Czy twoja procedura obsługi incydentu zawiera akcję wykrywania danych?

23.07.2021

Niezależnie od tego jak mocne są twoje wysiłki w dziedzinie bezpieczeństwa i prywatności danych, równie mocny plan reakcji na incydent jest konieczny. To istotne, żeby firmy nie tylko chroniły swoje dane, ale również odpowiednio szybko reagowały, kiedy już dojdzie do incydentu.

Organizacje działające sprawnie w takiej sytuacji mają większą szansę zminimalizować utratę danych,

ratując swoją reputację, szybciej naprawiając stan rzeczy i unikając wszelkich kar związanych z naruszeniem prawa określającego warunki powiadamiania o incydencie.

Jakkolwiek, są pewne kluczowe elementy efektywnego planu odpowiedzi na incydent, które bywają przeoczone – jednym z nich jest data discovery, czyli wykrywanie danych. Dalej w tekście – wszystko co potrzebujesz wiedzieć rozwijając lub aktualizując procedurę obsługi incydentu w twojej organizacji.

Na czym polega procedura obsługi incydentu?

Procedura obsługi incydentu dostarcza wskazówek działania w przypadku wystąpienia incydentu bezpieczeństwa danych. Podczas takiego incydentu twój zespół może łatwo wejść w „tryb kryzysowy”. Plan odpowiedzi na incydent pomaga twojemu zespołowi pozostać aktywnym dzięki dobrze przemyślanym procedurom ustalonym z wyprzedzeniem.

Rozwój wszechstronnego planu odpowiedzi na incydent wymaga czasu. Szczególnie teraz, przy nieustannie zmieniających się regulacjach prawa prywatności danych. To ważne, żeby stworzyć kompletny plan, który wskazuje kto jest odpowiedzialny za co, jakie akcje należy podjąć, jak udokumentować proces oraz raport z incydentu wraz z wnioskami na temat tego, jak zaktualizować plan oraz jakie zabezpieczenia wprowadzić, żeby ustrzec się w przyszłości przed podobnymi zdarzeniami.

4 główne elementy efektywnego planu odpowiedzi na incydent

1.     Zbierz zespół ekspertów

Powinieneś wyznaczyć członków zespołu, którzy posiadają wiedzę i kompetencję z różnych dziedzin włączając: IT, cyberbezpieczeństwo, operacje, kryminalistykę, prawo, zasoby ludzkie, komunikację, relacje partnerskie/inwestorskie oraz kadrę zarządzającą. Rozmiar zespołu zależy od zasobów twojej organizacji. Na przykład, w start-up’ie jedna osoba może być ekspertem od zasobów ludzkich, komunikacji i zarządzania. W większych firmach możesz mieć kilku ekspertów od danej dziedziny. Niezależnie od tego, powinieneś mieć wyznaczonych członków zespołu kryzysowego kompetentnych w wyżej wymienionych obszarach.

2.     Zabezpiecz przestrzeń fizyczną

Z całym obecnym trendem przechodzenia na chmurowy model przetwarzania danych, łatwo jest zapomnieć jak dużo danych wrażliwych fizycznie leży w przestrzeni biurowej. Jeśli zdarzy się incydent, dobrą intencją jest chronić fizyczne przestrzenie przechowujące serwery, hardware, stacje robocze, przenośną elektronikę i inne urządzenia, które mogą zawierać wrażliwą informację. Innym powodem dla ochrony tego sprzętu jest to, że może zawierać dowód przydatny w trwającym dochodzeniu.

3.     Odkryj które dane zostały ujawnione

Zanim naprawisz co zepsute lub podejmiesz akcję, w pierwszej kolejności musisz dowiedzieć się co zostało ujawnione w związku z incydentem. Przeprowadzenie wykrycia danych wrażliwych podpowie Ci co mogło zostać naruszone, a także kto miał dostęp do tych danych oraz gdzie się znajdowały. Uchwycenie tych podstaw jest istotne dla odpowiedniego zarządzenia incydentem i podjęcia właściwych kroków.

