İhlal yanıtınızı planlama

Bir veri ihlali şirketinizi kritik bir süre, bazen de sonsuza dek durdurabilir; finansal geleceğinizi kesinlikle tehlikeye atabilir ve bazı durumlarda sizi hapse bile sokabilir. Ancak bunların hiçbiri olmak zorunda değildir, çünkü doğru bir şekilde plan yaparsanız, sen ve şirketiniz bazen birkaç dakika içinde iyileşebilir ve işinize devam edebilirsiniz. Nihayetinde her şey planlamaya bağlı.

Geçen hafta, veri ihlali için nasıl hazırlanacağını tartıştık. Bunu ihlal etmeden önce yaptığını varsayarsak, sonraki adımların oldukça basit. Ancak bu hazırlık adımlarından biri bir plan oluşturmak ve sonra onu test etmekti. Ve evet, bu önemli miktarda iş gerektirecek.

Fark, herhangi bir ihlalden önce yapılan önceden planlama yapılması, zararı en aza indirmeyi amaçlamaktadır. İhlalden sonra, planın geri kazanım sürecine odaklanması ve sonrasında varsayarak varsayımdan sonraki sorunların ele alınması gerekmektedir. Genel amacınızı, ihlal etmeden önceki gibi, ihlalin şirketiniz, çalışanlarınız ve müşterileriniz üzerindeki etkisini en aza indirmektir.

Kurtarma için planlama

Kurtarma planlaması iki geniş kategoriden oluşur. Birincisi ihlalin neden olduğu hasarı düzeltmek ve tehdidin gerçekten ortadan kaldırıldığından emin olmak. İkincisi, veri ihlallerine eşlik eden finansal ve yasal risklerle ilgilenmektir. Kuruluşunuzun gelecekteki sağlığı ilerledikçe, her ikisi de eşit derecede önemlidir.

Yönetmenlik koruması ve yanıt sağlayıcı eSentire için Çözüm Mühendisliği ve Danışmanlık Hizmetleri Başkan Yardımcısı Sean Blenkhorn, “Sınırlandırma, iyileşme açısından kilit önemdedir” dedi. "Tehditleri ne kadar hızlı algılayabilirsek, o kadar iyi içerebiliriz."

Blenkhorn, bir tehdit içermenin, ne tür bir tehdit bulunduğuna bağlı olarak değişebileceğini söyledi. Örneğin, fidye yazılımı söz konusu olduğunda, kötü amaçlı yazılımın yayılmaması için ikincil enfeksiyonlarla birlikte yalıtılmasına yardımcı olmak için yönetilen uç nokta koruma platformunuzu kullanmak ve daha sonra bunları kaldırmak anlamına gelebilir. Ayrıca, yeni stratejilerin uygulanması anlamına gelebilir, böylece dolaşım ve kullanıcıları kişisel sanal özel ağ (VPN) hesaplarıyla telekomünikasyona sokmak gibi gelecekteki ihlaller engellenebilir.

Bununla birlikte, diğer tehdit türleri farklı taktikler gerektirebilir. Örneğin, finansal bilgi, fikri mülkiyet (IP) veya kuruluşunuzdaki diğer verileri arayan bir saldırı, bir fidye yazılımı saldırısıyla aynı şekilde gerçekleştirilmez. Bu gibi durumlarda, giriş yolunu bulmanız ve kaldırmanız gerekebilir ve komutu durdurmak ve mesajları kontrol etmek için bir yol bulmanız gerekebilir. Bu da, bu iletiler için ağ trafiğinizi izlemenizi ve yönetmenizi gerektirir; böylece nereden kaynaklandıklarını ve nereye veri gönderdiklerini görebilirsiniz.

Blenkhorn, "Saldırganların ilk hamle avantajına sahip olduklarını" söyledi. "Anomalileri aramalısın."

Bu anormallikler sizi kaynağa, genellikle bir sunucuya, erişim sağlayan veya dışarı atma sağlayan götürür. Bunu bulduktan sonra, kötü amaçlı yazılımı kaldırabilir ve sunucuyu geri yükleyebilirsiniz. Ancak Blenkhorn, herhangi bir kötü amaçlı yazılımın gerçekten gittiğinden emin olmak için sunucuyu yeniden görüntülemeniz gerekebileceği konusunda uyarır.

İhlali Kurtarma Adımları

Blenkhorn, ihlali telafi etmeyi planlarken hatırlanması gereken üç şey daha olduğunu söyledi:

1. İhlal kaçınılmazdır,
2. Tek başına teknoloji sorunu çözmeyecek ve
3. Bunun daha önce hiç görmediğiniz bir tehdit olduğunu varsaymalısınız.

Ancak bir kez tehdidi ortadan kaldırdıktan sonra, iyileşmenin yalnızca yarısını gerçekleştirdiniz. Diğer yarısı işi korumaktır. Siber sigorta kuruluşu CyberPolicy'de Ürün Kıdemli Müdürü Ari Vared'e göre, bu, kurtarma ortaklarınızı önceden hazırlamak anlamına gelir.

PCMag bir e-postayla “Bu, bir siber kurtarma planının yapılmasının işi kurtarabileceği yer” dedi. “Bu, yasal ekibinizin, bir veri adli tıp ekibinin, PR ekibinizin ve kilit personelinizin, ihlal olduğunda ne yapılması gerektiğini önceden bilmesini sağlamak anlamına gelir.”

