En plan för hantering av dataintrång garanterar att rätt personal och rutiner finns på plats för att effektivt hantera ett hot.
Föreställ dig paniken när ett omfattande dataintrång upptäcks, kanske ett som har pågått i flera månader. År 2017 varnade Equifax världen för stölden av flera miljoner dataregister som fanns under dess vakt.
Stölden inleddes genom en sårbarhet i Apache Struts, ett allmänt använt utvecklingsramverk. Equifax kände till sårbarheten, men den anställde som hade till uppgift att åtgärda den gjorde det inte. En rad olyckliga händelser följde, bland annat att patchsökarna inte lyckades hitta ytterligare flera sårbarheter, vilket förvärrades av flera mänskliga brister hos operatörerna.
Equifax har sedan dess spenderat cirka 1,4 miljarder dollar (1 miljard pund ) på att uppgradera sin säkerhet. Företaget fick också böter på en halv miljon pund av Storbritanniens informationskommissionärsbyrå (ICO), och Equifax före detta informationsdirektör dömdes till fyra månaders fängelse för att ha utnyttjat intrånget för personlig vinning. Equifax dataintrång var en mardröm för företag.
Genom att "gå en mil i någon annans skor" kan vi förstå hur varje del av en organisation effektivt hanterar hanteringen av dataintrång. Genom att reflektera över hur varje avdelning kan bidra till att de-eskalera den kedja av händelser som leder till ett dataintrång kan dataexponeringen hanteras mer effektivt.
Hur och varför hantering av dataintrång
Dataintrång påverkar alla i en organisation. På samma sätt kan alla bidra till att förhindra eller minimera konsekvenserna av ett dataintrång. Nedan beskrivs de olika ansvarsområdena för fem nyckelområden i en organisation och vilken typ av ansvar de har för att hantera ett dataintrång.
Gruppen för säkerhetsincidenter
Hantering och förebyggande av dataintrång är huvuddelen av säkerhetsgruppen för incidenter. Detta team har blivit alltmer påkallat i takt med att dataintrång ökar i antal och intensitet. Deras roll är central för hanteringen av ett dataintrång och teamet förlitar sig på en robust process för att hjälpa dem i denna uppgift. Säkerhetsgruppen bör kunna vända sig till en incidenthanteringsplan och en katastrofåterställningsplan för att få hjälp med att begränsa intrånget. Dessa planer hjälper till att informera om åtgärder när ett intrång har inträffat.
Typiska steg i begränsning och hantering av överträdelser är följande:
Bekräfta överträdelsen
Det kan tyckas vara en självklarhet, men bekräfta att intrånget har inträffat och om det påverkar konfidentiella eller känsliga uppgifter. De uppgifter som samlas in under analysen av överträdelsen kommer att användas om överträdelsen är tillräckligt allvarlig för att en tillsynsmyndighet ska behöva underrättas. Information som bör samlas in och dokumenteras är bland annat följande:
- Hur intrånget upptäcktes
- Var den inträffade
- Vem påverkas (inkludera eventuella ekosystemleverantörer).
- Vem som rapporterade överträdelsen
- Datum då eventuella överträdelser inträffade.
- Vilken risknivå brottet utgör för organisationen/kunderna etc.
- Är överträdelsen nu helt begränsad?
Hur inträffade överträdelsen?
En analys av brottet behövs inte bara av efterlevnadsskäl, utan kan också bidra till att minska framtida dataexponering. Dynamiken i samband med överträdelser är varierande. Uppgifter kan exponeras genom en mängd olika mekanismer, både oavsiktliga och illasinnade. Identifiera dessa mekanismer: var det en oavsiktlig exponering av en anställd eller en illvillig hackning? Genom att förstå de vektorer och taktiker som används kan man lindra exponeringen och mildra angreppet.
Vilken typ av uppgifter som berörs.
