6 Ting å ikke gjøre etter et datainnbrudd

Å opprettholde og håndheve IT-sikkerhet er noe vi har dekket fra flere vinkler, spesielt hvordan du gjør og utvikler sikkerhetstrender, og det er absolutt informasjon du bør fordøye grundig. I tillegg bør du sørge for at virksomheten din er godt utstyrt for å beskytte og forsvare seg mot cyberangrep, spesielt via IT-klasse endepunktbeskyttelse og granulær identitetsstyring og tilgangskontrolltiltak. En solid og testet data-backup-prosess er også et must. Dessverre fortsetter spillboken for et datainnbrudd å endres, noe som betyr at noen av handlingene dine under en katastrofe kan være så skadelige som de er nyttige. Det er der dette stykket kommer inn.

, diskuterer vi hva selskaper bør unngå å gjøre når de innser at systemene deres har blitt brutt. Vi snakket med flere eksperter fra sikkerhetsselskaper og bransjeanalysefirmaer for å bedre forstå potensielle fallgruver og katastrofescenarier som utvikler seg i kjølvannet av cyberattacks.

1. Ikke improviser

I tilfelle et angrep, vil det første instinktet ditt fortelle deg å begynne prosessen med å rette opp situasjonen. Dette kan omfatte beskyttelse av endepunktene som er blitt målrettet eller gå tilbake til tidligere sikkerhetskopier for å lukke opp inngangspunktet som ble brukt av dine angripere. Dessverre, hvis du ikke tidligere hadde utviklet en strategi, kan uansett hastige avgjørelser du tar etter et angrep forverre situasjonen.

"Det første du ikke skal gjøre etter et brudd, er å skape svar på farten, " sa Mark Nunnikhoven, visepresident for Cloud Research hos leverandøren av cybersikkerhetsløsninger Trend Micro. "En kritisk del av hendelsesplanen din er utarbeidelse. Nøkkelkontakter bør kartlegges på forhånd og lagres digitalt. Det skal også være tilgjengelig i papirkopi i tilfelle et katastrofalt brudd. Når du svarer på et brudd, er det siste du trenger å gjøre prøver å finne ut hvem som er ansvarlig for hvilke handlinger og hvem som kan autorisere forskjellige svar."

Ermis Sfakiyanudis, president og administrerende direktør i databeskyttelsesselskapet Trivalent, er enig i denne tilnærmingen. Han sa at det er kritisk at selskaper "ikke flirer ut" etter at de har blitt rammet av et brudd. "Selv om uforberedelse i møte med et datainnbrudd kan forårsake uopprettelig skade på et selskap, kan panikk og uorganisering også være ekstremt skadelig, " forklarte han. "Det er kritisk at et overtrådt selskap ikke forvillet seg fra sin plan for hendelsesrespons, som skal omfatte å identifisere den mistenkte årsaken til hendelsen som et første skritt. For eksempel var bruddet forårsaket av et vellykket ransomware-angrep, malware på systemet, en brannmur med en åpen port, utdatert programvare eller utilsiktet innside-trussel? Deretter isolerer du det utførte systemet og utrydder årsaken til bruddet for å sikre at systemet ditt er utenfor fare."

Sfakiyanudis sa at det er viktig at selskaper ber om hjelp når de er over hodet. "Hvis du fastslår at det faktisk har skjedd et brudd etter din interne etterforskning, kan du hente inn tredjepartsekspertise for å hjelpe til med å håndtere og dempe nedfallet, " sa han. "Dette inkluderer advokater, etterforskere som kan gjennomføre en grundig rettsmedisinsk etterforskning, og PR- og kommunikasjonseksperter som kan lage strategi og kommunisere til media på dine vegne.

"Med denne kombinerte ekspertveiledningen kan organisasjoner forbli rolige gjennom kaoset, identifisere hvilke sårbarheter som forårsaket dataforbruddet, ombedre slik at problemet ikke skjer igjen i fremtiden, og sikre at deres svar på berørte kunder er passende og betimelig. De kan samarbeider også med advokatene deres for å avgjøre om og når lovhåndhevelse skal varsles."

