6 Hal yang tidak dilakukan setelah pelanggaran data

Mempertahankan dan menegakkan keamanan TI adalah sesuatu yang telah kami bahas dari beberapa sudut, terutama bagaimana-dan tren keamanan berkembang, dan itu tentu informasi yang harus Anda cerna secara menyeluruh. Selain itu, Anda harus memastikan bisnis Anda diperlengkapi dengan baik untuk melindungi dan mempertahankan diri dari serangan dunia maya, terutama melalui perlindungan endpoint tingkat TI dan manajemen identitas granular dan langkah-langkah kontrol akses. Proses backup data yang solid dan teruji juga harus dimiliki. Sayangnya, buku pedoman untuk pelanggaran data terus berubah, yang berarti bahwa beberapa tindakan Anda selama bencana bisa berbahaya karena sangat membantu. Di situlah bagian ini masuk

, kami membahas apa yang harus dihindari perusahaan setelah mereka menyadari sistem mereka telah dilanggar. Kami berbicara dengan beberapa pakar dari perusahaan keamanan dan perusahaan analisis industri untuk lebih memahami potensi jebakan dan skenario bencana yang berkembang setelah serangan cyber.

1. Jangan Berimprovisasi

Jika terjadi serangan, insting pertama Anda akan memberitahu Anda untuk memulai proses perbaikan situasi. Ini mungkin termasuk melindungi titik akhir yang telah ditargetkan atau kembali ke cadangan sebelumnya untuk menutup titik masuk yang digunakan oleh penyerang Anda. Sayangnya, jika Anda sebelumnya tidak mengembangkan strategi, maka keputusan tergesa-gesa apa pun yang Anda buat setelah serangan dapat memperburuk situasi.

"Hal pertama yang tidak boleh Anda lakukan setelah pelanggaran adalah membuat respons Anda dengan cepat, " kata Mark Nunnikhoven, Wakil Presiden Cloud Research di penyedia solusi keamanan cyber Trend Micro. "Bagian penting dari rencana respons insiden Anda adalah persiapan. Kontak kunci harus dipetakan sebelumnya dan disimpan secara digital. Itu juga harus tersedia dalam bentuk cetak jika terjadi pelanggaran bencana. Ketika menanggapi pelanggaran, hal terakhir yang Anda lakukan Yang perlu dilakukan adalah mencoba mencari tahu siapa yang bertanggung jawab atas tindakan apa dan siapa yang dapat mengotorisasi berbagai tanggapan."

Ermis Sfakiyanudis, Presiden dan CEO perusahaan layanan perlindungan data Trivalent, setuju dengan pendekatan ini. Dia mengatakan sangat penting bahwa perusahaan "jangan panik" setelah mereka dilanggar. "Sementara ketidaksiapan dalam menghadapi pelanggaran data dapat menyebabkan kerusakan yang tidak dapat diperbaiki pada sebuah perusahaan, panik dan disorganisasi juga bisa sangat merugikan, " jelasnya. "Sangat penting bahwa perusahaan yang dilanggar tidak menyimpang dari rencana respons insidennya, yang harus mencakup mengidentifikasi dugaan penyebab insiden tersebut sebagai langkah pertama. Sebagai contoh, adalah pelanggaran yang disebabkan oleh serangan ransomware yang sukses, malware pada sistem, dan firewall dengan port terbuka, perangkat lunak yang ketinggalan zaman, atau ancaman orang dalam yang tidak disengaja? Selanjutnya, mengisolasi sistem yang terkena dampak dan memberantas penyebab pelanggaran untuk memastikan sistem Anda keluar dari bahaya."

Sfakiyanudis mengatakan sangat penting bahwa perusahaan meminta bantuan ketika mereka berada di atas kepala mereka. "Jika Anda menentukan bahwa memang telah terjadi pelanggaran setelah penyelidikan internal Anda, bawa keahlian pihak ketiga untuk membantu menangani dan mengurangi dampak tersebut, " katanya. "Ini termasuk penasihat hukum, penyelidik luar yang dapat melakukan penyelidikan forensik menyeluruh, dan pakar hubungan masyarakat dan komunikasi yang dapat membuat strategi dan berkomunikasi dengan media atas nama Anda.

"Dengan panduan pakar gabungan ini, organisasi dapat tetap tenang melalui kekacauan, mengidentifikasi kerentanan apa yang menyebabkan pelanggaran data, memulihkan sehingga masalah tidak terjadi lagi di masa depan, dan memastikan respons mereka terhadap pelanggan yang terpengaruh tepat dan tepat waktu. Mereka dapat juga bekerja sama dengan penasihat hukum mereka untuk menentukan apakah dan kapan penegakan hukum harus diberitahukan."

