Wereldwijd datalekken worden geschat op kosten vandaag meer dan $ 4.2 miljoen per incident. En ze vinden op een ongekende schaal plaats naarmate organisaties hun digitale infrastructuur uitbouwen – en ongewild de aanvalsoppervlak van bedrijven. In de VS bij voorbeeld, was het aantal gemelde datalekken in het derde kwartaal van 3 al hoger dan het aantal voor heel 2021. Het duurt voor de gemiddelde organisatie veel te lang om datalekken te vinden en in te perken – vandaag naar schatting 2020 dagen.

Maar als de alarmen afgaan, wat gebeurt er dan? De aanwezigheid van ransomware-actoren, een steeds vaker voorkomende voorbode van moderne datalekken, zal de zaken nog ingewikkelder maken. Hier leest u wat u moet doen en wat u moet vermijden na een inbreuk.

Een datalek is waarschijnlijk een van de meest stressvolle situaties waarin uw organisatie zich ooit bevindt, vooral als het incident dat was veroorzaakt door ransomware-actoren die versleutelde sleutelsystemen hebben en betaling eisen. Overhaaste reacties kunnen echter meer kwaad dan goed doen. Hoewel het natuurlijk belangrijk is om de business weer operationeel te krijgen, is methodisch werken cruciaal. U moet het incidentresponsplan doorlopen en de reikwijdte van het compromis begrijpen voordat u grote stappen onderneemt.

• Volg uw incidentresponsplan

Aangezien het niet gaat om 'wanneer' maar om 'als' uw organisatie vandaag wordt gehackt, an incident response plan is een essentiële best practice op het gebied van cyberbeveiliging. Dit vereist geavanceerde planning, misschien na begeleiding van bijvoorbeeld de VS Nationaal instituut voor normen en technologie (NIST) of die van het VK Nationaal Cyber ​​Security Center (NCSC). Wanneer een ernstige inbreuk wordt gedetecteerd, moet een vooraf toegewezen incidentresponsteam met belanghebbenden uit het hele bedrijf de processen stap voor stap doorlopen. Het is een goed idee om dergelijke plannen periodiek te testen, zodat iedereen voorbereid is en het document zelf up-to-date is.

• Beoordeel de omvang van de inbreuk

Een van de eerste kritieke stappen na een groot beveiligingsincident is begrijpen hoe zwaar het bedrijf is getroffen. Deze informatie zal latere acties, zoals melding en herstel, informeren. In het ideale geval moet u weten hoe de slechteriken binnen zijn gekomen en wat de "explosieradius" van de aanval is: welke systemen ze hebben aangeraakt, welke gegevens zijn aangetast en of ze zich nog steeds binnen het netwerk bevinden. Dit is waar forensische experts van derden vaak worden ingeschakeld.

• Schakel juridisch in

Na een inbreuk moet u weten waar de organisatie staat. Welke verplichtingen heeft u? Welke toezichthouders moeten geïnformeerd worden? Moet je onderhandelen met je aanvallers om meer tijd te winnen? Wanneer moeten klanten en/of partners geïnformeerd worden? De bedrijfsjurist is hier het eerste aanspreekpunt. Maar misschien wil het ook experts aantrekken op het gebied van respons op cyberincidenten. Dit is waar dat forensische detail over wat er werkelijk is gebeurd van vitaal belang is, zodat die experts de best geïnformeerde beslissingen kunnen nemen.

• Weet wanneer, hoe en wie u op de hoogte moet stellen

Onder de voorwaarden van de GDPR, moet de lokale toezichthouder binnen 72 uur na ontdekking van een inbreuk worden geïnformeerd. Het is echter belangrijk om te begrijpen wat de minimale vereisten voor melding zijn, aangezien sommige incidenten dit misschien niet vereisen. Dit is waar een goed begrip van uw ontploffingsradius essentieel is. Als u niet weet hoeveel gegevens er zijn buitgemaakt of hoe de bedreigingsactoren zijn binnengekomen, moet u bij de melding aan de toezichthouder van het ergste uitgaan. Het Britse Information Commissioner's Office (ICO), dat een belangrijke rol speelde bij het opstellen van de AVG, heeft dat gedaan enkele handige richtlijnen op dit.

