6データ侵害後の禁止事項

ITセキュリティの維持と実施は、特にハウツーと進化するセキュリティトレンドなど、いくつかの角度から取り上げてきたものであり、確実に消化する必要がある情報です。 さらに、特にITグレードのエンドポイント保護ときめ細かなID管理およびアクセス制御手段を介して、サイバー攻撃から自身を保護および防御するための十分な設備を確保する必要があります。 しっかりしたテスト済みのデータバックアッププロセスも必須です。 残念ながら、データ侵害のプレイブックは変化し続けています。つまり、災害時の行動の一部は、有益であるだけでなく有害である可能性があります。 それがこの作品の出番です。

、システムが侵害されたことに気付いた企業は何を避けるべきかを話し合います。 セキュリティ会社や業界分析会社の複数の専門家に話を聞いて、サイバー攻撃を受けて発生する可能性のある落とし穴と災害シナリオをよりよく理解しました。

1.即興演奏しないでください

攻撃が発生した場合、最初の本能から状況を修正するプロセスを開始するように指示されます。 これには、標的にされたエンドポイントの保護や、攻撃者が使用するエントリポイントを閉じるために以前のバックアップに戻すことが含まれます。 残念ながら、以前に戦略を開発していなかった場合、攻撃後の性急な決定は状況を悪化させる可能性があります。

サイバーセキュリティソリューションプロバイダーのトレンドマイクロのクラウドリサーチ担当バイスプレジデントであるマーク・ヌニクホーフェンは、次のように述べています。 「インシデント対応計画の重要な部分は準備です。主要な連絡先は事前にマッピングし、デジタルで保存する必要があります。壊滅的な違反の場合はハードコピーで利用できるようにする必要があります。実行する必要があるのは、誰がどのアクションを担当し、誰がさまざまな応答を許可できるかを把握することです。」

データ保護サービス会社Trivalentの社長兼CEOであるErmis Sfakiyanudisは、このアプローチに同意しています。 彼は、企業が侵害に見舞われた後、企業が「驚かない」ことが重要だと言いました。 「データ侵害に備えた準備不足が企業に取り返しのつかない損害をもたらす可能性がある一方で、パニックや混乱も非常に有害な場合があります」と彼は説明しました。 「違反した企業がインシデント対応計画から逸脱しないことが重要です。これには、インシデントの疑われる原因を最初のステップとして特定する必要があります。たとえば、ランサムウェア攻撃の成功、システム上のマルウェア、ポートが開いているファイアウォール、古いソフトウェア、または意図しない内部関係者の脅威？次に、影響を受けたシステムを分離し、侵害の原因を根絶して、システムが危険な状態にないことを確認します。

Sfakiyanudis氏は、企業が頭を抱えているときに支援を求めることが重要であると述べました。 「社内調査の結果、違反が実際に発生したと判断した場合、フォールアウトの処理と軽減に役立つサードパーティの専門知識を取り入れてください」と彼は言いました。 「これには、弁護士、徹底的なフォレンジック調査を行うことができる外部調査員、および戦略を作成し、あなたに代わってメディアに伝えることができる広報およびコミュニケーションの専門家が含まれます。

「この統合された専門家のガイダンスにより、組織は混乱を通じて落ち着いた状態を保ち、データ侵害の原因となった脆弱性を特定し、問題が今後再発しないように修正し、影響を受ける顧客への対応が適切かつタイムリーであることを確認できますまた、弁護士と協力して、法執行機関に通知するかどうか、いつ通知するかを決定します。」

2.サイレントにしないでください

攻撃されたら、あなたの内側のサークルの外側に誰が何が起こったのかを知らないと考えるのは安心です。 残念ながら、ここでのリスクは見返りに値しません。 スタッフ、ベンダー、および顧客と通信して、アクセスされた内容、状況を改善するために行ったこと、および今後同様の攻撃が発生しないようにするための計画を全員に知らせる必要があります。 「自分の従業員を無視しないでください」と、Forrester Researchのセキュリティ&リスク担当シニアアナリスト、Heidi Sheyはアドバイスしました。 「イベントについて従業員と連絡を取り、従業員が違反について尋ねた場合の対処方法や発言についてガイダンスを提供する必要があります。」

Sheyは、Sfakiyanudisと同様に、広報チームの採用を検討して、応答の背後にあるメッセージを制御することをお勧めします。 これは、大規模で高額な消費者向けデータ侵害に特に当てはまります。 「理想的には、このようなプロバイダーをインシデント対応計画の一部として事前に特定して、対応を開始する準備を整えておく必要があります」と彼女は説明しました。

あなたが違反したことを公衆に通知することに積極的だからといって、それはあなたが野生の声明と宣言を出し始めることができるという意味ではありません。 たとえば、玩具メーカーVTechが侵害されたとき、子供の写真とチャットログにはハッカーがアクセスしました。 状況が悪化した後、玩具メーカーは利用規約を変更し、違反が発生した場合の責任を放棄しました。 言うまでもなく、顧客は満足していませんでした。 「責任を回避するのか、物語を制御するのかに関わらず、法的手段の後ろに隠れているように見たくないのです」とShey氏は言いました。 「侵害関連のコミュニケーションを支援するために、侵害対応および危機管理計画を立てる方がよいでしょう。」

