Ein Plan für das Management von Datenschutzverletzungen stellt sicher, dass das richtige Personal und die richtigen Verfahren vorhanden sind, um einer Bedrohung wirksam zu begegnen.
Stellen Sie sich die Panik vor, wenn eine massive Datenpanne entdeckt wird, die vielleicht schon seit Monaten andauert. Im Jahr 2017 alarmierte Equifax die Welt über den Diebstahl von mehreren Millionen Datensätzen, die unter seiner Aufsicht standen.
Der Diebstahl wurde durch eine Sicherheitslücke in Apache Struts, einem weit verbreiteten Entwicklungs-Framework, ausgelöst. Equifax wusste von der Schwachstelle, aber der Mitarbeiter, der sie schließen sollte, hat dies nicht getan. In der Folge kam es zu einer Reihe unglücklicher Ereignisse, darunter das Versagen von Patch-Scannern bei der Suche nach weiteren Sicherheitslücken, die durch mehrere menschliche Versäumnisse noch verschlimmert wurden.
Equifax hat seitdem rund 1,4 Milliarden Dollar (1 Milliarde Pfund) für die Verbesserung seiner Sicherheit ausgegeben. Das Unternehmen wurde außerdem vom britischen Information Commissioner's Office (ICO) zu einer Geldstrafe von einer halben Million GBP verurteilt, und der Ex-CIO von Equifax wurde zu einer viermonatigen Haftstrafe verurteilt, weil er die Datenschutzverletzung zur persönlichen Bereicherung genutzt hatte. Die Datenpanne bei Equifax war der Stoff, aus dem die Albträume von Unternehmen sind.
Indem wir "eine Meile in den Schuhen eines anderen laufen", können wir verstehen, wie jeder Teil einer Organisation effektiv mit dem Management von Datenschutzverletzungen umgeht. Indem wir darüber nachdenken, wie jede Abteilung dazu beitragen kann, die Kette von Ereignissen, die zu einer Datenschutzverletzung führen, zu deeskalieren, kann die Datenexposition effektiver gehandhabt werden.
Das Wie und Warum von Data Breach Management
Datenschutzverletzungen betreffen jeden in einer Organisation. Umgekehrt kann jeder dazu beitragen, die Auswirkungen einer Datenschutzverletzung zu verhindern oder zu minimieren. Im Folgenden werden die verschiedenen Verantwortlichkeiten von fünf Schlüsselbereichen in einer Organisation und die Art der Verantwortlichkeiten bei der Bewältigung einer Datenschutzverletzung erläutert.
Das Team für Sicherheitsvorfälle
Das Management und die Prävention von Datenschutzverletzungen sind die Hauptaufgaben des Teams für Sicherheitsvorfälle. Mit der zunehmenden Zahl und Intensität von Datenschutzverletzungen wird dieses Team immer häufiger in Anspruch genommen. Seine Rolle ist von zentraler Bedeutung für die Bewältigung einer Datenschutzverletzung, und das Team ist auf ein solides Verfahren angewiesen, das ihm bei dieser Aufgabe hilft. Das Sicherheitsteam sollte in der Lage sein, auf einen Notfallplan und einen Notfallwiederherstellungsplan zurückzugreifen, um die Verletzung einzudämmen. Diese Pläne helfen bei der Festlegung von Maßnahmen, wenn es zu einer Sicherheitsverletzung kommt.
Typische Schritte zur Eindämmung und Bewältigung von Sicherheitsverletzungen sind:
Bestätigen Sie den Verstoß
Es mag offensichtlich erscheinen, aber bestätigen Sie, dass die Sicherheitsverletzung stattgefunden hat und ob sie sich auf vertrauliche oder sensible Daten auswirkt. Die bei der Analyse der Sicherheitsverletzung gesammelten Daten werden herangezogen, wenn die Sicherheitsverletzung schlimm genug ist, um eine Aufsichtsbehörde zu benachrichtigen. Zu den Informationen, die gesammelt und dokumentiert werden sollten, gehören:
- Wie die Sicherheitsverletzung entdeckt wurde
- Wo es geschah
- Wer ist betroffen (einschließlich aller Ökosystem-Anbieter)
- Wer hat den Verstoß gemeldet?