• Vertel de politie

Wat er ook gebeurt met de toezichthouder, u zult waarschijnlijk wetshandhavers aan uw zijde moeten krijgen, vooral als er nog steeds bedreigingsactoren in uw netwerk aanwezig zijn. Het is logisch om ze zo snel mogelijk aan boord te krijgen. In het geval van ransomware kunnen ze u bijvoorbeeld in contact brengen met beveiligingsproviders en andere derde partijen die decoderingssleutels en mitigatietools aanbieden.

• Vertel het uw klanten, partners en medewerkers

Dit is weer een no-brainer op de lijst na de inbreuk. Maar nogmaals, het aantal klanten/werknemers/partners dat u moet informeren, wat u hen moet vertellen en wanneer hangt af van de details van het incident en wat er is gestolen. Overweeg om eerst een wachtverklaring af te geven waarin staat dat de organisatie op de hoogte is van een incident en momenteel onderzoek doet. Maar geruchten gedijen in een vacuüm, dus je zult dit vrij snel daarna moeten opvolgen met meer details. IT-, PR- en juridische teams zouden hierbij nauw moeten samenwerken.

• Begin met herstel en herstel

Zodra de reikwijdte van de aanval duidelijk is en incidentresponders/forensische teams er zeker van zijn dat de bedreigingsactoren geen toegang meer hebben, is het tijd om de zaken weer op gang te krijgen. Dit kan betekenen dat systemen moeten worden hersteld vanaf een back-up, gecompromitteerde machines opnieuw moeten worden geïnstalleerd, getroffen endpoints moeten worden gepatcht en wachtwoorden opnieuw moeten worden ingesteld.

• Begin met het opbouwen van veerkracht voor toekomstige aanvallen

Bedreigingsactoren delen vaak kennis over de ondergrondse cybercriminaliteit. Ze keren ook steeds vaker meerdere keren terug naar gecompromitteerde slachtofferorganisaties – vooral met ransomware. Daarom is het belangrijker dan ooit dat u de informatie uit de detectie en respons van bedreigingen en forensische tools gebruikt om ervoor te zorgen dat paden die uw aanvallers de eerste keer gebruikten, niet opnieuw kunnen worden misbruikt bij toekomstige invallen. Het kan gaan om verbeteringen in patch- en wachtwoordbeheer, betere beveiligingsbewustzijnstraining, implementatie van multi-factor authenticatie (MFA) of complexere veranderingen in mensen, processen en technologie.

• Bestudeer de slechtste reacties op incidenten

Het laatste stukje van de incidentresponspuzzel is leren van de ervaring. Onderdeel daarvan is het opbouwen van veerkracht voor de toekomst, zoals hierboven. Maar je kunt ook leren van het voorbeeld van anderen. De geschiedenis van datalekken is bezaaid met spraakmakende gevallen van slechte reactie op incidenten. In een veelbesproken zaak het zakelijke Twitter-account van een gehackt bedrijf tweette vier keer een phishing-link, waarbij het werd aangezien voor de reactiesite van het bedrijf. In een andere werd een grote Britse telco zwaar bekritiseerd het vrijgeven van tegenstrijdige informatie.

Laatste woord

Wat er ook gebeurt, klanten verwachten steeds vaker dat de organisaties waarmee ze zaken doen te maken krijgen met beveiligingsincidenten. Het is hoe u reageert dat bepaalt of ze blijven of vertrekken – en wat de financiële en reputatieschade zal zijn.

Bron: https://www.welivesecurity.com/2021/11/11/alarms-go-off-10-steps-take-data-breach/