Lập kế hoạch phản hồi vi phạm của bạn

Vi phạm dữ liệu có thể đóng cửa công ty của bạn trong một khoảng thời gian quan trọng, đôi khi là mãi mãi; nó chắc chắn có thể khiến tương lai tài chính của bạn gặp rủi ro và, trong một số trường hợp, nó thậm chí có thể khiến bạn phải ngồi tù. Nhưng điều đó không xảy ra bởi vì, nếu bạn lên kế hoạch chính xác, bạn và công ty của bạn có thể phục hồi và tiếp tục kinh doanh, đôi khi chỉ trong vài phút. Cuối cùng, tất cả đi vào kế hoạch.

Tuần trước, chúng tôi đã thảo luận về cách chuẩn bị cho một vi phạm dữ liệu. Giả sử bạn đã làm điều đó trước khi vi phạm của bạn xảy ra, các bước tiếp theo của bạn rất đơn giản. Nhưng một trong những bước chuẩn bị đó là tạo ra một kế hoạch và sau đó kiểm tra nó. Và, vâng, điều đó sẽ mất một lượng công việc đáng kể.

Sự khác biệt là việc lập kế hoạch trước được thực hiện trước khi có bất kỳ vi phạm nào nhằm giảm thiểu thiệt hại. Sau khi vi phạm, kế hoạch cần tập trung vào quá trình phục hồi và xử lý các vấn đề hậu quả, giả sử có bất kỳ. Hãy nhớ mục tiêu chung của bạn, giống như trước khi vi phạm, là để giảm thiểu tác động của vi phạm đối với công ty, nhân viên và khách hàng của bạn.

Lập kế hoạch phục hồi

Kế hoạch phục hồi bao gồm hai loại rộng. Đầu tiên là sửa chữa thiệt hại do vi phạm và đảm bảo mối đe dọa thực sự được loại bỏ. Thứ hai là xử lý các rủi ro tài chính và pháp lý đi kèm với vi phạm dữ liệu. Theo như sức khỏe trong tương lai của tổ chức của bạn, cả hai đều quan trọng như nhau.

"Ngăn chặn là chìa khóa trong việc phục hồi, " Sean Blenkhorn, Phó Chủ tịch, Dịch vụ Tư vấn và Kỹ thuật Giải pháp cho nhà cung cấp bảo vệ và phản ứng được quản lý eSentire cho biết. "Chúng ta có thể phát hiện mối đe dọa càng nhanh thì chúng ta càng có thể ngăn chặn nó tốt hơn".

Blenkhorn nói rằng việc chứa một mối đe dọa có thể khác nhau tùy thuộc vào loại mối đe dọa nào có liên quan. Ví dụ, trong trường hợp của ransomware, điều đó có thể có nghĩa là sử dụng nền tảng bảo vệ điểm cuối được quản lý của bạn để giúp cách ly phần mềm độc hại cùng với bất kỳ nhiễm trùng thứ cấp nào để nó không thể lây lan và sau đó loại bỏ nó. Điều này cũng có nghĩa là thực hiện các chiến lược mới để các vi phạm trong tương lai bị chặn, như trang bị cho người dùng chuyển vùng và viễn thông với tài khoản mạng riêng ảo (VPN) cá nhân.

Tuy nhiên, các loại mối đe dọa khác có thể yêu cầu các chiến thuật khác nhau. Ví dụ: một cuộc tấn công tìm kiếm thông tin tài chính, sở hữu trí tuệ (IP) hoặc dữ liệu khác từ doanh nghiệp của bạn sẽ không được xử lý theo cách tương tự như một cuộc tấn công ransomware. Trong những trường hợp đó, bạn có thể cần tìm và loại bỏ đường dẫn nhập cảnh, và bạn sẽ cần tìm cách ngăn chặn các lệnh và điều khiển thông báo. Đến lượt mình, điều này sẽ yêu cầu bạn giám sát và quản lý lưu lượng mạng của mình cho những tin nhắn đó để bạn có thể biết chúng bắt nguồn từ đâu và chúng đang gửi dữ liệu ở đâu.

"Những kẻ tấn công có lợi thế di chuyển đầu tiên, " Blenkhorn nói. "Bạn phải tìm kiếm sự bất thường."