- Das Datum/die Daten der Verstöße
- Welches Risiko die Verletzung für die Organisation/Kunden usw. darstellt.
- Ist die Sicherheitslücke nun vollständig geschlossen?
Wie kam es zu dem Verstoß?
Eine Analyse der Sicherheitsverletzung ist nicht nur aus Gründen der Einhaltung von Vorschriften erforderlich, sondern kann auch dazu beitragen, künftige Datenrisiken zu minimieren. Die Dynamik von Sicherheitsverletzungen ist vielfältig. Daten können durch eine Vielzahl von zufälligen und böswilligen Mechanismen offengelegt werden. Identifizieren Sie diese Mechanismen: Wurden die Daten versehentlich von Mitarbeitern preisgegeben oder wurden sie böswillig gehackt? Das Verständnis der verwendeten Vektoren und Taktiken kann dazu beitragen, die Gefährdung zu mindern und den Angriff zu entschärfen.
Die Art der betroffenen Daten
Die Identifizierung des Risikoniveaus der betroffenen Daten ist sowohl für die Meldung von Sicherheitsverletzungen und die Einhaltung von Vorschriften als auch für das Verständnis der Gesamtauswirkungen auf das Unternehmen entscheidend. Dokumentieren Sie die Art und den Risikograd der verletzten Daten. Ein Unternehmen sollte bereits ein Klassifizierungssystem auf der Grundlage einer Norm wie ISO 27001 entwickelt haben. Diese Norm legt vier Datenkategorien fest:
- Vertraulich (nur leitende Angestellte haben Zugang)
- Eingeschränkt (die meisten Mitarbeiter haben Zugang)
- Intern (alle Mitarbeiter haben Zugang)
- Öffentliche Informationen (jeder hat Zugang)
Eingrenzung und Wiederherstellung
Sobald eine Sicherheitsverletzung entdeckt wurde, ist es wichtig, diese so schnell wie möglich einzudämmen. Die Maßnahmen, die während der Analyse der Sicherheitsverletzung ergriffen werden, ermöglichen die Ausarbeitung einer Strategie zur Eindämmung. Verstöße, die Mitarbeiter betreffen, erfordern möglicherweise eine Überprüfung der Sicherheitsschulung. Bei Verstößen, an denen externe böswillige Hacker beteiligt sind, müssen die Systeme und Abhilfemaßnahmen weiter untersucht werden. Es müssen Wiederherstellungspläne aufgestellt werden, um die Auswirkungen der Sicherheitsverletzung zu minimieren.
Recht und Compliance
Die Rechts- und Compliance-Abteilungen verwenden alle gesammelten Belege für die Datenschutzverletzung, um die Folgen der Verletzung zu bewältigen. Die Rechts- und Compliance-Teams entscheiden, ob die Sicherheitsverletzung unter die Meldepflicht fällt; so muss beispielsweise gemäß Abschnitt 67 des britischen Datenschutzgesetzes von 2018 (DPA 2108) innerhalb von 72 Stunden, nachdem das Unternehmen von der Sicherheitsverletzung Kenntnis erlangt hat, eine Meldung über die Sicherheitsverletzung an die ICO erfolgen. Alle vom Sicherheitsteam gesammelten dokumentierten Beweise über die Verletzung, das Wo und Warum und die Art und Weise, wie sie abgemildert wurde, werden in dieser Offenlegung verwendet. Es kann auch erforderlich sein, die Verletzung gegenüber allen Betroffenen offenzulegen. Dies kann ein vollständiges Offenlegungsschreiben erfordern, das auf der Website des Unternehmens veröffentlicht wird.
