Ce tebuie sa faci in cazul unui atac informatic

Data publicarii: 2022-08-22 19:56:21 Autor:
Timp estimat pentru citirea articolului: 5 minute

Unul dintre primii pași critici în urma oricărui incident major de securitate este să înțelegem cât de grav a fost afectată compania. Aceste informații vor dicta acțiunile ulterioare, cum ar fi notificările necesare și remedierea incidentului. În mod ideal, va trebui să intuiți cât mai rapid care au fost punctele de acces folosite și care este „raza de acțiune” a atacului – ce sisteme au fost afectate, ce date au fost compromise și dacă „intrușii” se află încă în rețea. În acestă etapă, echipei locale i se pot alătura experți criminalistici terți.

	Logistic Specialist - blogul profesionistilor in logistica

Implicați departamentul juridic

După o breșă de securitate, trebuie să știți implicațiile juridice și poziția companiei legate de incident. Ce responsabilități are compania? Ce autorități de reglementare trebuie informate? Ar trebui să negociați cu atacatorii pentru a câștiga mai mult timp? Când trebuie notificați clienții și/sau partenerii? Consilierul juridic intern este, în acest caz, primul sfetnic. Acesta poate sugera, la rândul său, consultarea suplimentară a unor experți specializați pe zona de răspuns la incidente cibernetice. În acest punct devin esențiale acele detalii și informații despre ceea ce s-a întâmplat de fapt, astfel încât experții să poată lua măsuri customizate.

Este important să știi când, cum și pe cine anunțați

În conformitate cu termenii GDPR, notificarea autorității locale de reglementare trebuie să aibă loc în termen de 72 de ore de la descoperirea unei breșe. Cu toate acestea, este important să cunoașteți care sunt cerințele minime pentru notificare, deoarece, în cazul anumitor incidente, aceasta ar putea să nu fie necesară. Aici este esențială o bună estimare a suprafeței digitale afectate. Dacă nu știți câte date au fost preluate sau cum au pătruns atacatorii, va trebui să considerați cel mai nefavorabil scenariu în vederea notificării autorității de reglementare. Biroul Comisarului pentru Informații (ICO) din Marea Britanie, care a jucat un rol esențial în elaborarea GDPR, are câteva indicații utile în acest sens.

Anunțați autoritățile competente

Orice s-ar întâmpla în raport cu autoritatea de reglementare, este de preferat să colaborați cât mai deschis cu forțele de ordine, mai ales dacă intrușii se află încă în interiorul rețelei. Este obligatoriu să implicați autoritățile competente cât mai repede posibil. În cazul ransomware-ului, de exemplu, aceștia ar putea să vă pună în legătură cu furnizori de soluții de securitate și cu alte părți terțe care oferă chei de decriptare și instrumente de diminuare a pagubelor.

Anunțați clienții, partenerii și angajații

Aceasta este o altă acțiune implicită de pe „to do list-ul” post-breșă de securitate. Cu toate acestea, încă o dată, numărul de clienți/angajați/parteneri pe care trebuie să îi notificați, mesajul pe care îl veți transmite și momentul informării, depind de detaliile incidentului și de datele care au fost furate. Luați în considerare mai întâi o declarație publică care să spună că organizația este la curent cu un incident și că o investigație este în curs. Cum zvonurile tind să evolueze foarte rapid, va trebui să reveniți cu mai multe detalii destul de curând, după comunicarea inițială. Echipele de IT, PR și juridice ar trebui să lucreze îndeaproape în acest sens.

Începeți procesul de recuperare și remediere

Odată ce sfera atacului este clară și echipele de răspuns la incidente/echipele criminalistice sunt sigure că atacatorii nu mai au acces la sistem, este timpul ca situația să reintre pe făgașul normal. Acest lucru ar putea însemna restaurarea sistemelor din backup, reconfigurarea sistemelor compromise, corecția punctelor de acces finale afectate și resetarea parolelor.

Daca vrei sa ramanem in contact te rog sa te abonezi la newsletter!

O postare care te va interesa, e preluata de pe TALK: Pretul painii s-a marit in cateva zile cu 20%