6 Cose da non fare dopo una violazione dei dati

Il mantenimento e l'applicazione della sicurezza IT è qualcosa che abbiamo coperto da diverse angolazioni, in particolare le tendenze di sicurezza in evoluzione e how-to, e queste sono certamente informazioni che dovresti approfondire. Inoltre, dovresti assicurarti che la tua azienda sia ben attrezzata per proteggere e difendersi dagli attacchi informatici, in particolare tramite la protezione degli endpoint di livello IT e la gestione granulare delle identità e le misure di controllo degli accessi. Anche un processo di backup dei dati solido e testato è un must. Sfortunatamente, il playbook per una violazione dei dati continua a cambiare, il che significa che alcune delle tue azioni durante un disastro potrebbero essere tanto dannose quanto utili. Ecco dove entra in gioco questo pezzo.

, discutiamo di ciò che le aziende dovrebbero evitare di fare dopo aver realizzato che i loro sistemi sono stati violati. Abbiamo parlato con diversi esperti di società di sicurezza e società di analisi del settore per comprendere meglio le potenziali insidie ​​e gli scenari di catastrofi che si sviluppano a seguito di attacchi informatici.

1. Non improvvisare

In caso di attacco, il tuo primo istinto ti dirà di iniziare il processo di rettifica della situazione. Ciò può includere la protezione degli endpoint targetizzati o il ripristino di backup precedenti per chiudere il punto di ingresso utilizzato dagli aggressori. Sfortunatamente, se in precedenza non avevi sviluppato una strategia, qualunque decisione affrettata prendessi dopo un attacco potrebbe peggiorare la situazione.

"La prima cosa che non dovresti fare dopo una violazione è creare la tua risposta al volo", ha dichiarato Mark Nunnikhoven, Vice Presidente di Cloud Research presso Trend Micro, fornitore di soluzioni di sicurezza informatica. "Una parte fondamentale del tuo piano di risposta agli incidenti è la preparazione. I contatti chiave dovrebbero essere mappati in anticipo e archiviati in formato digitale. Dovrebbero anche essere disponibili su supporto cartaceo in caso di violazione catastrofica. Quando si risponde a una violazione, l'ultima cosa che si bisogna fare è cercare di capire chi è responsabile di quali azioni e chi può autorizzare varie risposte."

Ermis Sfakiyanudis, Presidente e CEO della società di servizi di protezione dei dati Trivalent, è d'accordo con questo approccio. Ha detto che è fondamentale che le aziende "non impazziscano" dopo essere state colpite da una violazione. "Mentre l'impreparazione di fronte a una violazione dei dati può causare danni irreparabili a un'azienda, il panico e la disorganizzazione possono anche essere estremamente dannosi", ha spiegato. "È fondamentale che una società violata non si allontani dal suo piano di risposta agli incidenti, che dovrebbe includere l'identificazione della causa sospetta dell'incidente come primo passo. Ad esempio, è stata la violazione causata da un attacco ransomware riuscito, malware sul sistema, un firewall con una porta aperta, software obsoleto o minaccia interna non intenzionale? Successivamente, isolare il sistema interessato ed eliminare la causa della violazione per garantire che il sistema sia fuori pericolo."

Sfakiyanudis ha affermato che è vitale che le aziende chiedano aiuto quando sono sopra le loro teste. "Se si determina che si è effettivamente verificata una violazione a seguito dell'indagine interna, apportare competenze di terze parti per aiutare a gestire e mitigare la ricaduta", ha affermato. "Ciò include consulenti legali, investigatori esterni che possono condurre un'indagine forense approfondita e esperti di pubbliche relazioni e comunicazione che possono creare strategie e comunicare ai media per vostro conto.

"Con questa guida esperta combinata, le organizzazioni possono mantenere la calma nel caos, identificando quali vulnerabilità hanno causato la violazione dei dati, rimediando in modo che il problema non si ripeta in futuro e assicurando che la loro risposta ai clienti interessati sia appropriata e tempestiva. collaborare inoltre con il proprio consulente legale per determinare se e quando le autorità di polizia debbano essere informate ".