Regeln für die Notifizierung
Entscheidend für den rechtlichen Umgang mit einer Datenschutzverletzung ist eine fundierte Entscheidung darüber, ob und wann die Aufsichtsbehörde über die Verletzung informiert werden soll. Fragen wie die, ob eine Meldepflicht besteht, können nur von qualifizierten, sachkundigen Mitarbeitern entschieden werden. Diese Entscheidung kann es erforderlich machen, dass die Sicherheitsverletzung öffentlich gemacht wird: Dies hat offensichtlich lang anhaltende Auswirkungen auf den Ruf und wird wahrscheinlich die Marketingabteilung einbeziehen, um die Auswirkungen auf die Marke zu minimieren. Hier sind einige Beispiele für öffentliche Mitteilungen über Datenschutzverletzungen:
Die Regeln für die Meldung von Datenschutzverletzungen variieren von Verordnung zu Verordnung. Nach der Allgemeinen Datenschutzverordnung der EU (GDPR) beispielsweise muss die Benachrichtigung über eine Datenschutzverletzung innerhalb von 72 Stunden nach Feststellung der Verletzung erfolgen. Nach der Verordnung über den Schutz der Privatsphäre und der elektronischen Kommunikation (Privacy and Electronic Communications Regulations, PECR, eine Verordnung, die für Internet- und Telekommunikationsdienstleister gilt) muss eine Verletzung des Schutzes personenbezogener Daten jedoch spätestens 24 Stunden nach der Entdeckung an die ICO gemeldet werden.
Das Personal
Indem man die Mitarbeiter in den Prozess des Verstoßmanagements einbezieht, werden sie zu einer wichtigen Ressource bei der Bekämpfung von Cyberangriffen. Personal und Sicherheit decken ein breites Spektrum potenzieller Schwachstellen ab, von der versehentlichen Datenpreisgabe über Phishing bis hin zu geheimen Absprachen mit externen Hackern.
Laut dem Data Breach Investigation Report 2020 (DBIR) von Verizon lassen sich rund 17 % der Datenschutzverletzungen auf einfache Fehler zurückführen. Beispielsweise ist die gemeinsame Nutzung von Passwörtern durch Mitarbeiter oder die Wiederverwendung von Passwörtern für mehrere Anwendungen eine schlechte Sicherheitspraxis.
Phishing ist nach wie vor die bevorzugte Waffe der Cyberkriminellen; Phisher imitieren gerne Marken wie Microsoft, um Benutzer zur Herausgabe von Unternehmensdaten zu verleiten. In Schulungen zum Sicherheitsbewusstsein lernen die Mitarbeiter die vielen positiven Möglichkeiten kennen, mit denen sie zur Aufrechterhaltung einer guten Sicherheitslage des Unternehmens beitragen können.
In Bezug auf das Management von Datenschutzverletzungen muss das Bewusstsein der Mitarbeiter so weit reichen, dass sie ihre Verantwortlichkeiten im Rahmen der verschiedenen Vorschriften verstehen, z. B. dass sie sicherstellen müssen, dass Kundendaten innerhalb der Grenzen von Rechtsvorschriften wie DPA 2018 und GDPR respektiert und verwendet werden. Wenn eine Organisation versteht, wo eine Datenschutzverletzung auftreten könnte, und die Verantwortlichkeiten im Rahmen verschiedener einschlägiger Vorschriften kennt, kann sie ihre Mitarbeiter in den Prozess des Verstoßmanagements einbinden.
Es ist jedoch wichtig, das Personal auf dem entsprechenden Niveau zu schulen. Einige Mitarbeiter, wie z. B. technische Angestellte, benötigen möglicherweise eine spezielle Sicherheitsschulung und/oder müssen sich zertifizieren lassen.
Neu eingestellte Mitarbeiter müssen vom ersten Tag an in die Schulungsprogramme für dasSicherheitsbewusstsein des Unternehmens eingebunden werden. Regelmäßige Überprüfung der Sicherheitsschulung des Personals in Bereichen wie:
- Phishing
- Sicherheitshygiene
- Bewusstsein für die Verantwortung im Bereich der Datensicherheit
...sollten kontinuierlich durchgeführt werden, um wirksam zu bleiben.
