6 saker som inte ska göras efter ett dataintrÄng

6 saker som inte ska göras efter ett dataintrÄng

Att upprÀtthÄlla och upprÀtthÄlla IT-sÀkerhet Àr nÄgot vi har tÀckt frÄn flera vinklar, speciellt hur man utvecklar och utvecklar sÀkerhetstrender, och det Àr verkligen information som du bör smÀlta noggrant. Dessutom bör du se till att ditt företag Àr vÀlutrustat för att skydda och försvara sig mot cyberattacker, sÀrskilt via slutpunktsskydd pÄ IT-nivÄ och granulÀr identitetshantering och ÄtkomstkontrollÄtgÀrder. En gedigen och testad sÀkerhetskopieringsprocess Àr ocksÄ ett mÄste. TyvÀrr fortsÀtter spelboken för dataintrÄng att förÀndras, vilket innebÀr att vissa av dina handlingar under en katastrof kan vara lika skadliga som de Àr till hjÀlp. Det Àr dÀr denna bit kommer in.

I den hÀr artikeln diskuterar vi vad företag bör undvika att göra nÀr de inser att deras system har brutits. Vi pratade med flera experter frÄn sÀkerhetsföretag och branschanalysföretag för att bÀttre förstÄ de potentiella fallgropar och katastrofscenarier som utvecklas i kölvattnet av cyberattacker.

1. Improvisera inte

I hÀndelse av en attack kommer din första instinkt att berÀtta att du ska börja rÀtta till situationen. Detta kan innefatta att skydda de slutpunkter som har riktats in eller ÄtergÄ till tidigare sÀkerhetskopior för att stÀnga in ingÄngspunkten som anvÀnds av dina angripare. TyvÀrr, om du inte tidigare hade utvecklat en strategi, kan oavsett hastiga beslut du fattar efter en attack förvÀrra situationen.

“Det första du inte ska göra efter ett intrĂ„ng Ă€r att skapa ditt svar i farten”, sĂ€ger Mark Nunnikhoven, vice vd för molnforskning pĂ„ cybersĂ€kerhetsleverantören Trend Micro. “En kritisk del av din svarsplan för beredskap Ă€r förberedelser. Viktiga kontakter ska kartlĂ€ggas i förvĂ€g och lagras digitalt. Den bör ocksĂ„ finnas i pappersform i hĂ€ndelse av ett katastrofalt intrĂ„ng. NĂ€r du svarar pĂ„ ett intrĂ„ng Ă€r det sista du behöver göra Ă€r att försöka lista ut vem som Ă€r ansvarig för vilka Ă„tgĂ€rder och vem som kan auktorisera olika svar. “

Ermis Sfakiyanudis, VD och koncernchef för dataskyddsföretaget Trivalent, instĂ€mmer i detta synsĂ€tt. Han sa att det Ă€r avgörande att företag “inte freak out” efter att de har drabbats av ett brott. “Även om beredskap inför ett dataintrĂ„ng kan orsaka irreparabla skador pĂ„ ett företag, kan panik och desorganisering ocksĂ„ vara extremt skadligt,” förklarade han. “Det Ă€r avgörande att ett brottat företag inte avviker frĂ„n sin incidentplan, som bör innehĂ„lla identifiering av den misstĂ€nkta orsaken till incidenten som ett första steg. Till exempel orsakades intrĂ„nget av en framgĂ„ngsrik ransomware-attack, skadlig kod pĂ„ systemet, en brandvĂ€gg med en öppen port, förĂ„ldrad programvara eller oavsiktligt insiderhot? Isolera sedan det verkade systemet och utrota orsaken till intrĂ„nget för att sĂ€kerstĂ€lla att ditt system Ă€r i fara. “

Sfakiyanudis sa att det Ă€r viktigt att företag ber om hjĂ€lp nĂ€r de Ă€r över huvudet. “Om du faststĂ€ller att ett brott verkligen har intrĂ€ffat efter din interna utredning, ta in expertis frĂ„n tredje part för att hantera och mildra nedfallet”, sa han. “Detta inkluderar juridisk rĂ„dgivare, externa utredare som kan genomföra en grundlig rĂ€ttsmedicinsk utredning och PR och kommunikationsexperter som kan skapa strategi och kommunicera till media för dina rĂ€kning.

