùng bất lợi", ông giải thích. "Điều quan trọng là một công ty vi phạm không đi lạc khỏi kế hoạch ứng phó sự cố, trong đó bao gồm xác định nguyên nhân nghi ngờ của sự cố là bước đầu tiên. Ví dụ, vi phạm gây ra bởi một cuộc tấn công ransomware thành công, phần mềm độc hại trên hệ thống, một Tiếp theo, hãy cách ly hệ thống bị ảnh hưởng và xóa bỏ nguyên nhân vi phạm để đảm bảo hệ thống của bạn thoát khỏi nguy hiểm. "

Sfakiyanudis nói rằng điều quan trọng là các công ty yêu cầu giúp đỡ khi họ ở trên đầu họ. "Nếu bạn xác định rằng vi phạm đã thực sự xảy ra sau cuộc điều tra nội bộ của bạn, hãy mang theo chuyên môn của bên thứ ba để giúp xử lý và giảm thiểu bụi phóng xạ", ông nói. "Điều này bao gồm tư vấn pháp lý, các nhà điều tra bên ngoài, những người có thể thực hiện một cuộc điều tra pháp y kỹ lưỡng, và các chuyên gia truyền thông và quan hệ công chúng, những người có thể tạo ra chiến lược và truyền đạt tới các phương tiện truyền thông thay mặt bạn.

"Với hướng dẫn chuyên môn kết hợp này, các tổ chức có thể giữ bình tĩnh trong sự hỗn loạn, xác định các lỗ hổng nào gây ra vi phạm dữ liệu, khắc phục để vấn đề không xảy ra một lần nữa trong tương lai và đảm bảo phản hồi của họ đối với các khách hàng bị ảnh hưởng là phù hợp và kịp thời. cũng làm việc với tư vấn pháp lý của họ để xác định xem và khi nào nên thực thi pháp luật. "

2. Đừng im lặng

Khi bạn đã bị tấn công, thật thoải mái khi nghĩ rằng không ai bên ngoài vòng tròn bên trong của bạn biết chuyện gì vừa xảy ra. Thật không may, rủi ro ở đây không xứng đáng với phần thưởng. Bạn sẽ muốn liên lạc với nhân viên, nhà cung cấp và khách hàng để cho mọi người biết những gì đã được truy cập, những gì bạn đã làm để khắc phục tình trạng này và những kế hoạch bạn dự định thực hiện để đảm bảo không có cuộc tấn công tương tự nào xảy ra trong tương lai. "Đừng phớt lờ nhân viên của bạn, " Heidi Shey, Chuyên gia phân tích cao cấp về An ninh & Rủi ro tại Forrester Research, khuyên. "Bạn cần liên lạc với nhân viên của mình về sự kiện và cung cấp hướng dẫn cho nhân viên của bạn về những việc cần làm hoặc nói nếu họ hỏi về vi phạm."

Shey, như Sfakiyanudis, cho biết bạn có thể muốn xem xét việc thuê một nhóm quan hệ công chúng để giúp kiểm soát tin nhắn đằng sau phản hồi của bạn. Điều này đặc biệt đúng đối với các vi phạm dữ liệu lớn và đắt tiền đối với người tiêu dùng. "Lý tưởng nhất là bạn muốn một nhà cung cấp như vậy được xác định trước như là một phần của kế hoạch ứng phó sự cố của bạn để bạn có thể sẵn sàng khởi động phản hồi của mình", cô giải thích.

Chỉ vì bạn đang chủ động thông báo cho công chúng rằng bạn đã bị vi phạm, điều đó không có nghĩa là bạn có thể bắt đầu đưa ra những tuyên bố và tuyên bố hoang dã. Ví dụ, khi nhà sản xuất toym VTech bị vi phạm, hình ảnh của trẻ em và nhật ký trò chuyện đã bị tin tặc truy cập. Sau khi tình hình đã lắng xuống, nhà sản xuất đồng hồ đã thay đổi Điều khoản dịch vụ để từ bỏ trách nhiệm trong trường hợp vi phạm. Không cần phải nói, khách hàng không hài lòng. "Bạn không muốn trông giống như bạn đang dùng đến việc ẩn đằng sau các phương tiện hợp pháp, cho dù đó là để tránh trách nhiệm pháp lý hay kiểm soát tường thuật, " Shey nói. "Tốt hơn là có một phản ứng vi phạm và kế hoạch quản lý khủng hoảng để giúp đỡ với các thông tin liên quan đến vi phạm."

