Утекай: как минимизировать негативные последствия утечки информации

«Все американские компании делятся на две категории: те, у которых были инциденты ИБ, и те, кто просто об этом еще не догадывается»

Джеймс Коми, директор ФБР

В 2013 году у по данным InfoWatch за тот же период, Россия занимает вторую строчку в глобальном рейтинге утечек - как раз после Штатов.

Эксперты знают, что 100% безопасности не существует и инциденты случаются даже в тех компаниях, где вопросам ИБ уделяется самое пристальное внимание. Утечка данных – это не вопрос о том «как?», это вопрос о том «когда?». Поэтому в этот раз мы зайдем с другого конца и как действовать, чтобы исправить допущенные ошибки и не совершить при этом новых.

На ошибках люди учатся

Для начала посмотрим, какие 10 промахов чаще всего допускают компании в ходе «работы над ошибками», т.е. когда инцидент ИБ уже произошел.

  1. К расследованию не привлекаются внешние консультанты – эксперты, компании или структуры, занимающиеся расследованиями инцидентов в сфере ИБ.
  2. Нередко в юридическом отделе работают люди, далекие от специфики ИБ. В компании должен быть юрист со специализацией в вопросах информационной безопасности.
  3. В антикризисном штабе нет антикризисного менеджера, который отвечает за координацию работы всех участников команды.
  4. Нет четкой и понятной коммуникации между членами антикризисного штаба, что приводит к потере времени и ошибкам
  5. Нет продуманного антикризисного плана. Так, по данным Experian, более трети компаний в Великобритании вообще не знают о таком документе. Антикризисный план включает в себя помимо официального пресс-релиза, набор документов для внутренней (например, пошаговых инструкций для юридического и PR-отделов, отдела по работе с клиентами, IT-департамента и т.д.) и внешней аудитории – например, FAQ.
  6. В компании не проводились «боевые учения». Мало иметь под рукой план действий, необходимо хорошо его знать и быть готовым следовать ему в кризисной ситуации. Для этого необходимо периодически устраивать «репетиции», освежать содержание документа и проводить проверку знаний.
  7. «Еще не время». Ситуация с утечками характеризуется быстрой сменой информационной картины, но ждать подходящего момента, когда абсолютно все данные будут на руках, порой выходит себе дороже – СМИ могут так и не дождаться ваших комментариев и напишут свою версию произошедшего.
  8. Ошибки микроменеджмента – необходимо привлечь внешних консультантов для решения целого ряда небольших, но значимых задач. В противном случае очень легко что-то упустить.
  9. Клиент всегда прав. Увы, когда речь идет об утечке ПДн клиентов, компании порой забывают о принципе клиент всегда прав. Стоит дать вашей аудитории максимум возможностей получать самую оперативную и точную информацию – например, организовать горячую линию. А также подумать о возможной компенсации.
  10. Ничего не делается после устранения самой утечки.

А теперь пошагово разберем ключевые моменты, на которые стоит обратить внимание

Все пропало, шеф!

Убедитесь, что утечка действительно произошла. Оцените объем скомпрометированных данных, определите, была ли это утечка в результате внешней атаки, или же это был внутренний инцидент ИБ? Соберите максимум дополнительной информации – проведите беседу с руководителями отделов.

А был ли мальчик?

Поймите, были ли массиве утекших данных ПДн сотрудников, партнеров и самое главное - клиентов? Чтобы было проще - рекомендуем заранее провести категорирование информации. Кстати, по ссылке вы найдете основные положения по категорированию и защите информации в РФ (по 149-ФЗ), перечень основных видов тайн с указанием ссылок на нормативные правовые акты.

В зависимости от типа пропавшей информации ваши дальнейшие действия будут разными, что обязательно отразится на содержании вашего антикризисного плана.

CISO всему голова

Назначьте на должность антикризисного менеджера человека из числа первых лиц компании. В зависимости от масштабов утечки, им может стать и ваш генеральный директор. Однако, по мнению многих экспертов, идеальный вариант, если им будет ваш CSO или CISO.

Важно помнить, что утечка информации – это кризисная ситуация, где фактор времени играет особую роль. Вот почему у человека на этой должности обязательно должен быть помощник или заместитель.

Основной задачей антикризисного менеджера будет следование единой линии в коммуникации по теме утечки с разными представителями аудитории и координация работы сотрудников антикризисного штаба. Она формируется из специалистов IT-департамента и руководителей бизнес-подразделений. В штабе также обязательно должны быть представители HR, юристы, PR-специалисты и сотрудники финансового отдела.

Локализуйте «очаг возгорания»

Определите статус утечки - удалось ли ее «локализовать» или ваш «пожар» еще полыхает? Если инцидент ИБ «свежий», важно оперативно минимизировать риски. Убедитесь, что «дыра» в информационной системе компании залатана, и уже на этом этапе начните собирать все информацию для дальнейшего анализа. Кстати, все решения и действия представителей антикризисного штаба крайне желательно также фиксировать

В современной юридической практике существует ряд прецедентов, когда доказательства, представленные ИТ- и ИБ-подразделениями компаний – например, лог-файлы - принимались как доказательства совершения уголовных преступлений. В решениях InfoWatch такая возможность реализована в модуле Forensic Storage.