Buradaki ilk adım, kurtarma ortaklarınızı önceden tanımlamak, planınız hakkında bilgilendirmek ve ihlal durumunda hizmetlerini korumak için gereken her şeyi yapmak anlamına gelir. Bu çok fazla idari yüke benziyor, ancak Vared, süreci çabaya değer kılan dört önemli nedeni listeledi:

1. Bilgilendirme ve gizlilik sözleşmelerine ihtiyaç duyulması durumunda, ücretler ve diğer şartlar ile birlikte, önceden yeni bir satıcıyla pazarlık etmeye çalışarak bir siber saldırıdan sonra zaman kaybetmemeniz durumunda, bunlar önceden kararlaştırılabilir.
2. Siber sigortanız varsa, ajansınızın daha önce tanımlanmış belirli ortakları olabilir. Bu durumda, maliyetleri politikaya göre karşılamayı sağlamak için bu kaynakları kullanmak isteyeceksiniz.
3. Siber sigorta sağlayıcınız, bazı hususları karşılamaya istekli olduğu tutar için bir kılavuza sahip olabilir ve küçük ve orta ölçekli işletme (KOBİ) sahibi, satıcı ücretlerinin bu kılavuza girdiğinden emin olmak isteyecektir.
4. Bazı siber sigorta şirketleri, kurum içinde gerekli kurtarma ortaklarına sahip olacak ve bu ilişkiler, iş ilişkileri için zaten mevcut olduğundan ve hizmetler otomatik olarak poliçe kapsamında ele alındığından işletme sahibi için anahtar teslim bir çözüm haline gelecektir.

Adli ve Adli Sorunların Ele Alınması

Vared, adli ekibinizin ve adli tıp ekibinizin bir saldırıdan sonra yüksek önceliğe sahip olduğunu söyledi. Adli tıp ekibi, Blenkhorn tarafından belirtildiği gibi kurtarmada ilk adımları atacak. Adından da anlaşılacağı gibi, bu takım ne olduğunu ve daha da önemlisi nasıl olduğunu öğrenmek için orada. Bu suçu atamak değildir; ihlal etmesine izin veren güvenlik açığını belirlemek, böylece onu bağlayabilirsiniz. Bu, adli tıp ekibi gelmeden önce çalışanlar ile yapılması gereken sıradışı rancor veya endişelerden kaçınmak için önemli bir ayrımdır.

Vared, ihlale yanıt veren hukuk ekibinin muhtemelen işletmeniz için geleneksel yasal görevleri yerine getiren kişilerle aynı olmayacağını belirtti. Daha ziyade, siber saldırıların ardından başa çıkma tecrübesi olan uzman bir grup olacaklar. Bu ekip sizi ihlallerden kaynaklanan, düzenleyicilerle ilgilenen, hatta siber hırsızlarla ve fideleri ile müzakere yapan davalara karşı savunabilir.

Bu arada, PR ekibiniz bildirim gerekliliklerini yerine getirmek için yasal ekibinizle birlikte çalışacak, ihlalleri ve yanıtlarınızı açıklamak için müşterilerinizle iletişim kuracak ve muhtemelen aynı detayları medyaya da açıklayacaktır.

Son olarak, ihlalden kurtulmak için gereken adımları attıktan sonra, bu ekipleri C düzeyindeki yöneticilerle bir araya getirmeniz ve bir eylem sonrası toplantı ve rapor hazırlamanız gerekir. İşlem sonrası raporu, neyin doğru gittiğini, neyin yanlış gittiğini ve bir dahaki sefere cevabınızı iyileştirmek için ne yapılabileceğini belirleyerek bir sonraki ihlal için kuruluşunuzu okumak için çok önemlidir.

Planınızı Test Etme

• Veri İhlali Sonrasında Yapılacak 6 Şey Veri İhlali Sonrasında Yapılacak 6 Şey
• 2018'in İlk Yarısında Veri İhlali 4.5 Milyar Kayıt 2018'in İlk Yarısında Veri İhlali 4.5 Milyar Kayıt
• Cathay Pacific, 9.4M Yolcularını Etkileyen Veri İhlali'ni Açıkladı Cathay Pacific, 9.4M Yolcularını Etkileyen Veri İhlali'ni Açıkladı

Bütün bunlar, planınızın kötü bir şey durumunda ustaca tasarlanmış ve uygulanmış olduğunu varsaymaktadır. Ne yazık ki, bu asla güvenli bir varsayım değildir. Planınızın makul olduğundan emin olmanın tek yolu, herhangi bir başarı şansına dayanıyor, hazırlandıktan sonra uygulamaktır. İşlerinde düzenli etkinlikler olarak siber saldırılarla uğraşan uzmanlar, planınızı uygulamanıza çok fazla direnç göstermeyeceklerdir - buna alışkınlar ve muhtemelen beklerler. Ancak, dışarıdan olduklarından, uygulama için planlandıklarından emin olmanız gerekir ve muhtemelen onlara zamanları için para ödemeniz gerekir. Bu, sadece bir kez değil, düzenli olarak bütçenize dahil etmenin önemli olduğu anlamına gelir.

Bu temelin ne kadar düzenli olduğu, şirket içi çalışanlarınızın ilk testinize nasıl yanıt verdiğine bağlıdır. İlk testiniz kesinlikle veya bazı yönlerden kesinlikle başarısız olacaktır. Beklendiği için bu yanıt basit bir yangın tatbikatından çok daha karmaşık ve külfetli olacaktır. Yapmanız gereken, bu başarısızlığın ciddiyetini ölçmek ve cevabınızı ne sıklıkta ve ne ölçüde uygulamanız gerektiğine karar vermek için temel olarak kullanmaktır. Unutmayın ki, çoğu işletmenin asla deneyimlemeyeceği bir felaket için bir tatbikat var. Cyberattack tatbikatınız, bir aşamada neredeyse kaçınılmaz olan bir felaket içindir.