Những sự bất thường đó sẽ đưa bạn đến tài nguyên, thường là một máy chủ, cung cấp quyền truy cập hoặc đó là cung cấp sự hoàn thiện. Khi bạn đã tìm thấy điều đó, bạn có thể xóa phần mềm độc hại và khôi phục máy chủ. Tuy nhiên, Blenkhorn cảnh báo rằng bạn có thể cần phải hình ảnh lại máy chủ để chắc chắn rằng mọi phần mềm độc hại đã thực sự biến mất.

Các bước khôi phục vi phạm

Blenkhorn nói rằng có ba điều cần nhớ khi lập kế hoạch khôi phục vi phạm:

1. Vi phạm là không thể tránh khỏi,
2. Công nghệ một mình sẽ không giải quyết được vấn đề, và
3. Bạn phải cho rằng đó là một mối đe dọa mà bạn chưa từng thấy trước đây.

Nhưng một khi bạn đã loại bỏ được mối đe dọa, bạn chỉ thực hiện một nửa phục hồi. Nửa còn lại đang bảo vệ chính doanh nghiệp. Theo Ari Vared, Giám đốc cấp cao của sản phẩm tại nhà cung cấp bảo hiểm mạng CyberPolicy, điều này có nghĩa là chuẩn bị trước các đối tác phục hồi của bạn.

"Đây là nơi có kế hoạch khôi phục không gian mạng có thể cứu doanh nghiệp", Vared nói với PCMag trong email. "Điều đó có nghĩa là đảm bảo nhóm pháp lý của bạn, nhóm pháp y dữ liệu, nhóm PR của bạn và các nhân viên chủ chốt của bạn biết trước những gì cần phải làm bất cứ khi nào có vi phạm."

Bước đầu tiên có nghĩa là xác định trước các đối tác khôi phục của bạn, thông báo cho họ về kế hoạch của bạn và thực hiện mọi hành động cần thiết để giữ lại dịch vụ của họ trong trường hợp vi phạm. Nghe có vẻ như rất nhiều gánh nặng hành chính, nhưng Vared đã liệt kê bốn lý do quan trọng khiến quá trình này đáng để nỗ lực:

1. Nếu có nhu cầu về các thỏa thuận không tiết lộ và bảo mật, thì chúng có thể được thỏa thuận trước, cùng với các khoản phí và các điều khoản khác, để bạn không mất thời gian sau khi một cuộc tấn công mạng cố gắng đàm phán với một nhà cung cấp mới.
2. Nếu bạn có bảo hiểm mạng, thì cơ quan của bạn có thể có các đối tác cụ thể đã được xác định. Trong trường hợp đó, bạn sẽ muốn sử dụng các tài nguyên đó để đảm bảo chi phí được chi trả theo chính sách.
3. Nhà cung cấp bảo hiểm mạng của bạn có thể có hướng dẫn về số tiền mà họ sẵn sàng chi trả cho một số khía cạnh nhất định và chủ sở hữu doanh nghiệp vừa và nhỏ (SMB) sẽ muốn đảm bảo phí nhà cung cấp của họ nằm trong các hướng dẫn đó.
4. Một số công ty bảo hiểm mạng sẽ có các đối tác phục hồi cần thiết trong nhà, biến nó thành giải pháp chìa khóa trao tay cho chủ doanh nghiệp, vì các mối quan hệ đã sẵn sàng và các dịch vụ sẽ được tự động bảo hiểm theo chính sách.

Giải quyết các vấn đề pháp lý và pháp y

Vared nói rằng đội pháp lý và đội pháp y của bạn là ưu tiên cao sau một cuộc tấn công. Đội pháp y sẽ thực hiện những bước đầu tiên trong quá trình phục hồi, như Blenkhorn đã vạch ra. Như tên của nó, nhóm này ở đó để tìm hiểu những gì đã xảy ra và quan trọng hơn là làm thế nào. Đây không phải là để đổ lỗi; đó là để xác định lỗ hổng cho phép vi phạm để bạn có thể cắm nó. Đó là một sự khác biệt quan trọng để thực hiện với các nhân viên trước khi đội pháp y đến để tránh sự lo lắng hoặc lo lắng không đáng có.

