Merencanakan respons pelanggaran Anda

Pelanggaran data dapat mematikan perusahaan Anda untuk jangka waktu yang kritis, kadang-kadang selamanya; itu tentu saja dapat membahayakan masa depan keuangan Anda dan, dalam beberapa kasus, bahkan dapat membuat Anda dipenjara. Tetapi tidak ada yang terjadi karena, jika Anda merencanakan dengan benar, Anda dan perusahaan Anda dapat pulih dan melanjutkan bisnis, kadang-kadang dalam beberapa menit. Pada akhirnya, semuanya bermuara pada perencanaan.

Pekan lalu, kami membahas cara mempersiapkan pelanggaran data. Dengan asumsi Anda melakukan itu sebelum pelanggaran terjadi, langkah selanjutnya cukup mudah. Tetapi salah satu langkah kesiapan itu adalah membuat rencana dan kemudian mengujinya. Dan, ya, itu akan membutuhkan banyak pekerjaan.

Perbedaannya adalah bahwa perencanaan terlebih dahulu dilakukan sebelum pelanggaran dimaksudkan untuk meminimalkan kerusakan. Setelah pelanggaran, rencana perlu fokus pada proses pemulihan dan menangani masalah setelahnya, dengan asumsi ada. Ingat tujuan keseluruhan Anda, sama seperti sebelum pelanggaran, adalah untuk meminimalkan dampak pelanggaran terhadap perusahaan Anda, karyawan Anda, dan pelanggan Anda.

Merencanakan Pemulihan

Perencanaan pemulihan terdiri dari dua kategori besar. Yang pertama adalah memperbaiki kerusakan yang disebabkan oleh pelanggaran dan memastikan ancamannya benar-benar dihilangkan. Yang kedua adalah menjaga risiko finansial dan hukum yang menyertai pelanggaran data. Sejauh kesehatan masa depan organisasi Anda berjalan, keduanya sama pentingnya.

"Penahanan adalah kunci dalam hal pemulihan, " kata Sean Blenkhorn, Wakil Presiden, Solusi Teknik dan Layanan Penasihat untuk perlindungan yang dikelola dan penyedia respons eSentire. "Semakin cepat kita dapat mendeteksi ancaman, semakin baik kita dapat menahannya."

Blenkhorn mengatakan bahwa mengandung ancaman dapat berbeda tergantung pada jenis ancaman apa yang terlibat. Dalam kasus ransomware, misalnya, itu mungkin berarti menggunakan platform perlindungan titik akhir terkelola Anda untuk membantu mengisolasi malware bersama dengan infeksi sekunder sehingga tidak dapat menyebar, dan kemudian menghapusnya. Ini juga dapat berarti menerapkan strategi baru sehingga pelanggaran di masa depan diblokir, seperti memperlengkapi pengguna roaming dan telekomunikasi dengan akun pribadi jaringan pribadi virtual (VPN).

Namun, jenis ancaman lain mungkin memerlukan taktik yang berbeda. Misalnya, serangan yang mencari informasi keuangan, kekayaan intelektual (IP), atau data lain dari perusahaan Anda tidak akan ditangani dengan cara yang sama dengan serangan ransomware. Dalam kasus tersebut, Anda mungkin perlu menemukan dan menghilangkan jalur masuk, dan Anda harus menemukan cara untuk menghentikan perintah dan mengontrol pesan. Ini, pada gilirannya, akan mengharuskan Anda memantau dan mengelola lalu lintas jaringan Anda untuk pesan-pesan itu sehingga Anda dapat melihat dari mana mereka berasal dan di mana mereka mengirim data.

"Penyerang memiliki keunggulan penggerak pertama, " kata Blenkhorn. "Kamu harus mencari anomali."

Anomali itu akan membawa Anda ke sumber daya, biasanya server, yang menyediakan akses atau yang menyediakan exfiltration. Setelah Anda menemukannya, Anda dapat menghapus malware dan memulihkan server. Namun, Blenkhorn memperingatkan bahwa Anda mungkin perlu mem-image ulang server untuk memastikan bahwa malware apa pun benar-benar hilang.

Langkah-langkah pemulihan pelanggaran

Blenkhorn mengatakan bahwa ada tiga hal tambahan yang perlu diingat ketika merencanakan pemulihan pelanggaran:

1. Pelanggaran tidak bisa dihindari,
2. Teknologi saja tidak akan menyelesaikan masalah, dan
3. Anda harus menganggap itu ancaman yang belum pernah Anda lihat sebelumnya.

Tapi begitu Anda menghilangkan ancaman itu, Anda hanya melakukan separuh pemulihan. Setengah lainnya adalah melindungi bisnis itu sendiri. Menurut Ari Vared, Direktur Senior Produk di penyedia asuransi cyber CyberPolicy, ini berarti mempersiapkan mitra pemulihan Anda terlebih dahulu.

"Di sinilah memiliki rencana pemulihan dunia maya dapat menyelamatkan bisnis, " kata Vared PCMag dalam email. "Itu berarti memastikan tim hukum Anda, tim forensik data, tim PR Anda, dan anggota staf utama Anda tahu sebelumnya apa yang perlu dilakukan setiap kali ada pelanggaran."