“Med den hĂ€r kombinerade experthandledningen kan organisationer förbli lugna genom kaoset och identifiera vilka sĂ„rbarheter som orsakade dataintrĂ„nget, avhjĂ€lpa sĂ„ att problemet inte uppstĂ„r igen i framtiden, och se till att deras svar till berörda kunder Ă€r lĂ€mpligt och i rĂ€tt tid. De kan arbeta ocksĂ„ med sin juridiska rĂ„dgivare för att avgöra om och nĂ€r brottsbekĂ€mpning ska meddelas. “

2. Bli inte tyst

SÀkerhetsintrÄng

NĂ€r du vĂ€l har attackerats Ă€r det tröstande att tro att ingen utanför din inre cirkel vet vad som just hĂ€nde. TyvĂ€rr Ă€r risken hĂ€r inte vĂ€rt belöningen. Du vill kommunicera med personal, leverantörer och kunder för att lĂ„ta alla veta vad som har nĂ„tts, vad du gjorde för att avhjĂ€lpa situationen och vilka planer du tĂ€nker ta för att sĂ€kerstĂ€lla att inga liknande attacker intrĂ€ffar i framtiden. “Ignorera inte dina egna anstĂ€llda,” rekommenderade Heidi Shey, Senior Analyst of Security & Risk pĂ„ Forrester Research. “Du mĂ„ste kommunicera med dina anstĂ€llda om evenemanget och ge vĂ€gledning för dina anstĂ€llda om vad de ska göra eller sĂ€ga om de frĂ„gade om övertrĂ€delsen.”

Shey, precis som Sfakiyanudis, sa att du kanske vill undersöka att anstĂ€lla ett PR-team som hjĂ€lper till att kontrollera meddelandet bakom ditt svar. Detta gĂ€ller sĂ€rskilt för stora och dyra dataintrĂ„ng mot konsumenter. “Helst vill du att en sĂ„dan leverantör ska identifieras i förvĂ€g som en del av din plan för incidentrespons sĂ„ att du kan vara redo att starta ditt svar”, förklarade hon.

Bara för att du Ă€r proaktiv för att meddela allmĂ€nheten att du har brutit mot, betyder det inte att du kan börja utfĂ€rda vilda uttalanden och proklamationer. Till exempel nĂ€r lekmakaren VTech bröts, fick bilder av barn och chattloggar Ă„tkomst av en hackare. Efter att situationen hade gĂ„tt ner Ă€ndrade lekmakaren sina anvĂ€ndarvillkor för att avstĂ„ frĂ„n sitt ansvar i hĂ€ndelse av ett brott. SjĂ€lvfallet var kunderna inte nöjda. “Du vill inte se ut som om du gömmer dig bakom lagliga medel, oavsett om det Ă€r att undvika ansvar eller att kontrollera berĂ€ttelsen”, sĂ€ger Shey. “BĂ€ttre att ha en plan för krishantering och krishantering för att hjĂ€lpa till med krĂ€nkningsrelaterad kommunikation.”

3. Gör inte falska eller vilseledande uttalanden

Hur man Àr intressant pÄ sociala medier (utan att fÄ sparken)

Detta Ă€r uppenbart men du vill vara sĂ„ korrekt och Ă€rlig som möjligt nĂ€r du vĂ€nder dig till allmĂ€nheten. Detta Ă€r fördelaktigt för ditt varumĂ€rke, men det Ă€r ocksĂ„ fördelaktigt för hur mycket pengar du kommer att fĂ„ tillbaka frĂ„n din cyberförsĂ€kring om du har en. “Ge inte ut offentliga uttalanden utan att ta hĂ€nsyn till konsekvenserna av vad du sĂ€ger och hur du lĂ„ter”, sĂ€ger Nunnikoven.

“Var det verkligen ett” sofistikerat “attack? Att mĂ€rka det som sĂ„dant gör det inte nödvĂ€ndigtvis sant, fortsatte han. “Behöver din VD verkligen kalla detta en” terrorhandling “? Har du lĂ€st det finstilta av din cyberförsĂ€kring för att förstĂ„ undantag?”

Nunnikhoven rekommenderar att man skapar meddelanden som Ă€r “nej-tjur, frekventa och som tydligt anger Ă„tgĂ€rder som vidtas och de som behöver vidtas.” Att försöka snurra pĂ„ situationen, sade han, tenderar att göra saker vĂ€rre. “NĂ€r anvĂ€ndare hör om ett brott frĂ„n en tredje part, urholkar det omedelbart hĂ„rt vunnit förtroende”, förklarade han. “GĂ„ ut framför situationen och hĂ„ll dig framför, med en stadig ström av kortfattad kommunikation i alla kanaler dĂ€r du redan Ă€r aktiv.”

4. Kom ihÄg kundtjÀnst

Kundsupport

Om ditt dataintrÄng pÄverkar en onlinetjÀnst, dina kunders upplevelse eller nÄgon annan aspekt av ditt företag som kan fÄ kunder att skicka förfrÄgningar, se till att fokusera pÄ detta som en separat och viktig frÄga. Att ignorera dina kunders problem eller till och med öppet försöka förvandla deras otur till din vinst kan snabbt förvandla ett allvarligt dataintrÄng till en mardrömmande förlust av affÀrer och intÀkter.