2. Jangan Diam

Setelah Anda diserang, itu menyenangkan untuk berpikir bahwa tidak ada orang di luar lingkaran dalam Anda yang tahu apa yang baru saja terjadi. Sayangnya, risiko di sini tidak sebanding dengan hadiahnya. Anda ingin berkomunikasi dengan staf, vendor, dan pelanggan untuk memberi tahu semua orang apa yang telah diakses, apa yang Anda lakukan untuk memperbaiki situasi, dan rencana apa yang ingin Anda ambil untuk memastikan tidak ada serangan serupa terjadi di masa depan. "Jangan abaikan karyawan Anda sendiri, " saran Heidi Shey, Analis Senior Keamanan & Risiko di Forrester Research. "Anda perlu berkomunikasi dengan karyawan Anda tentang acara tersebut, dan memberikan panduan bagi karyawan Anda tentang apa yang harus dilakukan atau katakan jika mereka bertanya tentang pelanggaran tersebut."

Shey, seperti Sfakiyanudis, mengatakan Anda mungkin ingin melihat ke dalam mempekerjakan tim humas untuk membantu mengendalikan pesan di belakang respons Anda. Hal ini terutama berlaku untuk pelanggaran data besar yang dihadapi konsumen. "Idealnya, Anda ingin penyedia seperti itu diidentifikasi sebelumnya sebagai bagian dari perencanaan respons insiden Anda sehingga Anda dapat siap untuk memulai respons Anda, " jelasnya.

Hanya karena Anda bersikap proaktif untuk memberi tahu publik bahwa Anda telah dilanggar, itu tidak berarti Anda dapat mulai mengeluarkan pernyataan dan pernyataan liar. Misalnya, ketika pembuat mainan VTech dilanggar, foto anak-anak dan log obrolan diakses oleh peretas. Setelah situasi mereda, pembuat mainan mengubah Ketentuan Layanan untuk melepaskan tanggung jawabnya jika terjadi pelanggaran. Tidak perlu dikatakan, pelanggan tidak senang. "Anda tidak ingin terlihat seperti Anda bersembunyi di balik cara hukum, apakah itu dalam menghindari tanggung jawab atau mengendalikan narasi, " kata Shey. "Lebih baik memiliki respons pelanggaran dan rencana manajemen krisis untuk membantu komunikasi terkait pelanggaran."

3. Jangan Membuat Pernyataan Salah atau Menyesatkan

Ini jelas, tetapi Anda harus seakurat dan sejujur ​​mungkin ketika berbicara kepada publik. Ini bermanfaat bagi merek Anda, tetapi juga bermanfaat untuk berapa banyak uang yang akan Anda dapatkan dari polis asuransi cyber Anda jika Anda memilikinya. "Jangan mengeluarkan pernyataan publik tanpa mempertimbangkan implikasi dari apa yang Anda katakan dan bagaimana Anda terdengar, " kata Nunnikoven.

"Apakah itu benar-benar serangan 'canggih'? Memberi label demikian tidak berarti benar, " lanjutnya. "Apakah CEO Anda benar-benar perlu menyebut ini sebagai 'aksi terorisme'? Apakah Anda sudah membaca cetakan polis asuransi cyber Anda untuk memahami pengecualian?"

Nunnikhoven merekomendasikan pembuatan pesan yang "tidak boleh, sering, dan yang dengan jelas menyatakan tindakan yang sedang diambil dan yang perlu diambil." Mencoba memutarbalikkan situasi, katanya, cenderung memperburuk keadaan. "Ketika pengguna mendengar tentang pelanggaran dari pihak ketiga, itu segera mengikis kepercayaan yang telah diperoleh dengan susah payah, " jelasnya. "Keluar di depan situasi dan tetap di depan, dengan aliran komunikasi ringkas yang mantap di semua saluran tempat Anda sudah aktif."

4. Ingat Layanan Pelanggan

Jika pelanggaran data Anda memengaruhi layanan online, pengalaman pelanggan Anda, atau aspek lain dari bisnis Anda yang mungkin membuat pelanggan mengirimi Anda pertanyaan, pastikan untuk fokus pada hal ini sebagai masalah yang terpisah dan penting. Mengabaikan masalah pelanggan Anda atau bahkan secara terang-terangan mencoba mengubah nasib buruk mereka menjadi keuntungan Anda dapat dengan cepat mengubah pelanggaran data serius menjadi kehilangan bisnis dan pendapatan yang mengerikan.

