En plan for håndtering af databrud sikrer, at det rette personale og de rette procedurer er på plads til effektivt at håndtere en trussel.
Forestil dig panikken, når der opdages et massivt databrud, som måske har været i gang i månedsvis. I 2017 advarede Equifax verden om tyveri af flere millioner dataposter, der blev opbevaret under dets ledelse.
Tyveriet blev indledt af en sårbarhed i Apache Struts, en meget udbredt udviklingsramme. Equifax kendte til sårbarheden, men den medarbejder, der havde til opgave at lappe den, gjorde det ikke. Der fulgte en række uheldige begivenheder, herunder at patchescannere ikke kunne finde yderligere flere sårbarheder, hvilket blev forværret af flere menneskelige fejl hos operatørerne.
Equifax har siden brugt omkring 1,4 milliarder dollars (1 milliard pund ) på at opgradere sin sikkerhed. Virksomheden blev også idømt en bøde på en halv million GBP af det britiske Information Commissioner's Office (ICO), og Equifax' tidligere CIO blev idømt en fængselsstraf på fire måneder for at have brugt bruddet til personlig vinding. Equifax' brud på datasikkerheden var det stof, som virksomheder har mareridt.
Ved at "gå en kilometer i andres sko" kan vi forstå, hvordan hver enkelt del af en organisation effektivt håndterer håndtering af databrud. Ved at overveje, hvordan hver enkelt afdeling kan bidrage til at nedtrappe den kæde af begivenheder, der fører til et databrud, kan dataeksponeringen håndteres mere effektivt.
Hvordan og hvorfor håndtering af brud på datasikkerheden
Databrud påvirker alle i en organisation. På samme måde kan alle være med til at forhindre eller minimere virkningerne af et databrud. Nedenfor gennemgås de forskellige ansvarsområder for fem nøgleområder i en organisation og den type ansvar, som de hver især har i forbindelse med håndtering af databrud.
Holdet for sikkerhedshændelser
Håndtering og forebyggelse af databrud er det vigtigste for sikkerhedshændelsesteamet. Dette team er blevet mere og mere påkrævet, efterhånden som antallet og intensiteten af databrud er steget. Deres rolle er central for håndteringen af et databrud, og teamet er afhængig af en solid proces, der kan hjælpe dem med denne opgave. Sikkerhedsgruppen bør kunne henvende sig til en beredskabsplan og en katastrofeberedskabsplan for at hjælpe dem med at begrænse bruddet. Disse planer er med til at informere om de foranstaltninger, der skal træffes, når der er sket et brud.
Typiske trin i inddæmning og håndtering af brud omfatter:
Bekræft overtrædelsen
Det kan virke som et indlysende skridt, men bekræft, at bruddet er sket, og om det påvirker fortrolige eller følsomme data. De data, der er indsamlet under analysen af bruddet, vil blive brugt, hvis bruddet er alvorligt nok til at underrette en tilsynsmyndighed. De oplysninger, der bør indsamles og dokumenteres, omfatter bl.a:
- Hvordan bruddet blev opdaget
- Hvor den fandt sted
- Hvem er berørt (medtag eventuelle leverandører af økosystemer)
- Hvem har rapporteret bruddet
- Dato(er) for eventuelle overtrædelser
- Hvilket risikoniveau overtrædelsen udgør for organisationen/kunderne osv.
- Er bruddet nu fuldstændig inddæmmet?
Hvordan skete bruddet?
En analyse af bruddet er ikke kun nødvendig af hensyn til overholdelse af reglerne, men kan også hjælpe med at mindske fremtidig dataeksponering. Dynamikken i brud er forskelligartet. Data kan blive eksponeret ved en række forskellige mekanismer, både ved uheld og i ond hensigt. Identificer disse mekanismer: Var det en utilsigtet eksponering af en medarbejder eller et ondsindet hackerangreb? En forståelse af de anvendte vektorer og taktikker kan hjælpe med at mindske eksponeringen og afbøde angrebet.