3. Không đưa ra tuyên bố sai hoặc gây hiểu lầm

Đây là một điều hiển nhiên nhưng bạn sẽ muốn chính xác và trung thực nhất có thể khi giải quyết vấn đề công khai. Điều này có lợi cho thương hiệu của bạn, nhưng cũng có lợi cho số tiền bạn sẽ thu lại từ chính sách bảo hiểm mạng mà bạn nên có. "Đừng đưa ra các tuyên bố công khai mà không xem xét các tác động của những gì bạn đang nói và âm thanh của bạn, " Nunnikoven nói.

"Đây có thực sự là một cuộc tấn công 'tinh vi' không? Dán nhãn như vậy không nhất thiết phải biến nó thành sự thật", ông tiếp tục. "Giám đốc điều hành của bạn có thực sự cần phải gọi đây là 'hành động khủng bố' không? Bạn đã đọc bản in chính sách bảo hiểm mạng của mình để hiểu các loại trừ chưa?"

Nunnikhoven khuyên bạn nên tạo ra các thông điệp "không có ý nghĩa, thường xuyên và trong đó nêu rõ các hành động đang được thực hiện và những hành động cần thực hiện". Cố gắng để xoay chuyển tình hình, ông nói, có xu hướng làm cho mọi thứ tồi tệ hơn. "Khi người dùng nghe về vi phạm từ bên thứ ba, nó ngay lập tức làm xói mòn lòng tin khó thắng", ông giải thích. "Hãy ra ngoài trước tình huống và đứng trước, với một luồng liên lạc ngắn gọn đều đặn ở tất cả các kênh mà bạn đã hoạt động."

4. Ghi nhớ dịch vụ khách hàng

Nếu vi phạm dữ liệu của bạn ảnh hưởng đến dịch vụ trực tuyến, trải nghiệm của khách hàng hoặc một số khía cạnh khác trong doanh nghiệp của bạn có thể khiến khách hàng gửi yêu cầu cho bạn, hãy đảm bảo tập trung vào vấn đề này như một vấn đề riêng biệt và quan trọng. Bỏ qua các vấn đề của khách hàng hoặc thậm chí cố gắng quá mức để biến vận xui của họ thành lợi ích của bạn có thể nhanh chóng biến vi phạm dữ liệu nghiêm trọng thành tổn thất kinh doanh và doanh thu ác mộng.

Lấy ví dụ về vi phạm Equachus, công ty ban đầu nói với khách hàng rằng họ có thể có một năm báo cáo tín dụng miễn phí nếu không họ sẽ kiện. Nó thậm chí đã cố gắng biến vi phạm thành một trung tâm lợi nhuận khi họ muốn tính phí thêm cho khách hàng nếu họ yêu cầu đóng băng báo cáo của họ. Đó là một sai lầm và nó làm tổn thương mối quan hệ khách hàng của công ty trên cơ sở lâu dài. Những gì công ty nên làm là đặt khách hàng lên hàng đầu và đơn giản là cung cấp cho tất cả họ báo cáo vô điều kiện, thậm chí có thể miễn phí, trong cùng một khoảng thời gian để nhấn mạnh cam kết của họ để giữ an toàn cho khách hàng.

5. Không đóng sự cố quá sớm

Bạn đã đóng các điểm cuối bị hỏng của bạn. Bạn đã liên hệ với nhân viên và khách hàng của bạn. Bạn đã phục hồi tất cả dữ liệu của mình. Những đám mây đã tách ra và một tia nắng đã chiếu xuống bàn của bạn. Không quá nhanh. Mặc dù có vẻ như cuộc khủng hoảng của bạn đã kết thúc, bạn sẽ muốn tiếp tục tích cực và chủ động giám sát mạng của mình để đảm bảo không có các cuộc tấn công tiếp theo.

