«Все американские компании делятся на две категории: те, у которых были инциденты ИБ, и те, кто просто об этом еще не догадывается»
Джеймс Коми, директор ФБР
В 2013 году у 43% всех компаний США хотя бы раз случалась утечка информации. Симптоматично, что по данным InfoWatch за тот же период , Россия занимает вторую строчку в глобальном рейтинге утечек - как раз после Штатов.
Эксперты знают, что 100% безопасности не существует и инциденты случаются даже в тех компаниях, где вопросам ИБ уделяется самое пристальное внимание. Утечка данных – это не вопрос о том «как?», это вопрос о том «когда?». Поэтому в этот раз мы зайдем с другого конца и расскажем, как действовать, чтобы исправить допущенные ошибки и не совершить при этом новых.
На ошибках люди учатся
Для начала посмотрим, какие 10 промахов чаще всего допускают компании в ходе «работы над ошибками», т.е. когда инцидент ИБ уже произошел.
1. К расследованию не привлекаются внешние консультанты – эксперты, компании или структуры, занимающиеся расследованиями инцидентов в сфере ИБ.
2. Нередко в юридическом отделе работают люди, далекие от специфики ИБ. В компании должен быть юрист со специализацией в вопросах информационной безопасности.
3. В антикризисном штабе нет антикризисного менеджера, который отвечает за координацию работы всех участников команды.
4. Нет четкой и понятной коммуникации между членами антикризисного штаба, что приводит к потере времени и ошибкам
5. Нет продуманного антикризисного плана. Так, по данным Experian , более трети компаний в Великобритании вообще не знают о таком документе. Антикризисный план включает в себя помимо официального пресс-релиза, набор документов для внутренней (например, пошаговых инструкций для юридического и PR-отделов, отдела по работе с клиентами, IT-департамента и т.д.) и внешней аудитории – например, FAQ.
6. В компании не проводились «боевые учения». Мало иметь под рукой план действий, необходимо хорошо его знать и быть готовым следовать ему в кризисной ситуации. Для этого необходимо периодически устраивать «репетиции», освежать содержание документа и проводить проверку знаний.
7. «Еще не время». Ситуация с утечками характеризуется быстрой сменой информационной картины, но ждать подходящего момента, когда абсолютно все данные будут на руках, порой выходит себе дороже – СМИ могут так и не дождаться ваших комментариев и напишут свою версию произошедшего.
8. Ошибки микроменеджмента – необходимо привлечь внешних консультантов для решения целого ряда небольших, но значимых задач. В противном случае очень легко что-то упустить.
9. Клиент всегда прав. Увы, когда речь идет об утечке ПДн клиентов, компании порой забывают о принципе клиент всегда прав. Стоит дать вашей аудитории максимум возможностей получать самую оперативную и точную информацию – например, организовать горячую линию. А также подумать о возможной компенсации.
10. Ничего не делается после устранения самой утечки.
А теперь пошагово разберем ключевые моменты, на которые стоит обратить внимание.
Все пропало, шеф!
Убедитесь, что утечка действительно произошла. Оцените объем скомпрометированных данных, определите, была ли это утечка в результате внешней атаки, или же это был внутренний инцидент ИБ? Соберите максимум дополнительной информации – проведите беседу с руководителями отделов.
А был ли мальчик?
Поймите, были ли массиве утекших данных ПДн сотрудников, партнеров и самое главное - клиентов? Чтобы было проще - рекомендуем заранее провести категорирование информации . По ссылке вы найдете основные положения по категорированию и защите информации в РФ (по 149-ФЗ), перечень основных видов тайн с указанием ссылок на нормативные правовые акты.
В зависимости от типа пропавшей информации ваши дальнейшие действия будут разными, что обязательно отразится на содержании вашего антикризисного плана.
CISO всему голова
Назначьте на должность антикризисного менеджера человека из числа первых лиц компании. В зависимости от масштабов утечки, им может стать и ваш генеральный директор. Однако, по мнению многих экспертов, идеальный вариант, если им будет ваш CSO или CISO.
Важно помнить, что утечка информации – это кризисная ситуация, где фактор времени играет особую роль. Вот почему у человека на этой должности обязательно должен быть помощник или заместитель.
Основной задачей антикризисного менеджера будет следование единой линии в коммуникации по теме утечки с разными представителями аудитории и координация работы сотрудников антикризисного штаба. Она формируется из специалистов IT-департамента и руководителей бизнес-подразделений. В штабе также обязательно должны быть представители HR, юристы, PR-специалисты и сотрудники финансового отдела.
Продолжение следует...