Den type data, der berøres
Det er afgørende at kunne identificere risikoniveauet for de data, der er berørt, både med henblik på anmeldelse af brud og overholdelse af reglerne og for at forstå den samlede indvirkning på virksomheden. Dokumentér typen og risikoniveauet af de data, der er blevet krænket. En organisation bør allerede have udviklet et klassifikationssystem baseret på en standard som ISO 27001. Denne standard opstiller fire kategorier af data:
- Fortroligt (kun den øverste ledelse har adgang)
- Begrænset (de fleste medarbejdere har adgang)
- Intern (alle medarbejdere har adgang)
- Offentlig information (alle har adgang)
Inddæmning og genopretning
Når først et brud er blevet opdaget, er det vigtigt at inddæmme bruddet så hurtigt som muligt. De foranstaltninger, der træffes i forbindelse med analysen af bruddet, gør det muligt at udarbejde en strategi for inddæmning af bruddet. Overtrædelser, der involverer medarbejdere, kan kræve en gennemgang af uddannelsen i sikkerhedsbevidsthed. Brud, der involverer eksterne ondsindede hackere, kræver yderligere undersøgelse af systemer og afbødningsforanstaltninger. Der skal opstilles genopretningsplaner for at minimere virkningerne af bruddet.
Juridiske spørgsmål og overholdelse
Alle de dokumentariske beviser, der indsamles om bruddet, bruges af de juridiske afdelinger og compliance-afdelingerne til at håndtere følgerne af bruddet. De juridiske og compliance-afdelinger beslutter, om bruddet falder ind under et krav om anmeldelse af brud; for eksempel skal der i henhold til afsnit 67 i den britiske databeskyttelseslov fra 2018 (DPA 2108) foretages en anmeldelse af databrud til ICO inden for 72 timer efter, at virksomheden er blevet opmærksom på bruddet. Alle dokumenterede beviser om bruddet, hvor, hvorfor og hvordan det er afhjulpet, indsamlet af sikkerhedsteamet, vil blive brugt i denne indberetning. Der kan også være et krav om at oplyse om bruddet til alle berørte personer. Dette kan kræve en fuldstændig offentlig meddelelse, der offentliggøres på virksomhedens websted.
Regler for indberetning
Nøglen til den juridiske håndtering af et brud på datasikkerheden er at træffe en informeret beslutning om, hvorvidt/hvornår tilsynsmyndigheden skal underrettes om bruddet. Spørgsmål som f.eks. om der er et lovgivningsmæssigt krav om at indberette bruddet kan kun stilles af kvalificeret og kyndigt personale. Denne beslutning kan kræve, at bruddet offentliggøres: dette har tydelige langvarige virkninger på omdømme og vil sandsynligvis involvere marketingafdelingen for at minimere brandpåvirkningen. Her er et par eksempler på offentlige meddelelser om brud på sikkerheden:
Reglerne om anmeldelse af brud på sikkerheden varierer i de forskellige regler. I henhold til EU's generelle databeskyttelsesforordning (GDPR) skal der f.eks. ske anmeldelse af brud inden for 72 timer efter, at der er konstateret et brud. I henhold til Privacy and Electronic Communications Regulations (PECR, der gælder for internet- og telekommunikationstjenesteudbydere) skal et brud på persondatasikkerheden imidlertid indberettes til ICO senest 24 timer efter opdagelsen.
Personalet
Ved at gøre medarbejderne til en del af processen til håndtering af brud bliver de en frontlinieressource i kampen mod cyberangreb. Medarbejdere og sikkerhed dækker et bredt spektrum af potentielle sårbarheder, lige fra utilsigtet eksponering af data til phishing og samarbejde med eksterne hackere.
Ifølge Verizons Data Breach Investigation Report 2020 (DBIR) kan ca. 17 % af databruddene spores tilbage til fejl. Det er f.eks. dårlig sikkerhedspraksis, at medarbejdere deler adgangskoder eller genbruger adgangskoder på tværs af flere applikationer.
Phishing er stadig cyberkriminelles foretrukne våben; phishere elsker at efterligne mærker som Microsoft for at narre brugere til at udlevere virksomhedsoplysninger. Undervisning i sikkerhedsbevidsthed lærer medarbejderne om de mange positive måder, hvorpå de kan bidrage til at opretholde en god sikkerhedstilstand i virksomheden.