3.虚偽または誤解を招く発言をしないでください

これは明らかなことですが、一般の人々に話しかけるときは、できるだけ正確かつ誠実になりたいと思うでしょう。 これはあなたのブランドにとっては有益ですが、サイバー保険ポリシーがあれば、どれだけのお金を回収できるかについても有益です。 「あなたが言っていることやあなたの声の意味を考慮せずに公的な声明を出さないでください」とヌニコベンは言った。

「それは本当に「洗練された」攻撃でしたか？それとしてそのラベルを付けたからといって必ずしもそれが正しいとは限りません」と彼は続けた。 「CEOは本当にこれを「テロ行為」と呼ぶ必要がありますか？除外を理解するために、サイバー保険ポリシーの細かい部分を読んでいますか？」

Nunnikhovenは、「強気ではなく、頻繁であり、実行されているアクションと実行する必要があるアクションを明確に示すメッセージ」を作成することをお勧めします。 状況を変えようとすると、事態を悪化させる傾向があると彼は言った。 「ユーザーが第三者からの侵害について耳にするとき、それはすぐに苦労して獲得した信頼を損なう」と彼は説明した。 「あなたがすでに活動しているすべてのチャンネルで簡潔なコミュニケーションの安定した流れで、状況の前に出て、前にいてください。」

4.カスタマーサービスを記憶する

データ侵害がオンラインサービス、顧客のエクスペリエンス、または顧客から問い合わせを送信する可能性があるビジネスの他の側面に影響を与える場合は、別個の重要な問題としてこれに焦点を合わせてください。 顧客の問題を無視したり、不運を利益に変えようとすることさえあっても、深刻なデータ侵害はすぐに悪夢のようなビジネスと収益の損失に変わります。

Equifax違反を例にとると、同社は当初、訴えない場合にのみ、1年間無料の信用報告ができると顧客に言っていました。 レポートを凍結するように依頼された場合、顧客に追加料金を請求したいときに、違反を利益センターに変えようとしました。 それは間違いであり、長期的に会社の顧客関係を傷つけました。 会社がすべきだったのは、顧客を最初に置き、無条件でも、すべての顧客に無条件で報告するだけで、顧客を安全に保つことへのコミットメントを強調することでした。

5.すぐにインシデントを閉じないでください

破損したエンドポイントを閉じました。 従業員と顧客に連絡しました。 すべてのデータを回復しました。 雲は別れ、太陽の光が机の上に降り注いでいます。 そんなに早くない。 危機は終わったかのように思えるかもしれませんが、ネットワークを積極的かつ積極的に監視し続けて、フォローアップ攻撃がないことを確認する必要があります。

「サービスの復旧と侵害後の復旧には大きなプレッシャーがあります」とヌニホベン氏は述べています。 「攻撃者が足場を獲得すると、ネットワーク内をすばやく移動するため、問題全体に対処したことを具体的に判断するのは困難です。組織が明確になるまで、勤勉で監視をより積極的に行うことが重要なステップです」

Sfakiyanudisはこの評価に同意します。 「データ侵害が解決され、通常の業務が再開された後、事前の侵害と同じテクノロジーと計画で十分であると想定しないでください」と彼は言いました。 「セキュリティ戦略に悪用されたギャップがあり、これらのギャップに対処した後でも、それ以上未来がないということではありません。データ保護へのより積極的なアプローチを進めるために、個人が役割を変更し、組織が合併や買収などによって進化するにつれて、計画も変更する必要があります。」

6.調査することを忘れないでください

「違反を調査するときは、すべてを文書化してください」とSfakiyanudis氏は述べています。 「インシデントに関する情報の収集は、違反の発生、影響を受けたシステムとデータ、および軽減または修復の対処方法を検証する上で重要です。データ収集と分析による調査結果を記録し、事後レビューに利用できるようにします。

「関係者全員にインタビューし、その回答を注意深く文書化してください」と彼は続けた。 「ディスクイメージを使用して詳細レポートを作成し、誰が、何を、どこで、いつ発生したかに関する詳細を作成することで、リスクの軽減またはデータ保護対策の新規または欠落を実装できます。」

そのような措置は、明らかに事後の法的結果に対するものですが、攻撃を調査する理由はそれだけではありません。 誰が責任を負い、誰が影響を受けたかを見つけることは、弁護士にとって重要な知識であり、確実に調査する必要があります。 しかし、どのように侵害が発生し、何が標的にされたかは、ITおよびセキュリティスタッフにとって重要な情報です。 境界線のどの部分を改善する必要があり、データのどの部分が（明らかに）井戸端にとって価値があるのか​​？ この事件に対するすべての貴重な角度を調査し、調査員が最初からそれを知っていることを確認してください。

会社があまりにも類似しているため、この分析を単独で実行できない場合は、外部チームを雇ってこの調査を実施することをお勧めします（Sfakiyanudisが前述したように）。 検索プロセスにも注意してください。 提供されたサービス、話しかけたベンダー、調査プロセスに満足しているかどうかに注意してください。 この情報は、ベンダーに固執するか、新しいベンダーを選択するか、会社が不運で2度目の侵害に遭った場合にこれらのプロセスを実行できる社内スタッフを雇うかどうかを判断するのに役立ちます。