Att kunna identifiera risknivån för de data som påverkas är avgörande både för anmälan av brott och efterlevnad, och för att förstå den övergripande effekten på verksamheten. Dokumentera typ och risknivå för de data som har blivit utsatta för intrång. En organisation bör redan ha utvecklat ett klassificeringssystem baserat på en standard som ISO 27001. I denna standard fastställs fyra kategorier av uppgifter:
- Konfidentiellt (endast den högsta ledningen har tillgång till det)
- Begränsad (de flesta anställda har tillgång)
- Internt (alla anställda har tillgång)
- Offentlig information (alla har tillgång till den)
Inneslutning och återvinning
När ett intrång väl har upptäckts är det viktigt att begränsa intrånget så snabbt som möjligt. De åtgärder som vidtas under analysen av intrånget gör det möjligt att skapa en strategi för att begränsa intrånget. Vid överträdelser där anställda är inblandade kan det bli nödvändigt att se över utbildningen i säkerhetsmedvetenhet. Vid överträdelser som involverar externa hackare måste systemen och de begränsande åtgärderna undersökas ytterligare. Planer för återställning måste upprättas för att minimera konsekvenserna av intrånget.
Juridik och efterlevnad
Alla dokument som samlats in om överträdelsen används av de juridiska avdelningarna och efterlevnadsavdelningarna för att hantera följderna av överträdelsen. De juridiska avdelningarna och efterlevnadsavdelningarna avgör om överträdelsen omfattas av ett krav på anmälan om överträdelse; till exempel måste en anmälan om överträdelse enligt avsnitt 67 i Storbritanniens dataskyddslag från 2018 (DPA 2108) göras till ICO inom 72 timmar efter det att företaget har fått kännedom om överträdelsen. Alla dokumenterade bevis om brottet, var, varför och hur det har begränsats, som samlats in av säkerhetsteamet, kommer att användas i detta offentliggörande. Det kan också finnas ett krav på att avslöja överträdelsen för alla som berörs. Detta kan kräva ett fullständigt brev om offentliggörande som publiceras på företagets webbplats.
Regler för anmälan
Nyckeln till den lagliga hanteringen av ett dataintrång är att fatta ett välgrundat beslut om huruvida och när man ska meddela tillsynsmyndigheten om intrånget. Frågor som om det finns ett lagstadgat krav på att rapportera överträdelsen kan endast besvaras av kvalificerad och kunnig personal. Detta beslut kan kräva att överträdelsen offentliggörs: detta har uppenbara långvariga effekter på anseendet och kommer troligen att involvera marknadsavdelningen för att minimera varumärkets inverkan. Här är några exempel på offentliga meddelanden om överträdelser:
Reglerna för anmälan av överträdelser varierar mellan olika bestämmelser. Enligt EU:s allmänna dataskyddsförordning (GDPR) måste till exempel anmälan om brott göras inom 72 timmar efter det att man har upptäckt att ett brott har inträffat. Enligt Privacy and Electronic Communications Regulations (PECR, en förordning som tillämpas på internet- och teletjänsteleverantörer) måste dock en personuppgiftsincident rapporteras till ICO senast 24 timmar efter upptäckten.
Personalen
Genom att göra personalen delaktig i processen för hantering av överträdelser blir de en frontlinje i kampen mot cyberattacker. Personal och säkerhet täcker ett brett spektrum av potentiella sårbarheter, från oavsiktlig dataexponering till nätfiske och samverkan med externa hackare.
Enligt Verizons rapport Data Breach Investigation Report 2020 (DBIR) kan cirka 17 % av dataskadorna spåras tillbaka till fel. Till exempel är det dålig säkerhetspraxis att anställda delar lösenord eller återanvänder lösenord i flera olika applikationer.
Phishing är fortfarande cyberkriminellas favoritvapen, och de älskar att efterlikna varumärken som Microsoft för att lura användare att lämna ut företagsuppgifter. Utbildning i säkerhetsmedvetenhet lär de anställda om de många positiva sätt på vilka de kan bidra till att upprätthålla en god säkerhetsställning på företaget.
