Odhalování narušení incidentů bylo nedávno ve zprávách a ne nutně v dobrém slova smyslu. Tisková konference guvernéra státu Missouri Mikea Parsona o novinových zprávách o bezpečnostní zranitelnosti na webových stránkách ministerstva pro základní a střední vzdělávání vyvolala odpor na sociálních sítích. Guvernér z odhalení obvinil reportéra, který objevil veřejně přístupná citlivá data, a nikoliv chybnou implementaci webu.
Tento incident mi připomněl lekci, kterou jsem se před lety naučila od několika lidí, kteří pracovali v oblasti komunikace týkající se bezpečnostních problémů společnosti Microsoft. Bezpečnostní incident Microsoftu byl propíraný v médiích se všemi možnými detaily, ale tým pro bezpečnostní komunikaci Microsoftu zarytě a frustrujícím způsobem mlčel. Brala jsem to jako známku toho, že nerozuměli dané bezpečnostní otázce, ale později jsem zjistila, že buď čekali na následné řešení, nebo na nějakou skutečnost, která byla stále předmětem vyšetřování.
Být první, kdo informuje o bezpečnostní události, často znamená, že něco pokazíte, nebo – což je ještě horší – vaši mluvčí situaci plně nerozumí a poskytují nesprávné informace, což často nelze snadno napravit. V tomto světě nepřetržitého zpravodajství může to, že jste příliš komunikativní příliš brzy v procesu, často znamenat, že se váš bezpečnostní problém dostane pod zbytečný drobnohled. Nechcete být tím prvním, kdo komunikuje, ale ani posledním. Vždy existuje střední cesta komunikace, která by měla být při oznamování narušení dodržována.
Je moudré mít připravený plán, jak budete reagovat na porušení. Zde je návod, jak tento plán vytvořit.
Chcete dostávat do mailu týdenní přehled článků z CIO Business Worldu? Objednejte si náš mailový servis a žádná důležitá informace vám neuteče. Objednat si lze také newsletter To hlavní, páteční souhrn nejdůležitějších článků ze všech našich serverů. Newslettery si můžete objednat na této stránce.
Co se dozvíte v článku
Seznamte se s procesy narušení vašeho poskytovatele kybernetického pojištění
Obraťte se na své poskytovatele kybernetického pojištění ještě dříve, než dojde k narušení, abyste zjistili, jakým procesem by vaši pojistitelé chtěli, abyste se řídili, pokud by došlo k incidentu. Měli by být jedním z prvních, které kontaktujete, jakmile vznikne podezření na narušení. Možná budou muset přizvat vyšetřovatele, aby lépe porozuměli povaze narušení. Pojišťovna může mít také odborníky na komunikaci, kteří buď pomohou s procesem komunikace, nebo budou vašimi mluvčími pro danou událost.
Mějte připravený komunikační plán
Určete, kdo bude zastupovat vaši firmu, když dojde k porušení. Nechte si vypracovat šablonu sdělení, které chcete předložit. Zajistěte, aby komunikace o tom, co by vaši zákazníci a klienti měli očekávat poté, co dojde k narušení, byla jasná a pochopitelná. Postupujte podle pokynů svého poskytovatele kybernetického pojištění a právníků ohledně komunikace na webových stránkách pro klienty a oznámení týkajících se public relations. Jakmile dojde k oznámení o narušení, sledujte následnou komunikaci, která může být potřeba s tím, jak se situace bude měnit.
Seznamte se s příslušnými pokyny a předpisy pro oznamování narušení
Pokud pracujete pro vládní agenturu, budete se řídit pokyny NIST pro zveřejňování a oznamování porušení (týká se Spojených států, pozn. překl.). Soukromé podniky potřebují zavést podobné procesy. Ve Spojených státech zasáhl ransomware tak silně, že zákonodárci začínají podnikat kroky k zajištění lepší komunikace a vyšetřování.
Nedávno představený senátní návrh zákona 2666 by vyžadoval přísný 24hodinový limit pro hlášení plateb ransomwaru pro podniky s více než 50 zaměstnanci, konkrétně: „Nejpozději 24 hodin po objevení operace ransomwaru, která kompromituje, je přiměřeně pravděpodobné, že ohrozí, nebo jinak podstatně ovlivní výkon kritické funkce federální agenturou nebo zahrnutou entitou, federální agentura nebo zahrnutá entita, která objevila operaci ransomwaru, odešle do systému oznámení o ransomwaru.“ Buďte připraveni na mnohem kratší oznamovací proces.
Zaveďte program odhalování zranitelnosti
Dalším procesem, který byste si měli předem prostudovat, je program odhalování zranitelnosti. Vzhledem k tomu, že více informací vaší firmy je umístěno na webových aktivech nastavených směrem k internetu, často nemáte prostředky k úplnému prověření a identifikaci všech slabých míst zabezpečení, která mohla být neúmyslně nasazena.
Větší firmy mají bug bounty programy, které platí badatelům po zranitelnostech za jejich úsilí při hledání problémů, ale většina z nás takové programy nemá. Jiné firmy se spoléhají na programy odměn za chyby třetích stran, jako je Zero Day Initiative, které koordinují bezpečnostního výzkumníka a vaši firmu.
Všechny firmy, které mají webové stránky nebo nemovitosti určené pro klienty, mohou a měly by mít proces umožňující zveřejňování zranitelnosti od veřejnosti. E-mailový alias security@ bývá obvykle vyhrazen pro hlášení bezpečnostních problémů, jak je uvedeno v dokumentu RFC 2142 (v angličtině). Ujistěte se, že máte zavedený proces zveřejnění.
Zvažte služby penetračního testování
Kdykoli máte externí webovou stránku, která by v případě narušení měla významný dopad na vaši firmu, zvažte investici do toho, že budete mít někoho ve svém týmu nebo najmete firmu, která provede penetrační test vašeho prostředí. Firmy jako Black Hills Information Security již dlouho používají týmy pro testování penetrace neboli červené týmy, aby upevnily svou obranu. Purple teaming kombinuje metodologie útoku i obrany, aby získal více znalostí o slabinách sítě a o tom, jak je řešit.
Sečteno a podtrženo, zkontrolujte své procesy pro řešení bezpečnostních problémů a narušení. Ujistěte se, že jste zavedli procesy pro řešení narušení. Vězte, že otázka nezní zda, ale kdy dojde k narušení.
CIO Business World si můžete objednat i jako klasický časopis (v tištěné i v digitální podobně) Věnujeme se nejnovějším technologiím a efektivnímu řízení podnikové informatiky. Přinášíme nové ekonomické trendy a analýzy a zejména praktické informace z oblasti podnikového IT se zaměřením na obchodní a podnikatelské přínosy informačních technologií. Nabízíme možná řešení problémů spojených s podnikovým IT v období omezených rozpočtů. Naší cílovou skupinou je vyšší management ze všech odvětví ekonomiky.
PŘEDPLATNÉ
ČLÁNKY DO MAILU