Reakcia na incident

Dokonca, aj keď prijmeme všetky preventívne opatrenia, môžu sa nastať incidenty. Byť pripravený reagovať premyslene a komplexným spôsobom zníži riziká pre vaše podnikanie a zašle pozitívny signál svojim zákazníkom a zamestnancom. Plánovanie reakcie je preto rozhodujúce.

Ak dôjde k strate informácií, môže dôjsť aj k určitým právnym záväzkom vo vašom štáte v závislosti od štátu (štátov), v ktorom pôsobíte, a od veľkosti straty údajov. V niektorých odvetviach, ako napríklad zdravotná starostlivosť, môžete podliehať iným zákonom a predpisom týkajúcim sa straty údajov.

Je pravdepodobné, že akékoľvek porušenie údajov alebo počítačový incident si bude vyžadovať účasť viacerých vašich kľúčových zamestnancov, konzultantov alebo predajcov, vrátane právnych vzťahov, či vzťahov s verejnosťou a účasťkomunikácie a IT.

Dobrá správa je, že príprava reakcie na kybernetický incident je podobná príprave na ďalšie udalosti, ktoré by mohli mať vplyv na vaše podnikanie, ako sú prírodné alebo človekom spôsobené katastrofy. Vybudovanie reakcie na počítačové incidenty môže využiť ďalšie vaše operačné znalosti a skúsenosti.

Budete musieť byť pripravení na:

Vyriešenie problému (napr. Opravte svoju sieť, obnovte údaje)
Identifikáciu, čo bolo stratené a kto bol zasiahnutý
Pokračovanie v práci, zatiaľ čo sú problémy odstránené
Komunikáciu so zainteresovanými stranami (napr. Zákazníkmi, zamestnancami a možno aj širokou verejnosťou)
Dodržiavanie platných zákonov
Nahlasovanie príslušným orgánom

Vyriešte problém

V mnohých prípadoch budete vedieť, že došlo k incidentu skôr, ako viete, ako sa to stalo. Môžete zistiť, že ste stratili záznamy alebo že vaše systémy už nefungujú. Jedným z vašich prvých snáh bude vyriešiť pôvodný problém a uistiť sa, že systémy alebo problémy sú opravené, takže útok už nebude pokračovať.

Identifikujte, čo bolo stratené

Nemôžete úplne posúdiť, čo robiť, kým neviete, čo bolo stratené a aký je dopad tejto straty. Riešenie okamžitých potrieb by však malo byť prioritou. Napríklad, ak kybernetickí zločinci ukradli peniaze z bankového účtu spoločnosti, môže byť prvou snahou oznámenie banke, zmena poverenia (napr. hesla) a kontrola účtov ohľadom ďalších strát. Dôkladnosť je dôležitá. Nie je nezvyčajné myslieť si, že viete, čo bolo stratené, a neskôr zistiť, že sa stratilo viac informácií a počet ľudí, ktorých sa to dotklo, je väčší, než sa prvýkrát odhadlo.

Pokračujte v práci

V ideálnom prípade by ste chceli reagovať na kybernetickú udalosť zmierňovaním dôsledkov na vašu schopnosť udržať podnikanie v prevádzke. Preto je plánovanie nesmierne dôležité. Musíte vedieť, ako pristupovať k informáciám, ak by boli vaše systémy nefunkčné. Na základe typu vašej firmy by niektoré z nich mohli byť:

Objednávka
Komunikácia zákazníkov a zamestnancov
Elektronické alebo iné platby
Sledovanie inventára
Posielanie zamestnancov na pracovné miesta
Údaje o zákazníkoch
Kalendáre schôdzok

Komunikácia

Ako budete komunikovať po kybernetickej udalosti, zanecháva trvalý dojem. Urobte to profesionálne a ľudia si to budú pamätať. Urobte to zle a ľudia si to určite pamätajú. Ako, kedy a čo komunikovať, sa robí na základe jednotlivých prípadov. Niektoré spoločnosti čakajú s informovaním až pokiaľ nezistia všetko o incidente, iné sa rozhodnú informovať ľudí okamžite. Veľa bude závisieť od toho, kto je ovplyvnený a ako môže zmeniť interakciu s vašou firmou. Napríklad, ak je online objednávanie nefunkčné a musíte prejsť na systém hovorov, bude to musieť byť oznámené ihneď. Prípadne, ak chcete byť schopní osloviť súčasných a bývalých zákazníkov, ktorí môžu byť postihnutí a poskytnúť čo najviac informácií o tom, čo sa stalo a ako im pomôžete, možno budete potrebovať trochu času.

Rozhodnutia o komunikácii by sa mali robiť s PR/ komunikačným a právnym oddelením s odbornými znalosťami, aby sa zabezpečilo, že vaše informovanie je primerané a čo hovoríte, že spĺňa všetky zákonné požiadavky.

Nahlasovanie

Po konzultácii s vašimi právnymi poradcami, IT a komunikačnými tímami sa budete chcieť rozhodnúť, či a komu podáte správu o počítačovej udalosti. Množstvo firiem rutinne nahlasuje udalosti z niekoľkých dôvodov ako napríklad, ak ste boli napadnutí, je pravdepodobné, že iní môžu podliehať rovnakému útoku a vaše informácie môžu pomôcť zabrániť iným a/ alebo dôkazy z vášho útoku by mohli pomôcť pri vyšetrovaní a stíhaní zločincov.

(Autor: National Cyber Security Alliance, publikované na základe Public License, preklad GOV CERT SK)

Dátum prvého zverejnenia 10. 1. 2018. Posledná aktualizácia 10. 1. 2018 19:33

Reakcia na incident

SK-CERT Bezpečnostné varovanie V20250520-08

SK-CERT Bezpečnostné varovanie V20250520-07

SK-CERT Bezpečnostné varovanie V20250520-06