Ни одна компания не бывает полностью застрахована от утечки информации или кибератаки. Такие случаи, к несчастью для владельцев бизнеса, регулярны. Бен Джонсон, руководитель отдела информационной безопасности и стратегического планирования компании «Bit9+Carbon Black» считает, что главная задача любой компании – четкое понимание того, чего ни в коем случае нельзя делать в случае нарушения периметра безопасности. Ведь любая ошибка станет причиной огромного финансового ущерба, а в наихудшем случае может послужить толчком к потере позиций на рынке и шагом к банкротству.
Компания не готова
Одна из главных стратегических ошибок — искренняя вера в то, что ничего плохого случиться просто не может. Поэтому когда происходит утечка информации или взлом системы, никто толком не знает, что делать. Ведь раньше даже мысли не возникало, что эшелонированную систему безопасности можно обойти.
Как следствие первая реакция — паника. Сотрудники не понимают, как действовать, руководство в ужасе пытается реагировать постфактум, не имея четкого плана действий. Время уходит, кризис набирает обороты, а расходы и ущерб возрастают в геометрической прогрессии. В итоге, адекватной реакции на инцидент не будет, а последствия становятся катастрофическими.
Какая бы сильная система защиты не была, нужно всегда быть готовым к тому, что ее окажется недостаточно. Всегда есть шанс, что осталась незакрытая «дыра» в периметре безопасности или в компании завелся инсайдер, имеющий доступ к ценной коммерческой информации. И на этот случай жизненно необходим четкий протокол действий. Нужно быстро и без лишних эмоций найти ответы на критически важные вопросы: «Какие данные были похищены?», «Как получили доступ к данным?», «Как долго они были внутри?», «Как вывели информацию за периметр организации?».
Если анализ не проведен, а процесс проникновения остался тайной за семью печатями, вероятнее всего компания движется вслепую, полагаясь на волю случая. И следующая утечка данных не за горами.
Неверная оценка масштабов
Вы знаете точное количество машин, заражённых вредоносным ПО? Вы уверенны, что только один сотрудник «сливал» информацию конкурентам? Правильная оценка масштабов инцидента критична для минимизации ущерба и адекватной реакции.
Реагирование на инцидент – это не только чистка компьютеров от вирусов или увольнение сотрудника, работающего на конкурентов. Всегда есть шанс найти в системе безопасности дополнительные уязвимости. Или с течением времени выяснить, что у инсайдера были единомышленники внутри компании. Без глобального расследования и выявления причин велика вероятность того, что настоящая проблема останется нерешенной.
Очень важно обратить максимум внимания на человеческий фактор. В настоящее время самый легкий и дешевый способ обойти серьезные системы защиты – обзавестись сообщником внутри компании. В некоторых случаях инсайдер может даже не подозревать, что его используют, и действовать вслепую, ведь злоумышленники используют приемы фишинга и социальной инженерии. Мониторинг поведения и анализ отклонений от нормы поможет снизить риск утечки данных. В случае если ЧП произошло, компания получит возможность выявить первопричины инцидента и легко обнаружить сотрудника, который стал причиной утечки данных.
Публичное признание инцидента
Шила в мешке не утаить. Особенно если речь идет о серьезной утечке данных в крупной публичной компании. Рано или поздно информация об инциденте станет достоянием общественности, особенно если в деле замешаны конкуренты или в руки злоумышленников попала персональная конфиденциальная информация частных лиц.
Основная задача – сыграть на опережение и не дать слухам просочиться в СМИ до окончания внутреннего расследования. И только после того, как будет точно установлено, какая информация была похищена, как злоумышленники проникли сквозь защитный периметр, а меры по минимизации ущерба приняты — можно вовлекать в дело юристов и журналистов. При этом желательно держать руку на пульсе, делая все заявления самостоятельно и правильно дозируя информацию. Неконтролируемые статьи в СМИ чаще всего становятся первопричиной крупных скандалов.
Последствия
Нельзя торопиться с окончанием расследования. Даже если сложилось впечатление, что все аспекты утечки данных изучены и проанализированы, стоит проверить все еще раз. Как иллюстрируют громкие случаи утечки информации за последние несколько лет, очень часто 4 миллиона пропавших персональных данных спустя непродолжительное время превращаются в 10 миллионов, а потом и в 50.
Вектор атаки и корень проблемы
Если компания не нашла источник проблемы и не устранила его, велика вероятность того, что в будущем все повторится снова. Ведь охотники за ценными данными находятся всегда. Крайне важно определить, с какой стороны злоумышленникам удалось подобраться к компании: была ли это кибератака или основное направление – действия изнутри организации, через недовольных или беспечных сотрудников. Как только вектор атаки найден, нужно закрыть этот «черный ход» навсегда, благо современные программные комплексы предоставляют широкий спектр возможности по минимизации рисков.
По материалам CSO