"Có một áp lực rất lớn để khôi phục dịch vụ và phục hồi sau khi vi phạm", ông Nunnikhoven nói. "Những kẻ tấn công di chuyển nhanh qua các mạng một khi chúng có được chỗ đứng, vì vậy thật khó để đưa ra quyết định cụ thể rằng bạn đã giải quyết toàn bộ vấn đề. Giữ siêng năng và giám sát tích cực hơn là một bước quan trọng cho đến khi bạn chắc chắn rằng tổ chức rõ ràng . "

Sfakiyanudis đồng ý với đánh giá này. "Sau khi vi phạm dữ liệu được giải quyết và hoạt động kinh doanh thường xuyên tiếp tục, đừng cho rằng công nghệ và kế hoạch tương tự bạn có tại chỗ trước khi vi phạm sẽ là đủ", ông nói. "Có những lỗ hổng trong chiến lược bảo mật của bạn đã bị khai thác và, ngay cả sau khi những lỗ hổng này được giải quyết, điều đó không có nghĩa là sẽ không có nhiều hơn trong tương lai. Để có cách tiếp cận chủ động hơn trong việc bảo vệ dữ liệu tiến lên, hãy đối xử kế hoạch phản hồi vi phạm dữ liệu của bạn như một tài liệu sống. Khi các cá nhân thay đổi vai trò và tổ chức phát triển thông qua sáp nhập, mua lại, v.v., kế hoạch cũng cần phải thay đổi. "

6. Đừng quên điều tra

"Khi điều tra một vi phạm, ghi lại tất cả mọi thứ, " Sfakiyanudis nói. "Thu thập thông tin về một sự cố là rất quan trọng trong việc xác nhận rằng vi phạm đã xảy ra, hệ thống và dữ liệu nào bị ảnh hưởng và cách giảm thiểu hoặc khắc phục đã được xử lý. Đăng nhập kết quả điều tra thông qua thu thập và phân tích dữ liệu để chúng có thể xem xét sau khi khám nghiệm tử thi.

"Hãy chắc chắn cũng phỏng vấn bất cứ ai có liên quan và cẩn thận ghi lại câu trả lời của họ, " anh tiếp tục. "Tạo các báo cáo chi tiết với hình ảnh đĩa, cũng như chi tiết về ai, cái gì, ở đâu và khi sự cố xảy ra, sẽ giúp bạn thực hiện bất kỳ biện pháp giảm thiểu rủi ro hoặc bảo vệ dữ liệu mới hoặc thiếu."

Các biện pháp như vậy rõ ràng là cho các hậu quả pháp lý có thể xảy ra sau thực tế, nhưng đó không phải là lý do duy nhất để điều tra một cuộc tấn công. Tìm ra ai chịu trách nhiệm và ai bị ảnh hưởng là kiến ​​thức chính của các luật sư, và chắc chắn nên được điều tra. Nhưng làm thế nào vi phạm xảy ra và những gì được nhắm mục tiêu là thông tin chính cho CNTT và nhân viên bảo mật của bạn. Phần nào của chu vi cần cải thiện và phần nào của dữ liệu của bạn (dường như) có giá trị đối với các giếng mới? Hãy chắc chắn rằng bạn điều tra tất cả các góc độ có giá trị cho vụ việc này và đảm bảo các điều tra viên của bạn biết điều đó ngay từ đầu.

Nếu công ty của bạn quá giống nhau để tự mình thực hiện phân tích này, có lẽ bạn sẽ muốn thuê một nhóm bên ngoài để thực hiện cuộc điều tra này cho bạn (như Sfakiyanudis đã đề cập trước đó). Ghi chú vào quá trình tìm kiếm là tốt. Lưu ý những dịch vụ bạn đã được cung cấp, nhà cung cấp nào bạn đã nói chuyện và liệu bạn có hài lòng với quy trình điều tra hay không. Thông tin này sẽ giúp bạn xác định xem có nên gắn bó với nhà cung cấp của bạn hay không, chọn nhà cung cấp mới hoặc thuê nhân viên nội bộ có khả năng thực hiện các quy trình này nếu công ty của bạn không đủ may mắn để bị vi phạm lần thứ hai.