Vared lưu ý rằng nhóm pháp lý phản hồi vi phạm có thể sẽ không giống như những người xử lý các nhiệm vụ pháp lý truyền thống cho doanh nghiệp của bạn. Thay vào đó, họ sẽ là một nhóm chuyên môn có kinh nghiệm xử lý hậu quả của các cuộc tấn công mạng. Đội ngũ này có thể bảo vệ bạn trước các vụ kiện xuất phát từ vi phạm, đối phó với các cơ quan quản lý hoặc thậm chí xử lý các cuộc đàm phán với kẻ trộm trên mạng và tiền chuộc của họ.

Trong khi đó, nhóm PR của bạn sẽ làm việc với nhóm pháp lý của bạn để xử lý các yêu cầu thông báo, liên lạc với khách hàng của bạn để giải thích vi phạm và phản hồi của bạn và thậm chí có thể giải thích các chi tiết tương tự với phương tiện truyền thông.

Cuối cùng, khi bạn đã thực hiện các bước cần thiết để khắc phục vi phạm, bạn sẽ cần tập hợp các nhóm đó cùng với các giám đốc điều hành cấp C và có một cuộc họp và báo cáo sau hành động. Báo cáo sau hành động là rất quan trọng để sẵn sàng tổ chức của bạn cho lần vi phạm tiếp theo bằng cách xác định điều gì đúng, điều gì sai và điều gì có thể được thực hiện để cải thiện phản hồi của bạn vào lần tới.

Kiểm tra kế hoạch của bạn

• 6 điều không nên làm sau khi vi phạm dữ liệu 6 điều không nên làm sau khi vi phạm dữ liệu
• Vi phạm dữ liệu đã thỏa hiệp 4, 5 tỷ hồ sơ trong nửa đầu năm 2018 Vi phạm dữ liệu đã thỏa hiệp 4, 5 tỷ hồ sơ trong nửa đầu năm 2018
• Cathay Pacific tiết lộ vi phạm dữ liệu ảnh hưởng đến hành khách 9, 4M Cathay Pacific tiết lộ vi phạm dữ liệu ảnh hưởng đến hành khách 9, 4 triệu

Tất cả điều này giả định rằng kế hoạch của bạn đã được hình thành và thực hiện thành thạo trong trường hợp có Điều xấu. Thật không may, đó không bao giờ là một giả định an toàn. Cách duy nhất để chắc chắn một cách hợp lý rằng kế hoạch của bạn có bất kỳ cơ hội thành công nào là thực hành nó một khi nó đã được chuẩn bị. Các chuyên gia mà bạn đã tham gia xử lý các cuộc tấn công mạng như các sự kiện thường xuyên trong doanh nghiệp của họ sẽ không cung cấp cho bạn nhiều sức đề kháng để thực hiện kế hoạch của bạn, họ đã quen với điều đó và có thể mong đợi điều đó. Nhưng vì họ là người ngoài, bạn sẽ cần đảm bảo rằng họ đã lên lịch thực hành và có lẽ bạn sẽ phải trả tiền cho họ cho thời gian của họ. Điều này có nghĩa là điều quan trọng là phải tính đến việc lập ngân sách của bạn, không chỉ một lần mà là thường xuyên.

Cơ sở đó thường xuyên như thế nào phụ thuộc vào cách nhân viên nội bộ của bạn phản ứng với bài kiểm tra đầu tiên của bạn. Thử nghiệm đầu tiên của bạn sẽ gần như chắc chắn thất bại ở một số hoặc có thể tất cả các khía cạnh. Điều đó được mong đợi vì phản ứng này sẽ phức tạp và nặng nề hơn nhiều đối với nhiều người so với một mũi khoan lửa đơn giản. Những gì bạn cần làm là đo lường mức độ nghiêm trọng của thất bại đó và sử dụng nó làm cơ sở để quyết định mức độ thường xuyên và mức độ bạn cần để thực hành phản ứng của mình. Hãy nhớ rằng một mũi khoan lửa là có một thảm họa mà hầu hết các doanh nghiệp sẽ không bao giờ gặp phải. Khoan tấn công mạng của bạn là cho một thảm họa mà thực tế không thể tránh khỏi ở một giai đoạn nào đó.