2. Non andare in silenzio

Una volta che sei stato attaccato, è confortante pensare che nessuno al di fuori del tuo cerchio interno sappia cosa è appena successo. Sfortunatamente, il rischio qui non vale la ricompensa. Ti consigliamo di comunicare con il personale, i fornitori e i clienti per far sapere a tutti cosa è stato effettuato l'accesso, cosa hai fatto per porre rimedio alla situazione e quali piani intendi adottare per garantire che simili attacchi non si verifichino in futuro. "Non ignorare i tuoi dipendenti", ha consigliato Heidi Shey, Senior Analyst of Security & Risk presso Forrester Research. "Devi comunicare con i tuoi dipendenti sull'evento e fornire una guida ai tuoi dipendenti su cosa fare o dire se hanno chiesto informazioni sulla violazione".

Shey, come Sfakiyanudis, ha detto che potresti voler esaminare l'assunzione di un team di pubbliche relazioni per aiutarti a controllare i messaggi dietro la tua risposta. Ciò è particolarmente vero per le violazioni dei dati di grandi dimensioni e costose rivolte ai consumatori. "Idealmente, un tale fornitore dovrebbe essere identificato in anticipo come parte della pianificazione della risposta agli incidenti in modo da poter essere pronti a dare il via alla risposta", ha spiegato.

Solo perché sei proattivo nel comunicare al pubblico che sei stato violato, ciò non significa che puoi iniziare a pubblicare dichiarazioni e proclami selvaggi. Ad esempio, quando il produttore di giocattoli VTech è stato violato, un hacker accedeva alle foto dei bambini e ai registri delle chat. Dopo che la situazione si è attenuata, il produttore di giocattoli ha cambiato i suoi Termini di servizio per rinunciare alla propria responsabilità in caso di violazione. Inutile dire che i clienti non erano felici. "Non vuoi sembrare che ti stai nascondendo dietro mezzi legali, sia per evitare la responsabilità che per controllare la narrazione", ha detto Shey. "Meglio disporre di un piano di risposta alle violazioni e di gestione delle crisi per agevolare le comunicazioni relative alle violazioni".

3. Non fare dichiarazioni false o fuorvianti

Questo è ovvio, ma ti consigliamo di essere il più preciso e onesto possibile quando ti rivolgi al pubblico. Questo è vantaggioso per il tuo marchio, ma è anche vantaggioso per quanti soldi dovrai recuperare dalla tua polizza di cyber-assicurazione se ne avessi uno. "Non rilasciare dichiarazioni pubbliche senza considerare le implicazioni di ciò che stai dicendo e di come suoni", ha detto Nunnikoven.

"È stato davvero un attacco 'sofisticato'? Etichettarlo come tale non lo rende necessariamente vero", ha continuato. "Il tuo CEO ha davvero bisogno di chiamare questo un 'atto di terrorismo'? Hai letto la stampa fine della tua polizza di cyber-assicurazione per capire le esclusioni?"

Nunnikhoven raccomanda di creare messaggi "no-bull, frequenti e che indicano chiaramente le azioni che vengono intraprese e quelle che devono essere prese". Cercare di rovesciare la situazione, ha detto, tende a peggiorare le cose. "Quando gli utenti sentono parlare di una violazione da parte di terzi, questo erode immediatamente la fiducia conquistata duramente", ha spiegato. "Esci di fronte alla situazione e stai davanti, con un flusso costante di comunicazioni concise in tutti i canali in cui sei già attivo."

4. Ricorda il servizio clienti

Se la violazione dei dati riguarda un servizio online, l'esperienza dei tuoi clienti o altri aspetti della tua attività che potrebbero avere clienti che ti inviano richieste, assicurati di concentrarti su questo come un problema separato e importante. Ignorare i problemi dei clienti o persino tentare apertamente di trasformare la loro sfortuna in guadagno può rapidamente trasformare una grave violazione dei dati in una perdita da incubo di affari e entrate.