När det gäller hantering av överträdelser måste personalens medvetenhet omfatta en förståelse för deras ansvar inom ramen för olika bestämmelser, t.ex. att se till att kunduppgifter respekteras och används inom ramen för lagstiftning som DPA 2018 och GDPR. Genom att förstå var en överträdelse kan inträffa, tillsammans med ansvarsområden enligt olika relevanta förordningar, kan en organisation samarbeta med personalen i processen för hantering av överträdelser.
Det är dock viktigt att utbilda personalen på lämplig nivå. Viss personal, t.ex. teknisk personal, kan behöva specialiserad säkerhetsutbildning och/eller certifiering.
Nyanställda måste delta i organisationens utbildningsprogram för säkerhetsmedvetenhet från första dagen. Regelbundna översyner av personalens utbildning i säkerhetsmedvetenhet på områden som t.ex:
- Phishing
- Säkerhetshygien
- Medvetenhet om ansvar för datasäkerhet
...bör vara fortlöpande för att förbli effektiv.
Utbildning i säkerhetsmedvetenhet bör införlivas i företagets säkerhetspolicy som en del av processen för hantering av dataintrång.
Tredjepartsleverantörer
Leverantörernas ekosystem kan vara komplexa och innefatta fjärde och femte parter. I en nyligen publicerad rapport från Accenture, "State of Cyber Resilience 2020", konstateras att 40 % av säkerhetsbrotten börjar med indirekta attacker på leverantörskedjans nivå. Riskhantering för leverantörer är en del av en effektiv hantering av dataintrång. Leverantörsrelaterade dataintrång är en dubbelriktad fråga. Förutom att utföra en sårbarhetsanalys av leverantörslänkarna för att begränsa cyberattacker måste leverantörsekosystemet analyseras när ett intrång inträffar för att se om intrånget påverkar leverantören.
Styrelsen
En rapport från UK Gov "Cyber Security Breaches Survey 2021" visar att 77 % av företagen anser att cybersäkerhet är en hög prioritet för deras direktörer eller högre chefer. Som ett resultat av de uppmärksammade dataintrång som skett har fler styrelser nu tagit med experter på säkerhetsområdet i sina styrelser. När ett dataintrång inträffar kan en välutbildad styrelse stödja resten av organisationen när det gäller att hantera intrånget, se till att lagstadgade krav uppfylls och se till att en budget finns tillgänglig för att hantera intrånget och mildra effekterna av ytterligare attacker.
Vet de anställda vad de ska göra vid dataintrång?
Att införa åtgärder för hantering av dataintrång är en hel affärsuppgift. En av de viktigaste delarna i en effektiv hantering av dataintrång är hur du utbildar din personal. Relevans är nyckeln till att säkerställa att incidenthanteringen fungerar för din organisation. Varje organisation måste utveckla sitt eget relevanta och unika tillvägagångssätt för att rapportera och hantera en säkerhetsöverträdelse.
För att optimera medvetenheten börjar man på person- och processnivå. Varje aspekt, från den minsta detalj till den stora bilden, måste vara tillräckligt grundlig för att säkerställa att din policy för incidenthantering är robust och begriplig för all personal. Detta måste omfatta följande:
Kommunikationer: Från telefonnummer till e-postadresser eller andra system som används för att rapportera en överträdelse.
Roller och ansvarsområden: Uppmärksamma de relevanta incidenthanterarna och deras ansvarsområden.
Åtgärder: Vem som gör vad och när och hur de utför sin roll för att hjälpa till att hantera ett dataintrång.
Avhjälpande: Hur man åtgärdar brottet och vilka lärdomar man dragit av det, inklusive uppdatering av utbildning i säkerhetsmedvetenhet.
I större multinationella företag måste dessa kommunikationslinjer återspegla hela organisationen och sammanföra företagets avdelningar och kontor.
Alla måste vara delaktiga i planen, från anställda till chefer och styrelsemedlemmar.