4.     Określ prawne zobowiązania

Zależnie od lokalnych przepisów, w obrębie których operuje twój biznes, a także żyją osoby dotknięte incydentem, spoczywa na tobie obowiązek ich poinformowania. Przepisy mogą określać jak szybko powinieneś ich powiadomić, w jakiej formie itd. Dlatego dobrze mieć w drużynie eksperta prawnego, który będzie w stanie zweryfikować konkretne wymagania, do których twój biznes musi się dostosować.

Przykładowa lista kontrolna wstępnej reakcji na naruszenie danych

Pierwsze parę godzin po odkryciu incydentu jest kluczowe. Łatwo popaść w panikę. Zamiast tego, twój plan reakcji powinien zawierać mapę kroków do wykonania na wstępie. Poniżej przykładowa lista kontrolna wstępnej reakcji na naruszenie:

  1. Powiadom swój zespół interwencyjny. Zebrałeś drużynę ekspertów z różnych komórek firmy, od zarządu, przez IT, do radcy prawnego. Powiadom wyznaczoną drużynę natychmiast, żeby wprawić w ruch plan.
  2. Chroń przestrzenie fizyczne. To znaczy zabezpiecz serwerownie i lokalizacje przechowujące stacje robocze, laptopy i komputery zawierające dane wrażliwe.
  3. Powstrzymaj dodatkową utratę danych. Natychmiast odłącz od sieci cały sprzęt i systemy, dokładnie monitoruj wszystkie punkty wejścia i wyjścia, a jeśli możliwe, odśwież autoryzacje użytkowników.
  4. Wszystko dokumentuj. W tym punkcie zawiera się np. zapis daty i czasu głównych zdarzeń, jak czasu, w którym odkryto incydent, kiedy ruszył plan zaradczy, kto został powiadomiony o naruszeniu danych, itd. Właściwa i dokładna dokumentacja jest krytyczna, szczególnie jeśli chodzi o wywiązanie się z zobowiązań prawnych.
  5. Oceń priorytety i ryzyka. Zbierz wszystko co wiesz na temat naruszenia i zdecyduj którym krokom nadać priorytet, zgodnie z potencjalnymi ryzykami.
  6. Rozpocznij dochodzenie. W tym momencie, twój zespół ds. bezpieczeństwa informatycznego powinien być na pokładzie, żeby wesprzeć przeprowadzenie dogłębnego śledztwa.

Dlaczego wykrycie danych jest istotne przy reagowaniu na incydent?

W Unii Europejskiej każdy kraj członkowski ma ustawę, która wdraża postanowienia Rozporządzenia UE 2016/679. Kiedy uporamy się z wymogami RODO, warto zwrócić uwagę także na lokalną specyfikę praw, np. określającą czas na powiadomienie urzędu i poszkodowanych o incydencie.

W przypadku naruszenia wykrywanie danych jest istotnym i często przeoczonym krokiem. Dzięki przeprowadzeniu wykrywania danych, twój zespół zdobywa pełne rozumienie tego, które dane wyciekły, jak duża ich część podlega naruszeniu, kto ma dostęp do danych, i gdzie dane są zlokalizowane.

Bez szczegółowego zeznania, jest to prawie niemożliwe by efektywnie powiadomić o naruszeniu, szczególnie gdy jesteśmy zobowiązani przez rygorystyczne prawa w tym zakresie, jak np. w stanie Kalifornia, Delaware czy Illinois.

Popraw swoją procedurę obsługi incydentu wraz z narzędziami do wykrywania danych

Podejmowanie właściwych kroków jest zdradliwe, kiedy nie masz pełnego obrazka zdarzenia – które dane uległy naruszeniu, gdzie leżą, kto ma do nich dostęp. Narzędzie DCM jest w stanie znaleźć wrażliwe dane, gdziekolwiek się znajdują, niezależnie czy w chmurze, czy lokalnie. Nie ma organizacji w 100 procentach odpornej na cyberataki czy naruszenia danych, i dlatego plany reakcji powinny być zaprojektowane tak, żeby wykrywanie, naprawa i powiadomienie były elementami płynnego procesu. By dowiedzieć się jak DCM może wzmocnić twoją procedurę obsługi incydentu, skontaktuj się z nami.

Incydent
M3M
M3M
blog