2. Ikke gå stille

Når du har blitt angrepet, er det trøstende å tenke at ingen utenfor din indre krets vet hva som nettopp skjedde. Dessverre er ikke risikoen her verdt belønningen. Det er lurt å kommunisere med ansatte, leverandører og kunder for å gi beskjed om hva som har blitt åpnet, hva du gjorde for å avhjelpe situasjonen, og hvilke planer du har tenkt å ta for at ingen lignende angrep skal skje i fremtiden. "Ikke ignorere dine egne ansatte, " rådet Heidi Shey, senioranalytiker for sikkerhet og risiko ved Forrester Research. "Du må kommunisere med dine ansatte om arrangementet, og gi veiledning til de ansatte om hva de skal gjøre eller si hvis de spurte om bruddet."

Shey, som Sfakiyanudis, sa at det kan være lurt å undersøke å ansette et PR-team for å hjelpe deg med å kontrollere meldingene bak svaret ditt. Dette gjelder spesielt for store og dyre forbrukervendte datainnbrudd. "Ideelt sett vil du ønske at en slik leverandør på forhånd identifiseres som en del av planen for respons på hendelsen, slik at du kan være klar til å avspore responsen, " forklarte hun.

Bare fordi du er proaktiv når det gjelder å varsle publikum om at du har blitt brutt, betyr det ikke at du kan begynne å utgi ville uttalelser og proklamasjoner. For eksempel når toymaker VTech ble brutt, fikk du tilgang til bilder av barn og chat-logger av en hacker. Etter at situasjonen hadde dødd ut, endret toymakeren sine vilkår for å gi fra seg ansvaret i tilfelle brudd. Unødvendig å si at kundene ikke var fornøyde. "Du vil ikke se ut som om du tyr til å gjemme seg bak juridiske midler, enten det er for å unngå ansvar eller kontrollere fortellingen, " sa Shey. "Bedre å ha et brudd og krisehåndteringsplan på plass for å hjelpe med bruddrelatert kommunikasjon."

3. Ikke legg ut falske eller villedende uttalelser

Dette er en åpenbar en, men du vil være så nøyaktig og ærlig som mulig når du henvender seg til publikum. Dette er gunstig for merkevaren din, men det er også gunstig for hvor mye penger du vil hente tilbake fra nettforsikringspolisen din hvis du skulle ha en. "Ikke send ut offentlige uttalelser uten å ta hensyn til implikasjonene av hva du sier og hvordan du høres ut, " sa Nunnikoven.

"Var det virkelig et" sofistikert "angrep? Å merke det som sådan gjør ikke nødvendigvis det sant, " fortsatte han. "Trenger din administrerende direktør virkelig å kalle dette en 'terrorhandling'? Har du lest et lite skrift på nettforsikring for å forstå eksklusjoner?"

Nunnikhoven anbefaler å lage meldinger som er "ikke-okse, hyppige, og som tydelig angir handlinger som blir tatt og de som må iverksettes." Å prøve å snurre situasjonen, sa han, har en tendens til å gjøre ting verre. "Når brukere hører om et brudd fra en tredjepart, eroderer det umiddelbart hardt vunnet tillit, " forklarte han. "Kom deg ut foran situasjonen og hold deg foran, med en jevn strøm av kortfattet kommunikasjon i alle kanaler der du allerede er aktiv."

4. Husk kundeservice

Hvis datainnbruddet ditt påvirker en online tjeneste, kundenes opplevelse, eller et annet aspekt av virksomheten din som kan ha kunder til å sende deg henvendelser, sørg for å fokusere på dette som et eget og viktig spørsmål. Ignorering av kundenes problemer eller til og med åpenlyst forsøk på å gjøre uflaks til fortjeneste kan raskt gjøre et alvorlig datainnbrudd til et mareritt tap av virksomhet og inntekter.