Med Equifax-övertrÀdelsen som ett exempel sa företaget ursprungligen till kunderna att de kunde ha ett Är med gratis kreditrapportering om de bara inte skulle stÀmma. Det försökte till och med göra om intrÄnget till ett vinstcentrum nÀr det ville debitera kunder extra om de frÄgade om att deras rapporter skulle frysas. Det var ett misstag och det skadade företagets kundrelationer pÄ lÄng sikt. Vad företaget borde ha gjort var att placera sina kunder först och helt enkelt erbjuda dem alla ovillkorlig rapportering, kanske till och med utan kostnad, under samma tidsperiod för att betona deras engagemang för att hÄlla kunderna sÀkra.

5. StÀng inte incidenter för tidigt

2016 HR Tech Prognos: Copycats, Data Analytics, Wearables & More

Du har stĂ€ngt dina skadade slutpunkter. Du har kontaktat dina anstĂ€llda och kunder. Du har Ă„terstĂ€llt alla dina data. Molnen har delats och en solstrĂ„le har fallit pĂ„ ditt skrivbord. Inte sĂ„ fort. Även om det kan verka som om din kris har avslutats, vill du fortsĂ€tta att övervaka ditt nĂ€tverk aggressivt och proaktivt för att sĂ€kerstĂ€lla att det inte finns nĂ„gra uppföljningsattacker.

“Det finns ett enormt tryck för att Ă„terstĂ€lla tjĂ€nster och Ă„terhĂ€mta sig efter ett intrĂ„ng”, sĂ€ger Nunnikhoven. “Angripare rör sig snabbt genom nĂ€tverk nĂ€r de har fĂ„tt fotfĂ€ste, sĂ„ det Ă€r svĂ„rt att göra en konkret bestĂ€mning om att du har tagit upp hela frĂ„gan. Att vara flitig och övervaka mer aggressivt Ă€r ett viktigt steg tills du Ă€r sĂ€ker pĂ„ att organisationen Ă€r i det tydliga . “

Sfakiyanudis instĂ€mmer i denna bedömning. ”NĂ€r ett dataintrĂ„ng har lösts och den vanliga affĂ€rsverksamheten Ă„terupptas, antar inte samma teknik och planer som du hade pĂ„ plats före intrĂ„ng Ă€r tillrĂ€ckliga,” sade han. “Det finns luckor i din sĂ€kerhetsstrategi som utnyttjades och Ă€ven efter att dessa luckor har Ă„tgĂ€rdats betyder det inte att det inte kommer att finnas fler i framtiden. För att ta ett mer proaktivt tillvĂ€gagĂ„ngssĂ€tt för dataskydd framĂ„t, behandla din svarsplan för dataintrĂ„ng som ett levande dokument. NĂ€r individer byter roll och organisationen utvecklas via sammanslagningar, förvĂ€rv etc. mĂ„ste planen ocksĂ„ förĂ€ndras. “

6. Glöm inte att utreda

Hur vi testar sÀkerhetsprogramvara

”NĂ€r du undersöker ett brott, dokumentera allt,” sa Sfakiyanudis. “Att samla in information om en incident Ă€r avgörande för att bekrĂ€fta att ett intrĂ„ng intrĂ€ffade, vilka system och data som pĂ„verkades och hur Ă„tgĂ€rdande eller Ă„tgĂ€rdande Ă„tgĂ€rdades. Logga resultat av utredningar genom datainsamling och analys sĂ„ att de Ă€r tillgĂ€ngliga för granskning efter slakt.

“Var noga med att ocksĂ„ intervjua alla inblandade och noggrant dokumentera deras svar”, fortsatte han. “Att skapa detaljerade rapporter med diskbilder, samt information om vem, vad, var och nĂ€r incidenten intrĂ€ffade, hjĂ€lper dig att genomföra nya eller saknade riskreducerande eller dataskyddsĂ„tgĂ€rder.”

SÄdana ÄtgÀrder Àr uppenbarligen för möjliga rÀttsliga konsekvenser efter det, men det Àr inte den enda anledningen till att utreda en attack. Att ta reda pÄ vem som var ansvarig och vem som pÄverkades Àr nyckelkunskapen för advokaterna, och det bör verkligen undersökas. Men hur övertrÀdelsen hÀnde och vad som riktades Àr nyckelinformation för IT och din sÀkerhetspersonal. Vilken del av omkretsen behöver förbÀttras och vilka delar av dina data Àr (uppenbarligen) vÀrdefulla för brunnar? Se till att du undersöker alla vÀrdefulla vinklar för denna hÀndelse och se till att dina utredare vet det redan frÄn början.

Om ditt företag Àr för analogt för att kunna utföra denna analys pÄ egen hand, kommer du förmodligen att anstÀlla ett externt team för att genomföra denna undersökning Ät dig (som Sfakiyanudis nÀmnde tidigare). Anteckna ocksÄ sökprocessen. Observera vilka tjÀnster du erbjöds, vilka leverantörer du pratade med och om du var nöjd med utredningen. Denna information hjÀlper dig att avgöra om du ska hÄlla fast vid din leverantör, vÀlja en ny leverantör eller anstÀlla egen personal som kan genomföra dessa processer om ditt företag skulle ha turen att drabbas av ett andra intrÄng.