5 шагов планирования реакции на инциденты кибербезопасности

Большинство серьезных компаний столкнутся с нарушениями или уязвимостями, из-за которых произойдет утечка конфиденциальных данных. Минимизация воздействия на бизнес и репутацию зависит от наличия четкого плана реагирования до того, как произойдет сам инцидент, пишет издание CSO.

Об обнаружении уязвимостей часто сообщают в новостях. Например, пресс-конференция губернатора американского штата Миссури Майка Парсона, посвященная сообщениям газеты об уязвимости системы безопасности на веб-сайте Министерства начального и среднего образования, вызвала крайне негативную реакцию в социальных сетях. При этом чиновник обвинил в разоблачении репортера, который обнаружил общедоступные конфиденциальные данные, а не многочисленные уязвимости в самом веб-сайте.

Этот инцидент напомнил случай, который стал известен несколько лет назад от нескольких людей из сферы коммуникаций на платформах Microsoft. Тогда произошел инцидент, связанный с безопасностью Microsoft, однако команда по безопасности компании сохраняла долгое молчание. Многие восприняли это как знак того, что в Microsoft не понимают существующую проблему безопасности, но позже стало известно, что они либо ждут решения, либо какого-то факта, который все еще находился на стадии расследования.

Быть первым, кто сообщает новости о событии безопасности, часто означает, что вы ошибетесь или, что еще хуже, ваши представители не полностью понимают ситуацию и предоставляют неверную информацию, которую часто нелегко исправить. В этом мире новостей, который работает круглосуточно и без выходных, слишком быстрое общение может привести к ненужному вниманию к проблеме безопасности. Всегда есть золотая середина, которой следует придерживаться в уведомлениях о нарушениях.

Было бы разумно иметь план того, как вы будете реагировать на нарушение. Вот как построить этот план.

Знайте процедуры реагирования вашей киберстраховой компании

Обратитесь к своим киберстраховочным компаниям до того, как произойдет нарушение, чтобы узнать, какой конкретно процесс ваши страховщики хотели бы, чтобы вы расследовали в случае возникновения инцидента. Они должны быть одними из первых, с кем вы связываетесь при подозрении на нарушение. Возможно, им потребуется привлечь следователей, чтобы лучше понять природу нарушения. У страховой компании также могут быть эксперты по коммуникациям, которые будут либо помогать в процессе коммуникации, либо выступать в роли ваших представителей на мероприятии.

Составьте план коммуникаций

Определите, кто будет представлять вашу фирму в случае возникновения нарушения. Составьте шаблон сообщения, которое вы хотите распространить. Убедитесь, что информация о том, чего ваши пользователи и клиенты должны ожидать после нарушения, является четкой и ясной. Следуйте рекомендациям вашей страховой компании и юристов в отношении общения на веб-сайтах для клиентов и уведомлений по связям с общественностью. Как только происходит уведомление о нарушении, отслеживайте дальнейшую коммуникацию, которая может потребоваться при изменении ситуации.

Ознакомьтесь с соответствующими правилами и правилами уведомления о нарушениях

Если вы работаете в государственном учреждении, вы будете следовать рекомендациям NIST по раскрытию и уведомлению о нарушениях. Частным предприятиям необходимо наладить аналогичные процессы. В Соединенных Штатах многие компании пострадали от программ-вымогателей настолько сильно, что законодатели начали принимать меры для улучшения связи и расследования. 

Недавно представленный законопроект Сената 2666 потребует строгого 24-часового лимита для сообщения о платежах с использованием программ-вымогателей для предприятий с более чем 50 сотрудниками, а именно: «не позднее, чем через 24 часа после обнаружения операции вымогателя, которая скомпрометировала, имеет разумную вероятность компрометации или вероятность иным образом существенно повлиять на выполнение важной функции федерального агентства или защищенной организации, федеральное агентство или защищенная организация, обнаружившая вымогателя, должна отправить в систему уведомление об этом». Будьте готовы к тому, что процесс уведомления будет намного короче.

Разработайте программу раскрытия уязвимостей

Еще один процесс, который вам следует рассмотреть заранее, - это программа раскрытия уязвимостей. Поскольку все больше информации вашей компании размещается на веб-ресурсах с выходом в Интернет, у вас часто нет ресурсов для полной проверки и выявления всех уязвимостей безопасности, которые могли быть непреднамеренно развернуты.

У крупных фирм есть программы поощрения для нашедших уязвимости, которые платят исследователям за их усилия по поиску проблем, но у большинства нет таких программ. Другие фирмы полагаются на сторонние программы вознаграждения за найденные баги, такие как Zero Day Initiative, которые координируются между исследователем безопасности и вашей фирмой.

Все фирмы, у которых есть веб-сайты или объекты, ориентированные на клиентов, могут и должны иметь процесс, позволяющий публично раскрывать информацию об уязвимостях. Адрес электронной почты security@ обычно зарезервирован для сообщения о проблемах безопасности, как указано в RFC 2142. Убедитесь, что у вас есть установленный процесс раскрытия информации.

Рассмотрите услуги тестирования на проникновение

Каждый раз, когда у вас есть внешний веб-сайт, взлом которого может оказать существенное влияние на вашу фирму, подумайте о том, чтобы вложить деньги, чтобы нанять кого-нибудь в штат или нанять фирму для проведения теста на проникновение в вашу среду. Такие фирмы, как Black Hills Information Security, уже давно используют группы тестирования на проникновение, или красные команды, для укрепления своей защиты. Purple teaming сочетает в себе методы атаки и защиты, чтобы получить больше информации о слабых местах сети и способах их устранения.

В итоге, проанализируйте свои процессы на предмет устранения проблем безопасности и нарушений. Убедитесь, что у вас есть налаженные процессы для устранения нарушения. Узнайте это не после взлома, а когда конкретно этот момент может произойти.