Es ist an der Zeit, sich auf die morgige Reaktion auf Vorfälle vorzubereiten. Es ist nicht wie gestern, und Unternehmen, die den Unterschied nicht akzeptieren, könnten sich in einer Notlage wiederfinden, wenn eine Katastrophe eintritt.
Das Vorfallreaktion Landschaft hat sich im letzten Jahr drastisch verändert. Dies ist zum Teil auf die Veränderung der Arbeitsmuster zurückzuführen, als die Menschen zu hybridem Arbeiten übergingen. Die größere Veränderung ergibt sich aus veränderten Einstellungen bei Versicherungsunternehmen und in gewissem Maße bei Geschäftskunden.
Versicherer, Kunden hinterfragen Sicherheit
Versicherer erschreckt durch steigende Zahlen von cyberbezogene Auszahlungen nehmen eine aktivere Rolle bei der Reaktion auf Vorfälle ein. Wir haben gesehen, dass einige verlangen, ihren eigenen bevorzugten Cybersicherheitspartner hinzuzuziehen, wenn ein Kunde einen Vorfall als Bedingung für die Geltendmachung eines Anspruchs meldet. Andere beschränken ihre Haftung und führen Klauseln ein, die Kunden in den ersten Stunden oder Tagen eines Vorfalls von der Deckung ausschließen.
Unternehmen sehen sich zudem dem Druck ihrer eigenen Geschäftskunden ausgesetzt, die einen stärkeren Fokus auf Cybersicherheit fordern. Sicherheit der Lieferkette ist seitdem für immer mehr Unternehmen in den Fokus gerückt SolarWinds und Kaseya debakelt, bei dem kompromittierte Produkte Probleme für Tausende von nachgeschalteten Anwendern verursachten. Dies hat dazu geführt, dass immer mehr Unternehmen von ihren Lieferanten den Nachweis einer angemessenen Cybersicherheitsabdeckung rund um die Uhr verlangen, und es ist ein breiterer Haftungspool entstanden, den Versicherer bei der Festlegung der Deckung berücksichtigen müssen.
Incident-Response-Pläne müssen angepasst werden
Wofür bedeutet das? Incident-Response-Teams? Das kritischste Element ist ein verstärkter Fokus auf Geschwindigkeit. Dies wiederum unterstreicht die Notwendigkeit, sich auf Vorfälle in einem früheren Stadium zu konzentrieren, die eine Vorstufe zu einem größeren Verstoß darstellen können. Das Ziel ist es, auf „kleine“ Vorfälle zu reagieren, bevor sie zu „großen“ Ereignissen werden.
Angriffsopfer, die in den ersten Stunden eines Vorfalls nicht versichert sind, müssen schnell reagieren, um die finanziellen Auswirkungen zu begrenzen. Leider machen es Angreifer schwieriger.
Ransomware-Kriminelle sind außerhalb der Bürozeiten am aktivsten. Sie wissen, dass Sicherheitsteams zu diesen Zeiten schlecht besetzt sein werden, wenn sie überhaupt im Büro sind. Nuspires Partner Cybereason kürzlich befragten 1,200 Unternehmen, die außerhalb der regulären Arbeitszeiten einen Ransomware-Angriff erlitten hatten. Die Hälfte von ihnen reagierte infolgedessen langsamer, teilweise weil es schwierig war, die Teammitglieder an Wochenenden oder Feiertagen zusammenzustellen, selbst wenn ein Reaktionsplan für Vorfälle vorhanden war. Dies führte häufig zu erhöhten Umsatzeinbußen durch einen Ransomware-Angriff, sagten die Befragten.
Einige Fähigkeiten, wie z. B. digitale Forensik, lassen sich nur schwer intern einbringen. Diese spezialisierten Fähigkeiten werden selten genutzt, aber sie sind entscheidend, wenn sie benötigt werden.
Unternehmen brauchen ein Incident Response Continuum
Es gibt zwei Ebenen der Reaktion auf Vorfälle. Die erste ist diejenige, die die meisten Unternehmen verstehen: die Reaktion auf hochkarätige, atemberaubende Events. Diese Dinge halten Sie nachts wach: der Diebstahl von Kundendatensätzen, eine Ransomware-Katastrophe oder eine geschäftliche E-Mail-Kompromittierung, die Millionen von Dollar aus der Unternehmenskasse schöpft. Dies kann als traditionelle „Big Incident Response“ bezeichnet werden.
Die andere Art der Reaktion auf Vorfälle umfasst kleinere, isolierte Ereignisse. Dies kann eine Ransomware-Infektion auf einem einzelnen Laptop, eine einzelne Phishing-E-Mail oder ein einmaliger Fall von unbefugtem Zugriff sein. Die Leute behandeln diese oft als alltägliche Vorfälle – Episoden, die Administratoren irritieren, die aber früher oder später behoben werden. Einige sehen dies als die kleinen Dinge, die Sie nicht ins Schwitzen bringen müssen.
Das stimmt nicht mehr. Ransomware und andere Formen von Malware bewegen sich jetzt schneller als je zuvor. Der Einzelfall von heute Nacht könnte die Katastrophe von morgen früh sein.
Versicherer und Kunden gleichermaßen verstehen dies zunehmend und wollen einen Nachweis dafür, dass Sie diese Probleme angehen, um später große Verstöße zu vermeiden. Das bedeutet, dass die Reaktion auf Vorfälle kein diskreter Prozess mehr ist; Es ist ein Kontinuum, das mit der ersten Vorfallwarnung beginnt (und hoffentlich dort endet).
Wir müssen auch besser verstehen, was am anderen Ende des Spektrums der Reaktion auf Vorfälle passiert, wenn Versicherungsunternehmen involviert werden könnten. Das beginnt schon, bevor Forensiker vor Ort sind.
Eine klare Kommunikation mit Versicherungsträgern vor größeren Vorfällen ist entscheidend, um ihre Erwartungen zu verstehen. Dies gilt auch für ein Verständnis der Gesetzmäßigkeiten rund um den Reaktionsprozess auf Vorfälle, einschließlich der Frage, an wen sich das Opfer zuerst wendet. Beispielsweise könnten Versicherer verlangen, dass sich das Opfer zunächst mit ihnen in Verbindung setzt, aber wenn Sie zuerst mit einem Anwalt sprechen, können einige Informationen privilegiert werden, um eine spätere Entdeckung zu verhindern. Es gibt auch Nuancen in dem, was das Opfer sagt. Selbst die Verwendung des Wortes „Verstoß“ in der Kommunikation könnte eine Frist für die Benachrichtigung von Aufsichtsbehörden oder Kunden auslösen.
Unternehmen müssen ein starkes Team mit einer klaren Befehlskette aufbauen, damit jeder versteht, wer in einer Krise die Kontrolle hat. Dann müssen diese Teams regelmäßige Tabletop-Übungen durchführen, um Szenarien mit größeren Sicherheitsverletzungen durchzuspielen. Zu wissen, wer das Wesentliche tut.
Das ist für Unternehmen eine Menge zu bewältigen, zumal sie auch außerhalb der regulären Arbeitszeiten genauso fleißig sein müssen. Wenn es um den Umgang mit Cybersicherheitsproblemen geht, ist Geschwindigkeit heute mehr denn je von entscheidender Bedeutung.