Prendendo ad esempio la violazione di Equifax, la società inizialmente aveva detto ai clienti che avrebbero potuto avere un anno di rendicontazione del credito gratuita se solo non avessero fatto causa. Ha anche cercato di trasformare la violazione in un centro di profitto quando voleva far pagare un extra ai clienti se avessero chiesto di congelare i loro rapporti. Questo è stato un errore e ha danneggiato le relazioni con i clienti dell'azienda a lungo termine. Quello che l'azienda avrebbe dovuto fare era mettere i suoi clienti al primo posto e offrire semplicemente a tutti loro rapporti incondizionati, forse anche gratuiti, per lo stesso periodo di tempo per sottolineare il loro impegno a proteggere i clienti.

5. Non chiudere gli incidenti troppo presto

Hai chiuso gli endpoint danneggiati. Hai contattato i tuoi dipendenti e clienti. Hai recuperato tutti i tuoi dati. Le nuvole si sono separate e un raggio di sole è precipitato sulla tua scrivania. Non così in fretta. Anche se può sembrare che la tua crisi sia finita, vorrai continuare a monitorare la tua rete in modo aggressivo e proattivo per assicurarti che non ci siano attacchi di follow-up.

"Esiste un'enorme pressione per ripristinare i servizi e recuperare dopo una violazione", ha dichiarato Nunnikhoven. "Gli attaccanti si muovono rapidamente attraverso le reti una volta che hanno preso piede, quindi è difficile prendere una decisione concreta che hai affrontato l'intero problema. Rimanere diligente e monitorare in modo più aggressivo è un passo importante fino a quando non si è sicuri che l'organizzazione sia libera ".

Sfakiyanudis concorda con questa valutazione. "Dopo aver risolto una violazione dei dati e aver ripreso le normali operazioni aziendali, non dare per scontato la stessa tecnologia e i piani che avevi messo in atto prima della violazione saranno sufficienti", ha affermato. "Vi sono delle lacune nella strategia di sicurezza che sono state sfruttate e, anche dopo che queste lacune sono state risolte, ciò non significa che non ci saranno più in futuro. Al fine di adottare un approccio più proattivo alla protezione dei dati in futuro, trattare il tuo piano di risposta alla violazione dei dati come documento vivente. Man mano che le persone cambiano ruolo e l'organizzazione si evolve attraverso fusioni, acquisizioni, ecc., anche il piano deve cambiare."

6. Non dimenticare di indagare

"Quando indaga su una violazione, documenta tutto", ha detto Sfakiyanudis. "La raccolta di informazioni su un incidente è fondamentale per convalidare che si è verificata una violazione, quali sistemi e dati sono stati colpiti e in che modo è stata affrontata la mitigazione o la riparazione. Registrare i risultati delle indagini attraverso l'acquisizione e l'analisi dei dati in modo che siano disponibili per la revisione post mortem.

"Assicurati di intervistare anche tutti i soggetti coinvolti e di documentare attentamente le loro risposte", ha continuato. "La creazione di report dettagliati con immagini del disco, nonché dettagli su chi, cosa, dove e quando si è verificato l'incidente, ti aiuteranno a implementare eventuali misure di protezione dei dati o di mitigazione dei rischi nuove o mancanti."

Tali misure sono ovviamente per possibili conseguenze legali dopo il fatto, ma questa non è l'unica ragione per indagare su un attacco. Scoprire chi era responsabile e chi era interessato è la conoscenza chiave per gli avvocati e dovrebbe sicuramente essere indagato. Ma come è avvenuta la violazione e cosa è stato preso di mira sono le informazioni chiave per l'IT e il personale di sicurezza. Quale parte del perimetro deve essere migliorata e quali parti dei tuoi dati sono (apparentemente) preziose per i nuovi pozzi? Assicurati di indagare su tutti gli angoli preziosi di questo incidente e assicurati che i tuoi investigatori lo sappiano fin dall'inizio.

Se la tua azienda è troppo analoga per condurre questa analisi da sola, probabilmente vorrai assumere un team esterno per condurre questa indagine per te (come menzionato prima da Sfakiyanudis). Prendi appunti anche sul processo di ricerca. Nota quali servizi ti sono stati offerti, con quali fornitori hai parlato e se eri soddisfatto del processo di indagine. Queste informazioni ti aiuteranno a determinare se restare o meno con il tuo fornitore, scegliere un nuovo fornitore o assumere personale interno in grado di condurre questi processi qualora la tua azienda fosse abbastanza sfortunata da subire una seconda violazione.