7 najčešćih grešaka nakon Data Breach incidenta
Ako niste dobro pripremljeni za neželjeni scenario, posledice mogu biti katastrofalne!
Doživeli ste sajber napad. Iscureli su osetljivi podaci o korisnicima, klijentima, zaposlenima... Šta i kako dalje? Koraci koje napravite nakon ovakvih saznanja mogu značajno poboljšati, ali i pogoršati stvari za vašu kompaniju. Jedan od najsvežijih primera kako ne treba reagovati nakon Data Breach incidenta je Marriott lanac hotela, odnosno veliki incident u kome su iscureli podaci o 500 miliona gostiju Starwood hotela koji pripadaju ovom lancu. Incident je trajao od 2014, a javnost je za njega saznala tek u septembru 2018. Kompanija se već suočava sa dve tužbe zbog neblagovremenog obaveštavanja javnosti o incidentu, kao i za to što nije pružila dovoljno informacija o istom. Dve tužbe su samo početak nevolja za kompaniju, jer se s pravom očekuje da ih bude mnogo više.
Marriott incident je pokrenuo poznate teme, kao što je potreba za boljom detekcijom i odgovorom na incidente, kao i za boljom zaštitom prikupljenih podataka, enkripcijom, kontrolom pristupa i jakom autentifikacijom. Takođe je dobar primer zašto treba imati pripremljene procedure za prijavljivanje i javno objavljivanje incidenta, naročito u kontekstu nove, stroge EU GDPR regulative.
Nekoliko stvari je posebno zabrinjavajuće u Marriott incidentu:
- Incident se dogodio 2014. godine.
- Kompanija ga je otkrila u septembru 2018.
- Javnost je obaveštena tek 2 meseca nakon otkrića.
Sledi spisak najčešćih grešaka koje kompanije prave nakon Data Breach incidenta. Ukoliko se nađete u ovoj nezavidnoj situaciji, preporuka je da izbegnete sledeće greške:
1. Nemate plan
Koje ćete korake preduzeti nakon Data Breach napada u velikoj meri zavisi od toga koliko ste se dobro za takav scenario pripremirili. Vaš plan za odgovor u slučaju napada mora da obuhvati različite funkcije u organizaciji i kontakte iz marketinga, komunikacija, pravne službe itd. Najgori momenat za smišljanje plana za odgovor na incident je u trenutku njegovog dešavanja. Zato je potrebno unapred doneti odluke o postupanju u slučaju sajber napada.
Planom mora da se definiše ko će izdati saopštenje o napadu, koje će se informacije predočiti javnosti i u kom trenutku. Ukoliko ne upravljate situacijom na odgovarajući način, ne samo da će se negativni efekat na vaš brend povećati, nego će se povećati i verovatnoća da ćete biti tuženi, čime se i troškovi nakon napada povećavaju.
2. Relativizujete ozbiljnost situacije
Nikako ne pokušavajte da zataškate incident ili da pružite lažne informacije. Pre ili kasnije ćete biti otkriveni, a takvo ponašanje je i protivzakonito. Morate se unapred informisati koje su vaše zakonske obaveze, kao i obaveze prema klijentima kako bi na vreme bili pripremljeni.
3. Odlažete da obavestite javnost (pogođene korisnike)
Ne odlažite momenat obaveštavanja javnosti. Odlaganje je jedino prihvatljivo u slučaju postojanja zakonskih ograničenja ili preporuka policije. Dakle, za odlaganje obaveštavanja je potreban dobar razlog za koji morate da pružite objašnjenje. Pre nego što izađete u javnost sa informacijama o napadu, dozvolite sajber ekspertima da pregledaju da li je sve u saopštenju ispravno navedeno, odnosno da li ima nekih nepreciznih ili netačnih pretpostavki.
Brzina i jasnoća su od krucijalnog značaja. Mnoge kompanije su pale na ovom testu jer nisu dobro upravljale situacijom, trebalo im je previše vremena da obaveste javnost, nisu navele jasne i precizne informacije u saopštenju ili su pokušale da zataškaju slučaj.
Kada se dogodi sajber napad, bez obzira na stepen pripremljenosti za takav scenario, uvek postoji doza iznenađenja. Međutim, što bolje poznajete svoju organizaciju, brže ćete reagovati. Važno je da napravite radne mape poslovanja i infrastrukture, da znate šta su vaši kritični resursi i koje sve međuzavisnosti postoje u infrastrukturi. Ukoliko ovo krenete da radite u trenutku napada, dok se suočavate sa gomilom problema, neće se dobro završiti po vas.
4. Delite previše informacija
Budite oprezni sa odabirom informacija koje ćete podeliti. Ne zahteva svaki napad objavljivanje istog obima i vrste informacija. Imajte u vidu šta je obavezni deo informacija koje bi trebalo da objavite, kao i šta bi bilo korisno da vaši kupci, akcionari i branša znaju. Previše informacija nosi opasnost da i drugi hakeri dobiju ideju kako da iskoriste situaciju. To se desilo u slučaju velikog napada na kompaniju Equifax, koja je brzo objavila da se incident inicijalno dogodio zbog propusta u Apache Struts što su drugi napadači iskoristili za novi udar. Zato je potrebno da budete sigurni da infromacije koje objavite niko neće moći da zloupotrebi.
5. Delite premalo informacija
Ovo je druga strana medalje u odnosu na prethodnu situaciju. Svrha obaveštavanja klijenata je da im pomognete da se zaštite, zato bi trebalo da im pružite dovoljno informacija. Nedovoljno informacija nikome nije od koristi.
Ukoliko nešto namerno prećutite, isto je kao da ste slagali, tako da može naneti veliku štetu vašem brendu. Ako ne znate šta su vaše obaveze i kako da postupite u slučaju napada, angažujte iskusne konsultante iz branše. Ukoliko sve uradite na pravi način, negativni uticaj napada svešćete na najmanju moguću meru, a možda ćete čak i popraviti reputaciju.
6. Niste obavestili policiju
Ukoliko u situaciju uključite organe reda i zakona, dobićete jasan uvid u to šta možete i morate da iznesete u javnost. U mnogim slučajevima, istražni organi postavljaju ograničenja o tome šta smete da podelite kako se ne bi ugrozila istraga. Ovo je besplatna pomoć koja vam može biti od velikog značaja.
Pored toga, obaveštavanje zakonskih organa i eventualno angažovanje eksperata za Data Breach incidente će javnosti poslati signal da ste preduzeli sve potrebne akcije, da ste se ponašali odgovorno i da ste poštovali preporučene procedure.
7. Posmatrate incident kao IT problem
Iako je hakerski napad tehnička stvar, posledice snosi cela organizacija tako da je problem na nivou biznisa. Zbog toga odgovor na incident ne sme da se dešava izolovano, po organizacionim delovima i funkcijama, već sveobuhvatno na nivou kompanije.
Izvor: Dark Reading