Die Schulung des Sicherheitsbewusstseins sollte in die Sicherheitsrichtlinien des Unternehmens als Teil eines Verfahrens zum Umgang mit Datenschutzverletzungen aufgenommen werden.
Anbieter von Drittanbietern
Lieferanten-Ökosysteme können komplex sein und vierte und fünfte Parteien einbeziehen. Ein aktueller Bericht von Accenture mit dem Titel "State of Cyber Resilience 2020" zeigt, dass 40 % der Sicherheitsverletzungen mit indirekten Angriffen auf der Ebene der Lieferkette beginnen. Das Risikomanagement von Lieferanten ist Teil des effektiven Managements von Datenschutzverletzungen. Datenschutzverletzungen durch Lieferanten sind eine zweiseitige Angelegenheit. Neben der Durchführung einer Schwachstellenanalyse der Lieferantenverbindungen zur Eindämmung von Cyberangriffen muss im Falle eines Verstoßes auch das Lieferanten-Ökosystem analysiert werden, um festzustellen, ob sich der Verstoß auf den Lieferanten auswirkt.
Der Vorstand
Ein Bericht der britischen Regierung mit dem Titel "Cyber Security Breaches Survey 2021" ergab, dass 77 % der Unternehmen der Meinung sind, dass die Cybersicherheit für ihre Direktoren oder leitenden Angestellten eine hohe Priorität hat. Infolge der Bekanntheit von Datenschutzverletzungen sind in immer mehr Aufsichtsräten Sicherheitsexperten vertreten. Wenn es zu einem Datenschutzverstoß kommt, kann ein geschulter Vorstand das restliche Unternehmen bei der Bewältigung des Verstoßes unterstützen, sicherstellen, dass die gesetzlichen Anforderungen erfüllt werden und ein Budget zur Bewältigung des Verstoßes und zur Abwehr weiterer Angriffe zur Verfügung steht.
Wissen die Mitarbeiter, was bei einer Datenpanne zu tun ist?
Die Einführung von Maßnahmen zum Schutz vor Datenschutzverletzungen ist eine Aufgabe für das gesamte Unternehmen. Einer der wichtigsten Aspekte für ein wirksames Management von Datenschutzverletzungen ist die Art und Weise, wie Sie Ihre Mitarbeiter schulen. Relevanz ist der Schlüssel, um sicherzustellen, dass das Management von Datenschutzverletzungen in Ihrem Unternehmen funktioniert. Jede Organisation muss ihren eigenen relevanten und einzigartigen Ansatz für die Meldung und das Management einer Sicherheitsverletzung entwickeln.
Die Optimierung des Bewusstseins beginnt auf der Ebene der Mitarbeiter und Prozesse. Jeder Aspekt, vom kleinsten Detail bis hin zum großen Ganzen, muss gründlich genug sein, um sicherzustellen, dass Ihre Strategie zur Reaktion auf Vorfälle robust und für alle Mitarbeiter verständlich ist. Dies muss Folgendes umfassen:
Kommunikation: Von den verwendeten Telefonnummern bis zur E-Mail-Adresse oder jedem anderen System, das zur Meldung eines Verstoßes verwendet wird
Rollen und Verantwortlichkeiten: Hervorhebung der zuständigen Vorfallmanager und ihrer Verantwortlichkeiten
Maßnahmen: Wer macht was und wann und wie sie ihre Rolle bei der Bewältigung einer Datenschutzverletzung wahrnehmen
Wiedergutmachung: Wie die Sicherheitsverletzung behoben wird und welche Lehren daraus gezogen werden, einschließlich einer Aktualisierung der Sicherheitsschulung
In größeren multinationalen Unternehmen müssen diese Kommunikationslinien die gesamte Organisation widerspiegeln und die Abteilungen und Büros des Unternehmens zusammenführen.
Alle müssen sich an diesem Plan beteiligen, von den Mitarbeitern über die Führungskräfte bis hin zu den Vorstandsmitgliedern.