Mengambil pelanggaran Equifax sebagai contoh, perusahaan awalnya mengatakan kepada pelanggan bahwa mereka dapat memiliki satu tahun pelaporan kredit gratis jika saja mereka tidak menuntut. Bahkan mencoba mengubah pelanggaran menjadi pusat laba ketika ingin membebankan biaya tambahan kepada pelanggan jika mereka meminta agar laporan mereka dibekukan. Itu adalah kesalahan, dan itu merusak hubungan pelanggan perusahaan secara jangka panjang. Apa yang seharusnya dilakukan perusahaan adalah mengutamakan pelanggannya dan hanya menawarkan mereka semua pelaporan tanpa syarat, bahkan mungkin tanpa biaya, untuk periode waktu yang sama untuk menekankan komitmen mereka untuk menjaga keamanan pelanggan.

5. Jangan Tutup Insiden Terlalu Cepat

Anda telah menutup titik akhir Anda yang rusak. Anda telah menghubungi karyawan dan pelanggan Anda. Anda telah memulihkan semua data Anda. Awan telah berpisah dan sinar matahari telah mengalir ke meja Anda. Tidak secepat itu. Meskipun sepertinya krisis Anda telah berakhir, Anda harus terus memantau jaringan Anda secara proaktif dan proaktif untuk memastikan tidak ada serangan lanjutan.

"Ada sejumlah besar tekanan untuk memulihkan layanan dan pulih setelah pelanggaran, " kata Nunnikhoven. "Penyerang bergerak cepat melalui jaringan begitu mereka mendapatkan pijakan, jadi sulit untuk membuat keputusan konkret bahwa Anda telah mengatasi seluruh masalah. Tetap rajin dan memantau secara lebih agresif adalah langkah penting sampai Anda yakin organisasi itu jelas.."

Sfakiyanudis setuju dengan penilaian ini. "Setelah pelanggaran data diselesaikan dan operasi bisnis reguler dilanjutkan, jangan anggap teknologi dan rencana yang sama dengan yang Anda miliki sebelum pelanggaran akan cukup, " katanya. "Ada celah dalam strategi keamanan Anda yang dieksploitasi dan, bahkan setelah kesenjangan ini diatasi, itu tidak berarti tidak akan ada lagi di masa depan. Untuk mengambil pendekatan yang lebih proaktif terhadap perlindungan data, " data Anda melanggar rencana respons sebagai dokumen hidup. Ketika individu mengubah peran dan organisasi berevolusi melalui merger, akuisisi, dll., rencana itu perlu berubah juga."

6. Jangan Lupa Melakukan Investigasi

"Saat menyelidiki pelanggaran, dokumentasikan semuanya, " kata Sfakiyanudis. "Mengumpulkan informasi tentang suatu insiden sangat penting dalam memvalidasi terjadinya pelanggaran, sistem dan data apa yang terkena dampak, dan bagaimana mitigasi atau remediasi ditangani. Catat hasil investigasi melalui pengumpulan dan analisis data sehingga mereka tersedia untuk ditinjau pasca-mortem.

"Pastikan juga mewawancarai siapa pun yang terlibat dan dengan cermat mendokumentasikan tanggapan mereka, " lanjutnya. "Membuat laporan terperinci dengan gambar disk, serta detail tentang siapa, apa, di mana, dan kapan insiden itu terjadi, akan membantu Anda menerapkan tindakan mitigasi risiko atau perlindungan data baru atau yang hilang."

Langkah-langkah seperti itu jelas untuk konsekuensi hukum yang mungkin setelah fakta, tetapi itu bukan satu-satunya alasan untuk menyelidiki serangan. Mencari tahu siapa yang bertanggung jawab dan siapa yang terpengaruh adalah pengetahuan utama bagi para pengacara, dan tentunya harus diselidiki. Tetapi bagaimana pelanggaran itu terjadi dan apa yang ditargetkan adalah informasi kunci untuk TI dan staf keamanan Anda. Bagian mana dari perimeter yang perlu ditingkatkan dan bagian mana dari data Anda (yang tampaknya) berharga bagi orang yang belum berhasil? Pastikan Anda menyelidiki semua sudut pandang berharga untuk kejadian ini dan memastikan simpatisan Anda mengetahuinya sejak awal.

Jika perusahaan Anda terlalu analog untuk melakukan analisis ini sendiri, Anda mungkin ingin merekrut tim eksternal untuk melakukan penyelidikan ini untuk Anda (seperti yang disebutkan sebelumnya oleh Sfakiyanudis). Buat catatan tentang proses pencarian juga. Catat layanan apa yang Anda tawarkan, vendor mana yang Anda ajak bicara, dan apakah Anda senang atau tidak dengan proses investigasi. Informasi ini akan membantu Anda menentukan apakah akan tetap atau tidak dengan vendor Anda, memilih vendor baru, atau merekrut staf internal yang mampu melakukan proses ini jika perusahaan Anda cukup beruntung untuk mengalami pelanggaran kedua.