Med hensyn til håndtering af brud skal medarbejdernes bevidsthed udvides til at omfatte en forståelse af deres ansvar inden for forskellige regler, såsom at sikre, at kundedata respekteres og anvendes inden for rammerne af lovgivning som DPA 2018 og GDPR. Ved at forstå, hvor et brud kan opstå, sammen med ansvarsområder i henhold til forskellige relevante bestemmelser, kan en organisation inddrage personalet i processen for håndtering af brud.
Det er dog vigtigt at uddanne personalet på det relevante niveau. Nogle medarbejdere, f.eks. tekniske medarbejdere, kan have brug for specialiseret sikkerhedsuddannelse og/eller certificering.
Nyansatte skal deltage i en organisations træningsprogrammer for sikkerhedsbevidsthed fra første dag. Regelmæssig gennemgang af personalets uddannelse i sikkerhedsbevidsthed på områder som f.eks:
- Phishing
- Sikkerhedshygiejne
- Bevidsthed om ansvaret for datasikkerhed
...bør være løbende for at forblive effektiv.
Uddannelse i sikkerhedsbevidsthed bør indarbejdes i virksomhedens sikkerhedspolitik som en del af en proces til håndtering af databrud.
Tredjepartsleverandører
Leverandørernes økosystemer kan være komplekse og kan involvere fjerde og femte part. En nyere rapport fra Accenture, "State of Cyber Resilience 2020", viste, at 40 % af sikkerhedsbruddene starter med indirekte angreb på forsyningskædeniveau. Risikostyring af leverandører er en del af en effektiv styring af et databrud. Leverandørrelaterede brud på datasikkerheden er en tosidet overvejelse. Ud over at udføre en sårbarhedsanalyse af leverandørforbindelserne for at mindske cyberangreb skal leverandørøkosystemet analyseres for at se, om bruddet påvirker leverandøren, når der sker et brud, når der sker et brud.
Bestyrelsen
En rapport fra UK Gov "Cyber Security Breaches Survey 2021" viste, at 77 % af virksomhederne mener, at cybersikkerhed er en høj prioritet for deres direktører eller ledende medarbejdere. Som følge af de højt profilerede databrud er der nu flere bestyrelser med sikkerhedseksperter. Når der opstår et databrud, kan en veluddannet bestyrelse støtte resten af organisationen i håndteringen af bruddet, sikre, at lovkrav opfyldes, og sikre, at der er et budget til rådighed til at håndtere bruddet og afbøde yderligere angreb.
Ved medarbejderne, hvad de skal gøre, når der sker et databrud?
At indføre foranstaltninger til håndtering af databrud er en hel forretningsopgave. En af de vigtigste dele af en effektiv håndtering af databrud er den måde, hvorpå du uddanner dit personale. Relevans er nøglen til at sikre, at hændelseshåndteringen fungerer for din organisation. Hver organisation skal udvikle sin egen relevante og unikke tilgang til rapportering og håndtering af et sikkerhedsbrud.
For at optimere opmærksomheden begynder man på det menneskelige og processuelle niveau. Alle aspekter, fra den mindste detalje til det store billede, skal være grundige nok til at sikre, at din politik for reaktion på hændelser er robust og forståelig for alle medarbejdere. Dette skal omfatte:
Kommunikation: Fra de anvendte telefonnumre til den e-mailadresse eller ethvert andet system, der anvendes til at rapportere et brud
Roller og ansvarsområder: Fremhævelse af de relevante hændelsesledere og deres ansvarsområder
Handlinger: Hvem gør hvad og hvornår, og hvordan de udfylder deres rolle i forbindelse med håndteringen af et databrud
Afhjælpning: Hvordan man retter op på bruddet og erfaringerne, herunder opdatering af sikkerhedsuddannelse
I større multinationale virksomheder skal disse kommunikationslinjer afspejle hele organisationen og bringe virksomhedens afdelinger og kontorer sammen.
Alle skal være med i denne plan, lige fra medarbejdere til ledere og bestyrelsesmedlemmer.