Tar Equifax-bruddet som eksempel, fortalte selskapet opprinnelig kunder at de kunne ha et års gratis kredittrapportering hvis de bare ikke ville saksøke. Den prøvde til og med å gjøre bruddet om til et overskuddsenter da det ønsket å belaste kundene ekstra hvis de ba om å få frosset rapportene sine. Det var en feil, og det skadet selskapets kundeforhold på lang sikt. Det selskapet burde ha gjort var å plassere kundene sine først og bare tilby alle dem ubetinget rapportering, kanskje til og med uten kostnad, i samme tidsperiode for å understreke deres forpliktelse til å holde kundene trygge.

5. Ikke lukk hendelser for snart

Du har lukket de ødelagte endepunktene. Du har kontaktet dine ansatte og kunder. Du har gjenopprettet alle dataene dine. Skyene har skilt seg, og en solstråle har kaskadert på skrivebordet ditt. Ikke så fort. Selv om det kan virke som om krisen din er avsluttet, vil du fortsette å overvåke nettverket ditt aggressivt og proaktivt for å sikre at det ikke er noen oppfølgingsangrep.

"Det er enormt mye press for å gjenopprette tjenester og komme seg etter et brudd, " sa Nunnikhoven. "Angripere beveger seg raskt gjennom nettverk når de får fotfeste, så det er vanskelig å konkretisere at du har tatt opp hele saken. Å være flittig og overvåke mer aggressivt er et viktig skritt til du er sikker på at organisasjonen er i det klare."

Sfakiyanudis er enig i denne vurderingen. "Etter at et datainnbrudd er løst og vanlig forretningsdrift gjenopptas, må du ikke anta den samme teknologien og planene du hadde på plass før bruddet vil være tilstrekkelig, " sa han. "Det er hull i sikkerhetsstrategien din som ble utnyttet, og selv etter at disse hullene er adressert, betyr det ikke at det ikke vil være flere i fremtiden. For å ta en mer proaktiv tilnærming til databeskyttelse fremover, må du behandle planen for brudd på dataene som et levende dokument. Når enkeltpersoner skifter roller og organisasjonen utvikler seg gjennom fusjoner, anskaffelser, etc., må planen også endres."

6. Ikke glem å undersøke

"Når du undersøker et brudd, må du dokumentere alt, " sa Sfakiyanudis. "Det å samle informasjon om en hendelse er avgjørende for å bekrefte at det skjedde et brudd, hvilke systemer og data som ble påvirket og hvordan avbøtning eller sanering ble adressert. Logg resultater av undersøkelser gjennom datainnsamling og analyse, slik at de er tilgjengelige for gjennomgang etter død.

"Sørg for også å intervjue alle involverte og dokumentere svarene nøye, " fortsatte han. "Å lage detaljerte rapporter med diskbilder, samt detaljer om hvem, hva, hvor og når hendelsen skjedde, vil hjelpe deg med å implementere nye eller manglende risikoreduserende tiltak eller databeskyttelsestiltak."

Slike tiltak er åpenbart for mulige juridiske konsekvenser etter faktum, men det er ikke den eneste grunnen til å etterforske et angrep. Å finne ut hvem som var ansvarlig og hvem som ble berørt er nøkkelkunnskap for advokatene, og bør absolutt undersøkes. Men hvordan bruddet skjedde og hva som ble målrettet er nøkkelinformasjon for IT og ditt sikkerhetspersonell. Hvilken del av omkretsen trenger forbedring, og hvilke deler av dataene dine er (tilsynelatende) verdifulle for ne'er-do-brønner? Forsikre deg om at du undersøker alle verdifulle vinkler til denne hendelsen, og sørg for at etterforskerne dine vet det helt fra starten.

Hvis selskapet ditt er for analogt til å utføre denne analysen på egen hånd, vil du sannsynligvis ansette et eksternt team til å utføre denne undersøkelsen for deg (som Sfakiyanudis nevnte tidligere). Ta notater om søkeprosessen også. Legg merke til hvilke tjenester du ble tilbudt, hvilke leverandører du snakket med, og om du var fornøyd med etterforskningsprosessen. Denne informasjonen vil hjelpe deg med å avgjøre om du vil holde fast ved leverandøren din, velge en ny leverandør eller ansette internt personale som er i stand til å gjennomføre disse prosessene hvis selskapet ditt er uheldig nok til å få et nytt brudd.