6 coisas a não fazer após uma violação de dados

Manter e reforçar a segurança de TI é algo que abordamos de vários ângulos, especialmente as tendências de segurança de instruções e evolução, e essas são certamente as informações que você deve digerir completamente. Além disso, você deve garantir que sua empresa esteja bem equipada para se proteger e se defender de ataques cibernéticos, especialmente por meio de proteção de ponto de extremidade de nível de TI e gerenciamento granular de identidade e medidas de controle de acesso. Um processo de backup de dados sólido e testado também é essencial. Infelizmente, o manual para uma violação de dados continua mudando, o que significa que algumas de suas ações durante um desastre podem ser tão prejudiciais quanto úteis. É aí que entra esta peça.

, discutimos o que as empresas devem evitar quando percebem que seus sistemas foram violados. Conversamos com vários especialistas de empresas de segurança e empresas de análise do setor para entender melhor as possíveis armadilhas e cenários de desastre que se desenvolvem na sequência de ataques cibernéticos.

1. Não improvise

No caso de um ataque, seu primeiro instinto lhe dirá para iniciar o processo de retificação da situação. Isso pode incluir a proteção dos pontos de extremidade que foram direcionados ou a reversão de backups anteriores para fechar o ponto de entrada usado pelos atacantes. Infelizmente, se você não tivesse desenvolvido uma estratégia anterior, quaisquer decisões precipitadas que você tomar após um ataque poderão piorar a situação.

"A primeira coisa que você não deve fazer após uma violação é criar sua resposta rapidamente", disse Mark Nunnikhoven, vice-presidente de pesquisa em nuvem da Trend Micro, fornecedora de soluções de segurança cibernética. "Uma parte crítica do seu plano de resposta a incidentes é a preparação. Os principais contatos devem ser mapeados com antecedência e armazenados digitalmente. Também devem estar disponíveis em cópia impressa no caso de uma violação catastrófica. Ao responder a uma violação, a última coisa que você O que precisamos fazer é tentar descobrir quem é responsável por quais ações e quem pode autorizar várias respostas ".

Ermis Sfakiyanudis, Presidente e CEO da empresa de serviços de proteção de dados Trivalent, concorda com essa abordagem. Ele disse que é fundamental que as empresas "não surtem" depois de terem sido atingidas por uma violação. "Embora o despreparo diante de uma violação de dados possa causar danos irreparáveis ​​a uma empresa, o pânico e a desorganização também podem ser extremamente prejudiciais", explicou. "É fundamental que uma empresa violada não se desvie do seu plano de resposta a incidentes, que deve incluir a identificação da causa suspeita do incidente como uma primeira etapa. Por exemplo, foi a violação causada por um ataque bem-sucedido de ransomware, malware no sistema, um firewall com uma porta aberta, software desatualizado ou ameaça interna não intencional? Em seguida, isole o sistema afetado e erradique a causa da violação para garantir que seu sistema esteja fora de perigo."

Sfakiyanudis disse que é vital que as empresas peçam ajuda quando estão loucas. "Se você determinar que uma violação realmente ocorreu após sua investigação interna, traga especialistas de terceiros para ajudar a lidar e atenuar as consequências", disse ele. "Isso inclui consultoria jurídica, investigadores externos que podem conduzir uma investigação forense completa e especialistas em relações públicas e comunicação que podem criar estratégia e se comunicar com a mídia em seu nome.

"Com essa orientação especializada combinada, as organizações podem manter a calma durante o caos, identificando quais vulnerabilidades causaram a violação de dados, corrigindo para que o problema não aconteça novamente no futuro e garantindo que a resposta aos clientes afetados seja apropriada e oportuna. Eles podem também trabalham com seus advogados para determinar se e quando a aplicação da lei deve ser notificada.

2. Não fique em silêncio

Uma vez atacado, é reconfortante pensar que ninguém fora do seu círculo íntimo sabe o que aconteceu. Infelizmente, o risco aqui não vale a recompensa. Você deseja se comunicar com funcionários, fornecedores e clientes para que todos saibam o que foi acessado, o que você fez para remediar a situação e quais planos você planeja executar para garantir que nenhum ataque semelhante ocorra no futuro. "Não ignore seus próprios funcionários", aconselhou Heidi Shey, analista sênior de segurança e risco da Forrester Research. "Você precisa se comunicar com seus funcionários sobre o evento e fornecer orientação aos funcionários sobre o que fazer ou dizer se eles perguntaram sobre a violação."

Shey, como Sfakiyanudis, disse que você pode querer contratar uma equipe de relações públicas para ajudar a controlar as mensagens por trás de sua resposta. Isso é especialmente verdadeiro para violações de dados grandes e caras, voltadas para o consumidor. "Idealmente, você desejaria que esse provedor fosse identificado com antecedência como parte do seu planejamento de resposta a incidentes, para que você possa estar pronto para iniciar sua resposta", explicou ela.

Só porque você é proativo em notificar o público de que foi violado, isso não significa que você pode começar a emitir declarações e proclamações curiosas. Por exemplo, quando a fabricante de brinquedos VTech foi violada, fotos de crianças e logs de bate-papo foram acessadas por um hacker. Depois que a situação desapareceu, a fabricante de brinquedos alterou seus Termos de Serviço para renunciar à sua responsabilidade em caso de violação. Escusado será dizer que os clientes não estavam felizes. "Você não quer parecer que está se escondendo atrás de meios legais, seja para evitar responsabilidades ou controlar a narrativa", disse Shey. "É melhor ter um plano de resposta a violações e gerenciamento de crises para ajudar nas comunicações relacionadas a violações."

