2 Февраля, 2016

Утекай: как минимизировать негативные последствия утечки информации (ч.2)

InfoWatch
Мы продолжаем серию публикаций о том, что делать, если самое страшное уже случилось.






Локализуйте «очаг возгорания»
Определите статус утечки - удалось ли ее «локализовать» или ваш «пожар» еще полыхает? Если инцидент ИБ «свежий», важно оперативно минимизировать риски. Убедитесь, что «дыра» в информационной системе компании залатана, и уже на этом этапе начните собирать все информацию для дальнейшего анализа. Кстати, все решения и действия представителей антикризисного штаба крайне желательно также фиксировать

В современной юридической практике существует ряд прецедентов, когда доказательства, представленные ИТ- и ИБ-подразделениями  компаний – например, лог-файлы - принимались как доказательства совершения уголовных преступлений. В решениях InfoWatchтакая возможность реализована в модуле ForensicStorage , и вот так это работает.

Никаких фальстартов
Помните, что хотя работа над ошибками в сфере ИБ – это скорее марафон, нежели спринт, «фальстарты» здесь тоже не допустимы.  Отметим, что в реальности даже компании-гиганты вроде Target допускают серьезные промахи в том, как реагируют на инциденты ИБ.
Эксперты в области форензики, советуют всегда сперва оценивать масштаб утечки и действовать по ситуации – в зависимости от объемов скомпрометированных данных, количества пострадавших в инциденте и наличия (или отсутствия) необходимых доказательств факта утечки. Чтобы не писать не нужных пресс-релизов и публичных опровержений, важно выверять и согласовывать всю информацию, которая покидает пределы вашей компании.

Общие сведения об утечке (в виде памятки или FAQ) должны быть у каждого сотрудника компании. Всей оперативной и максимально полной информацией (особенно «промежуточного» характера) располагает только антикризисный штаб.

Одна голова хорошо?
Если утечка произошла по вине вашего партнера или провайдера – например, поставщика IT-сервисов, совсем не лишним будет принять решение – будете ли вы привлекать для проведения расследования независимую экспертизу. Например, правоохранительные органы и/или внешних консультантов. Идея пригласить представителей компании-виновника утечки к расследованию может быть не самой лучшей – вероятность корректного и полного анализа инцидента может быть невысока.

Если вы заинтересованы в максимально объективных результатах, имеет смысл обратиться к тем, кто оказывает услуги в сфере ИБ-консалтинга.  Такая компания-подрядчик может существенно упростить вам жизнь - окажет профессиональную поддержку по вашему инциденту ИБ:
·   Проведет криминалистически правильную фиксацию и снятие копий энергозависимых данных на внешний цифровой носитель информации;
·   Оформит корректное изъятие компьютерных носителей информации, их упаковка и опечатывание;
·   Соберет пакет документации об инциденте, оформленный в соответствии с нормативно-правовыми актами;
·   Составит юридически грамотно заявление в правоохранительные органы об инциденте ИБ, следствием чего будет являться возбуждение уголовного дела, дальнейшее привлечение злоумышленника к ответственности и компенсация нанесенного ущерба;
·   Может представлять интересы компании при производстве «внешних» расследований.

WhattheFAQ?
Если вы приняли решение общаться с внешней аудиторией,  на помощь приходит грамотный FAQ. Этот документ отвечает на самые волнующие (и неприятные) вопросы, в том числе о том, чем грозит клиенту потеря его данных и как можно исправить положение. Помимо этого в нем стоит рассказать, что компания уже делает сейчас и что планирует делать, чтобы предотвратить повторение подобных инцидентов в дальнейшем. Будьте точными и краткими.

В общем виде ваше сообщение для ЦА может создаваться по следующей схеме:
· Общее описание инцидента: когда произошла утечка – дайте примерные временные рамки, укажите тип скомпрометированных данных
·  Меры по устранению последствий утечки: что вами уже было сделано и что планируется
·  Описание того, что пострадавшая сторона может предпринять, чтобы снизить риски и устранить последствия: например, сменить пароль к почте, подать заявление на бесплатное открытие нового счета в банке.
·  Помощь пострадавшим: например, если была утечка финансовой информации, в качестве компенсации можно предложить услугу бесплатного финансового мониторинга 24/7 и/или программу страхования денежных средств.
·  Контактная информация: например, телефон горячей линии или представителей антикризисного штаба.
А вот так все это выглядит на конкретном примере уведомления об утечке от компании Anthem ( крупнейшая утечка в медицине , ПДн 80 млн сотрудников и клиентов).

Назад в будущее
После того, как инцидент ИБ будет исчерпан, лучшее, что вы можете сделать – тщательным образом изучить причины утечки и оценить эффективность ваших действий по разрешению кризисной ситуации. Соберите обратную связь от антикризисной команды, внешних подрядчиков (если вы их привлекали) сотрудников компании и, конечно же, ваших клиентов. На основании полученных данных внесите изменения в ваш антикризисный план. О том, каким может быть данный документ, мы расскажем в следующих постах.

Вместо послесловия (пустословия)
По данным Ponemon Institute , 55% клиентов узнают о факте утечки в среднем лишь месяц спустя . Нужно сказать, что это данные только по США. В нашей стране пока нет законов, обязывающих компании раскрывать факт утечки, а потому наши соотечественники чаще всего попросту не знают об инцидентах ИБ.

Однако все может измениться уже в ближайшее время. Последние годы мы фиксируем постепенный рост числа утечек, упоминаемых СМИ, в том числе и российскими. А вопросы кибербезопасности вызывают все больше опасений не только в США. На днях Европарламент принял закон о кибербезопасности : предприятия критической инфраструктуры обязаны обеспечивать необходимый уровень ИБ, а интернет-компании теперь обязаны сообщать об инцидентах ИБ властям ЕС.

И тут на ум приходит старенькая песня «SorrySeemstobethehardestword». Действительно, когда происходит утечка, у вас нет второго шанса произвести первое впечатление. Но умение признать свою ошибку и вовремя извиниться может стать основной для улучшения отношений с клиентами и даже самой настоящей дружбы. Как ни странно, в долгосрочной перспективе утечка может стать хорошим поводом  не просто восстановить, но и укрепить репутацию. Речь идет о вложениях в персонал, технологии и улучшение бизнес-процессов – лучших инвестициях из возможных. Помните об этом.
name='cutid1-end'>