Реальность такова, что почти каждая компания подвержена риску утечки или потери данных. В этом посте мы поговорим о взломе данных: когда злоумышленник получает несанкционированный доступ к данным вашей компании. В одном из последующих  постов мы рассмотрим ситуацию с потерей данных, когда данные пропадают и требуются варианты аварийного восстановления.

Некоторые компании подвержены большему риску взлома данных на основе своей инфраструктуры, другие предприняли значительные усилия для внедрения технологий и сервисов, чтобы предотвратить тип злонамеренного хакерского действия, которое приводит к взлому данных.

Но любой бизнес любого размера имеет определенный уровень сложности, который затрудняет управление и устранение всех известных и новых угроз.

Утечка данных также сопряжена с большими издержками. По оценкам Ponemon, лидера в оценке рисков, средняя утечка данных в 2018 году обойдется компании в 3,86 миллиона долларов.

Это немалая сумма - и компании обращают внимание, стараются найти лучшие способы защиты систем и способы реагирования на утечку данных.

Работа с утечкой данных

Итак, что вы делаете после взлома данных? То есть после того, как кто-то узнал о нарушении и попытался выяснить, когда оно началось. Понимание времени задержки и сроков идентификации может быть важным для контроля ущерба и сдерживания активной угрозы.

Это руководство поможет вашей компании предпринять необходимые шаги после взлома данных и исправить системы, чтобы вернуть бизнес в рабочее состояние и снова стать стабильным.

Процесс обнаружения

Одним из первых шагов в решении вопроса о том, что делать после взлома данных, является процесс обнаружения. Этот процесс начинается с первого момента, когда кто-то понимает, что произошла утечка данных.

Специальные инструменты и ресурсы могут помочь ускорить обнаружение. Системы мониторинга журналов событий и наблюдения за сетью могут помочь определить активность, которая приводит к краже данных. Такие инструменты, как средства отображения состояния устройств и анализаторы сетевых потоков, являются активами в борьбе с внезапным проникновением хакеров.

Во время начального процесса обнаружения важно выяснить, что было скомпрометировано - какие части системы были скомпрометированы? Какие активы данных находятся в руках злоумышленника? И, наконец, что не менее важно, изменил ли неавторизованный пользователь что-либо, включая удаление важных данных, повреждение наборов жизненно важных данных или обеспечение «черного хода» для постоянного или будущего доступа?

На этом этапе компании также пытаются оценить продолжительность нарушения - как долго нарушение данных скрывается под радаром. Важно связаться с вашей командой по безопасности и соответствию, отвечающей за уязвимые системы или данные, в дополнение к уведомлению руководства и, возможно, совета директоров и общественности в зависимости от объема и типа скомпрометированной информации.

Изоляция и документация

Этот шаг состоит из двух этапов: компания пытается изолировать зараженные участки сети и изолировать вредоносные программы или другие типы угроз.

В то же время, бизнес-лидеры также делают все возможное, чтобы задокументировать проблему. Руководители групп, ответственные за обнаружение и устранение нарушений, должны быть точными в своих выводах и документировать шаги, предпринимаемые для устранения проблемы и, в конечном итоге, помочь предотвратить повторение.

Хорошее эмпирическое правило заключается в том, чтобы немедленно рассмотреть вопрос о том, подпадают ли украденные данные под одну из следующих нормативных рамок:

• HIPAA (Закон о мобильности и ответственности медицинского страхования)
• PCI (Индустрия платежных карт)
• NERC (Североамериканская корпорация по надежности электроснабжения)
• NIST (Национальный институт стандартов и технологий)

Некоторые из них являются отраслевыми. Другие основаны на общих принципах конфиденциальности и безопасности. Все они абсолютно важны для бизнеса, к которому они относятся.

На другом практическом уровне предприятия должны подумать о том, как хакеры могут использовать данные для запуска обязательств, будь то финансовые данные, PII, данные HIPAA, корпоративный IP и т. д.… Все они имеют разные, но существенные обязательства, если их использовать ненадлежащим образом.

На протяжении всего этого процесса руководители компаний будут продолжать следить за временем задержки и тем, что происходит в течение периода времени, в течение которого угроза была активной - «вскрытие угрозы», другими словами, - при рассмотрении решений по защите от утечки данных.

Стадия раскрытия

Одной из первых обязанностей компании после взлома данных является уведомление затронутых клиентов. Закон об уведомлении и защите персональных данных, федеральный закон, принятый несколько лет назад, устанавливает, когда и как компании должны раскрывать информацию о нарушении данных.

Это такая общая ответственность и ответы, которые держат наготове в шаблонных письмах, чтобы показать клиентам, какая именно информация была взломана.

Вот шаг, о котором некоторые компании не задумываются - о нарушениях данных, которые имеют какое-либо отношение к деятельности правительства, следует сообщать соответствующим государственным органам. Руководство по реагированию на нарушение данных Федеральной торговой комиссии дает следующие рекомендации:

«Немедленно позвоните в местное отделение полиции. Сообщите о вашей ситуации и потенциальном риске кражи личных данных. Чем раньше правоохранительные органы узнают о краже, тем эффективнее они могут быть. Если ваша местная полиция не знакома с расследованием информационных компромиссов, обратитесь в местное отделение ФБР или в секретную службу США. В случае кражи почты обращайтесь в Службу почтовой инспекции США».

Федеральные агентства могут помочь решить, относится ли какая-либо уязвимость к конкретному нарушению, и в некоторых случаях, как должен выглядеть план реагирования на нарушение бизнес-данных.

Задача восстановления системы

Здесь компания начинает активно настраивать резервные копии операций и следить за тем, чтобы бизнес работал без сбоев после взлома данных, вызвавшего проблемы с ИТ.

Этот процесс может включать в себя стирание различных систем хранения, восстановление из резервных копий и восстановление наборов данных и приложений.

Компании, которые вложили средства в службы безопасности, партнеров или технологии защиты от утечки данных, часто имеют избыточные системы и отказоустойчивые системы, которые помогают восстанавливать базы данных и другие части их ИТ-инфраструктуры.

Некоторые из этих систем, системы аварийного резервного копирования, работают как для хакерских аварий, таких как утечка данных, так и для других бедствий, которые могут повлиять на бизнес-операции.

Отказоустойчивые системы помогают синхронизировать резервные копии, чтобы у компании не было особых сбоев при восстановлении поврежденных систем.

Путь к разрешению

После того, как были выполнены важные восстановительные работы, и стало ясно, что системы больше не подвержены риску, бизнес может двигаться вперед.

Коммуникация будет иметь ключевое значение как во время, так и после события, поэтому все затронутые стороны знают о том, что и как произошло, степень влияния и что можно сделать в будущем, чтобы предотвратить другое подобное нарушение.

Затем необходимо убедиться, что конкретное нарушение данных больше не повторится, - устранить уязвимости и пробелы и т. д.

No Comments