Никаких фальстартов

Помните, что хотя работа над ошибками в сфере ИБ – это скорее марафон, нежели спринт, «фальстарты» здесь тоже не допустимы. Отметим, что в реальности даже компании-гиганты вроде Target допускают серьезные промахи в том, как реагируют на инциденты ИБ.

Эксперты в области форензики, советуют всегда сперва оценивать масштаб утечки и действовать по ситуации – в зависимости от объемов скомпрометированных данных, количества пострадавших в инциденте и наличия (или отсутствия) необходимых доказательств факта утечки. Чтобы не писать не нужных пресс-релизов и публичных опровержений, важно выверять и согласовывать всю информацию, которая покидает пределы вашей компании.

Общие сведения об утечке (в виде памятки или FAQ) должны быть у каждого сотрудника компании. Всей оперативной и максимально полной информацией (особенно «промежуточного» характера) располагает только антикризисный штаб.

Одна голова хорошо?

Если утечка произошла по вине вашего партнера или провайдера – например, поставщика IT-сервисов, совсем не лишним будет принять решение – будете ли вы привлекать для проведения расследования независимую экспертизу. Например, правоохранительные органы и/или внешних консультантов. Идея пригласить представителей компании-виновника утечки к расследованию может быть не самой лучшей – вероятность корректного и полного анализа инцидента может быть невысока.

Если вы заинтересованы в максимально объективных результатах, имеет смысл обратиться к тем, кто оказывает услуги в сфере ИБ-консалтинга. Такая компания-подрядчик может существенно упростить вам жизнь - окажет профессиональную поддержку по вашему инциденту ИБ:

  • Проведет криминалистически правильную фиксацию и снятие копий энергозависимых данных на внешний цифровой носитель информации;
  • Оформит корректное изъятие компьютерных носителей информации, их упаковка и опечатывание;
  • Соберет пакет документации об инциденте, оформленный в соответствии с нормативно-правовыми актами;
  • Составит юридически грамотно заявление в правоохранительные органы об инциденте ИБ, следствием чего будет являться возбуждение уголовного дела, дальнейшее привлечение злоумышленника к ответственности и компенсация нанесенного ущерба;
  • Может представлять интересы компании при производстве «внешних» расследований.

What the… FAQ?

Если вы приняли решение общаться с внешней аудиторией, на помощь приходит грамотный FAQ. Этот документ отвечает на самые волнующие (и неприятные) вопросы, в том числе о том, чем грозит клиенту потеря его данных и как можно исправить положение. Помимо этого в нем стоит рассказать, что компания уже делает сейчас и что планирует делать, чтобы предотвратить повторение подобных инцидентов в дальнейшем. Будьте точными и краткими.

В общем виде ваше сообщение для ЦА может создаваться по следующей схеме:

  • Общее описание инцидента: когда произошла утечка – дайте примерные временные рамки, укажите тип скомпрометированных данных
  • Меры по устранению последствий утечки: что вами уже было сделано и что планируется
  • Описание того, что пострадавшая сторона может предпринять, чтобы снизить риски и устранить последствия: например, сменить пароль к почте, подать заявление на бесплатное открытие нового счета в банке.
  • Помощь пострадавшим: например, если была утечка финансовой информации, в качестве компенсации можно предложить услугу бесплатного финансового мониторинга 24/7 и/или программу страхования денежных средств.
  • Контактная информация: например, телефон горячей линии или представителей антикризисного штаба.

А вот так все это выглядит на конкретном примере крупнейшая утечка в медицине, ПДн 80 млн сотрудников и клиентов).

Назад в будущее

После того, как инцидент ИБ будет исчерпан, лучшее, что вы можете сделать – тщательным образом изучить причины утечки и оценить эффективность ваших действий по разрешению кризисной ситуации. Соберите обратную связь от антикризисной команды, внешних подрядчиков (если вы их привлекали) сотрудников компании и, конечно же, ваших клиентов. На основании полученных данных внесите изменения в ваш антикризисный план. О том, каким может быть данный документ, мы расскажем в следующих постах.

Вместо послесловия (пустословия)

По данным Ponemon Institute, 55% клиентов узнают о факте утечки в среднем лишь месяц спустя. Нужно сказать, что это данные только по США. В нашей стране пока нет законов, обязывающих компании раскрывать факт утечки, а потому наши соотечественники чаще всего попросту не знают об инцидентах ИБ.

Однако все может измениться уже в ближайшее время. Последние годы мы фиксируем постепенный рост числа утечек, упоминаемых СМИ, в том числе и российскими. А вопросы кибербезопасности вызывают все больше опасений не только в США. На днях Европарламент принял закон о кибербезопасности: предприятия критической инфраструктуры обязаны обеспечивать необходимый уровень ИБ, а интернет-компании теперь обязаны сообщать об инцидентах ИБ властям ЕС.

И тут на ум приходит старенькая песня «Sorry Seems to be the hardest word». Действительно, когда происходит утечка, у вас нет второго шанса произвести первое впечатление. Но умение признать свою ошибку и вовремя извиниться может стать основной для улучшения отношений с клиентами и даже самой настоящей дружбы. Как ни странно, в долгосрочной перспективе утечка может стать хорошим поводом не просто восстановить, но и укрепить репутацию. Речь идет о вложениях в персонал, технологии и улучшение бизнес-процессов – лучших инвестициях из возможных. Помните об этом.

Подпишитесь на рассылку INFOWATCH