3. Não faça declarações falsas ou enganosas

Isso é óbvio, mas você deve ser o mais preciso e honesto possível ao abordar o público. Isso é benéfico para a sua marca, mas também para quanto dinheiro você recuperará da sua apólice de seguro cibernético, caso você tenha um. "Não faça declarações públicas sem considerar as implicações do que você está dizendo e como soa", disse Nunnikoven.

"Foi realmente um ataque 'sofisticado'? Rotulá-lo como tal não necessariamente o torna verdadeiro", continuou ele. "Seu CEO realmente precisa chamar isso de 'ato de terrorismo'? Você leu as letras miúdas de sua apólice de seguro cibernético para entender exclusões?"

Nunnikhoven recomenda elaborar mensagens que sejam "não-touro, frequentes e que declarem claramente as ações que estão sendo tomadas e as que precisam ser tomadas". Tentar mudar a situação, disse ele, tende a piorar as coisas. "Quando os usuários ouvem sobre uma violação de terceiros, ela imediatamente erode a confiança conquistada com muito esforço", explicou ele. "Saia na frente da situação e fique na frente, com um fluxo constante de comunicações concisas em todos os canais em que você já está ativo."

4. Lembre-se do Atendimento ao Cliente

Se a violação de dados afetar um serviço on-line, a experiência de seus clientes ou algum outro aspecto do seu negócio que possa ter clientes enviando perguntas, certifique-se de focar nisto como um problema separado e importante. Ignorar os problemas de seus clientes ou até mesmo tentar abertamente a má sorte em seu ganho pode transformar rapidamente uma séria violação de dados em uma perda de negócios e receita assustadora.

Tomando a violação do Equifax como exemplo, a empresa originalmente disse aos clientes que eles poderiam ter um ano de relatórios de crédito gratuitos se eles não o processassem. Ele até tentou transformar a violação em um centro de lucro quando queria cobrar mais dos clientes se eles pedissem que seus relatórios fossem congelados. Isso foi um erro e prejudicou o relacionamento com os clientes da empresa a longo prazo. O que a empresa deveria ter feito foi colocar seus clientes em primeiro lugar e simplesmente oferecer a todos eles relatórios incondicionais, talvez até gratuitamente, pelo mesmo período de tempo, para enfatizar seu compromisso de manter os clientes seguros.

5. Não feche incidentes cedo demais

Você fechou seus terminais corrompidos. Você entrou em contato com seus funcionários e clientes. Você recuperou todos os seus dados. As nuvens se separaram e um raio de sol caiu sobre sua mesa. Não tão rápido. Embora possa parecer que sua crise terminou, você deve continuar monitorando sua rede de forma agressiva e proativa para garantir que não haja ataques de acompanhamento.

"Há uma enorme pressão para restaurar serviços e recuperar após uma violação", disse Nunnikhoven. "Os invasores se movem rapidamente pelas redes assim que ganham uma posição, por isso é difícil determinar com determinação que você resolveu todo o problema. Permanecer diligente e monitorar de forma mais agressiva é uma etapa importante até que você tenha certeza de que a organização está clara."

Sfakiyanudis concorda com esta avaliação. "Depois que uma violação de dados for resolvida e as operações comerciais regulares forem retomadas, não assuma a mesma tecnologia e os planos que você possuía antes da violação serão suficientes", disse ele. "Existem lacunas na sua estratégia de segurança que foram exploradas e, mesmo depois que essas lacunas forem resolvidas, isso não significa que não haverá mais no futuro. Para adotar uma abordagem mais proativa à proteção de dados no futuro, trate seu plano de resposta à violação de dados como um documento vivo. À medida que os indivíduos mudam de função e a organização evolui por meio de fusões, aquisições etc., o plano também precisa mudar."

6. Não se esqueça de investigar

"Ao investigar uma violação, documente tudo", disse Sfakiyanudis. "A coleta de informações sobre um incidente é essencial para validar a ocorrência de uma violação, quais sistemas e dados foram impactados e como a mitigação ou correção foi tratada. Registre os resultados das investigações por meio da captura e análise de dados, para que estejam disponíveis para revisão post mortem.

"Não deixe de entrevistar qualquer pessoa envolvida e documentar cuidadosamente suas respostas", continuou ele. "Criar relatórios detalhados com imagens de disco, além de detalhes sobre quem, o quê, onde e quando o incidente ocorreu, o ajudará a implementar quaisquer medidas novas ou ausentes de mitigação de riscos ou proteção de dados".

Essas medidas obviamente têm possíveis consequências legais após o fato, mas esse não é o único motivo para investigar um ataque. Descobrir quem foi o responsável e quem foi afetado é um conhecimento essencial para os advogados e certamente deve ser investigado. Mas como a violação ocorreu e o que foi direcionado são as principais informações para a TI e sua equipe de segurança. Que parte do perímetro precisa ser aprimorada e quais partes de seus dados são (aparentemente) valiosas para os ne'er-do-wells? Investigue todos os ângulos valiosos desse incidente e verifique se os investigadores sabem disso desde o início.

Se sua empresa é analógica demais para conduzir essa análise por conta própria, provavelmente você desejará contratar uma equipe externa para conduzir essa investigação para você (como Sfakiyanudis mencionou anteriormente). Faça anotações sobre o processo de pesquisa também. Observe quais serviços foram oferecidos, quais fornecedores você falou e se você ficou satisfeito ou não com o processo de investigação. Essas informações ajudarão você a determinar se deve ou não ficar com seu fornecedor, escolher um novo fornecedor ou contratar uma equipe interna capaz de conduzir esses processos, caso sua empresa seja infeliz o suficiente para sofrer uma segunda violação.