Langkah pertama di sana berarti mengidentifikasi mitra pemulihan Anda terlebih dahulu, memberi tahu mereka tentang rencana Anda, dan mengambil tindakan apa pun yang diperlukan untuk mempertahankan layanan mereka jika terjadi pelanggaran. Kedengarannya seperti banyak beban administrasi, tetapi Vared mencantumkan empat alasan penting yang membuat proses ini sepadan dengan usaha:

1. Jika ada kebutuhan untuk perjanjian non-pengungkapan dan kerahasiaan, maka mereka dapat disepakati sebelumnya, bersama dengan biaya dan ketentuan lainnya, sehingga Anda tidak kehilangan waktu setelah serangan cyber mencoba untuk bernegosiasi dengan vendor baru.
2. Jika Anda memiliki asuransi siber, maka agensi Anda mungkin sudah memiliki mitra spesifik. Dalam hal ini, Anda akan ingin menggunakan sumber daya tersebut untuk memastikan biaya ditanggung sesuai dengan kebijakan.
3. Penyedia asuransi dunia maya Anda mungkin memiliki pedoman untuk jumlah yang bersedia untuk menutupi aspek-aspek tertentu dan pemilik usaha kecil hingga menengah (SMB) ingin memastikan bahwa biaya vendor mereka termasuk dalam pedoman tersebut.
4. Beberapa perusahaan asuransi dunia maya akan memiliki mitra pemulihan yang diperlukan di rumah, menjadikannya solusi turnkey bagi pemilik bisnis, karena hubungan sudah ada dan layanan akan secara otomatis tercakup di bawah kebijakan.

Mengatasi Masalah Hukum dan Forensik

Vared mengatakan bahwa tim hukum dan tim forensik Anda adalah prioritas tinggi setelah serangan. Tim forensik akan mengambil langkah pertama dalam pemulihan, sebagaimana diuraikan oleh Blenkhorn. Sesuai namanya, tim ini ada untuk mencari tahu apa yang terjadi dan, yang lebih penting, bagaimana. Ini bukan untuk menyalahkan; itu untuk mengidentifikasi kerentanan yang memungkinkan pelanggaran sehingga Anda bisa pasang. Itu perbedaan penting yang dibuat dengan karyawan sebelum tim forensik tiba untuk menghindari dendam atau kekhawatiran yang tidak semestinya.

Vared mencatat bahwa tim hukum yang menanggapi pelanggaran mungkin tidak akan menjadi orang yang sama yang menangani tugas hukum tradisional untuk bisnis Anda. Sebaliknya, mereka akan menjadi kelompok khusus dengan pengalaman dalam menangani akibat dari serangan siber. Tim ini dapat membela Anda terhadap tuntutan hukum yang berasal dari pelanggaran, berurusan dengan regulator, atau bahkan menangani negosiasi dengan pencuri cyber dan tebusan mereka.

Sementara itu, tim PR Anda akan bekerja dengan tim hukum Anda untuk menangani persyaratan pemberitahuan, berkomunikasi dengan pelanggan Anda untuk menjelaskan pelanggaran dan respons Anda, dan bahkan mungkin menjelaskan detail yang sama kepada media.

Akhirnya, setelah Anda mengambil langkah-langkah yang diperlukan untuk pulih dari pelanggaran, Anda harus mengumpulkan tim-tim tersebut bersama para eksekutif tingkat-C dan mengadakan pertemuan dan laporan pasca-aksi. Laporan setelah tindakan sangat penting untuk menyiapkan organisasi Anda untuk pelanggaran berikutnya dengan menentukan apa yang benar, apa yang salah, dan apa yang bisa dilakukan untuk meningkatkan respons Anda di waktu berikutnya.

Menguji Rencana Anda

• 6 Hal Yang Tidak Harus Dilakukan Setelah Pelanggaran Data 6 Hal Yang Tidak Harus Dilakukan Setelah Pelanggaran Data
• Data Pelanggaran Dikompromikan 4, 5 Miliar Rekor Di Semester Pertama 2018 Data Pelanggaran Dikompromikan 4, 5 Miliar Rekor Pada Semester Pertama 2018
• Cathay Pacific Mengungkap Pelanggaran Data yang Mempengaruhi 9.4M Penumpang Cathay Pacific Mengungkap Pelanggaran Data yang Mempengaruhi 9.4M Penumpang

Semua ini mengasumsikan bahwa rencana Anda disusun dengan baik dan dilaksanakan secara kompeten jika terjadi Hal Buruk. Sayangnya, itu bukan asumsi yang aman. Satu-satunya cara untuk memastikan rencana Anda cukup berpeluang untuk sukses adalah dengan mempraktikkannya setelah disiapkan. Spesialis yang Anda temui yang menangani serangan siber sebagai peristiwa rutin dalam bisnis mereka tidak akan memberi Anda banyak perlawanan untuk mempraktikkan rencana Anda - mereka sudah terbiasa dengan itu dan kemungkinan mengharapkannya. Tetapi karena mereka orang luar, Anda harus memastikan bahwa mereka dijadwalkan untuk latihan dan Anda mungkin harus membayar mereka untuk waktu mereka. Ini berarti penting untuk memperhitungkannya dalam penganggaran Anda, tidak hanya sekali tetapi secara teratur.

Seberapa reguler dasar itu bergantung pada bagaimana karyawan internal Anda merespons tes pertama Anda. Tes pertama Anda hampir pasti akan gagal dalam beberapa atau mungkin semua aspek. Itu sudah diduga karena respons ini akan jauh lebih kompleks dan memberatkan bagi banyak orang daripada latihan kebakaran sederhana. Yang perlu Anda lakukan adalah mengukur tingkat keparahan kegagalan itu dan menggunakannya sebagai dasar untuk memutuskan seberapa sering dan sejauh mana Anda perlu mempraktikkan respons Anda. Ingatlah bahwa ada latihan kebakaran untuk bencana yang tidak akan pernah dialami sebagian besar bisnis. Latihan serangan siber Anda adalah untuk bencana yang praktis tak terhindarkan pada tahap tertentu.