Поиск по сайту:

Как уменьшить финансовые последствия утечки данных

Независимо от того, есть ли выкуп или нет, утечка данных всегда имеет финансовые последствия. Организации могут столкнуться с нормативными штрафами, операционными потерями и репутационным ущербом. Тщательное планирование может сэкономить вам время и деньги.

Последствия утечки данных

Нарушения данных происходят, когда есть уязвимость в безопасности, что приводит к раскрытию личных данных. Иногда это внутренняя работа. Персонал может совершить ошибку или затаить обиду и злонамеренно раскрыть данные, или кто-то может стать осведомителем. Но утечки данных чаще всего вызваны кибератаками. Атаки программ-вымогателей, хактивистские кампании, доксинг-атаки и промышленный шпионаж могут привести к утечке данных.

Финансовые последствия утечки данных могут быть огромными. Например, атаки программ-вымогателей приводят к тому, что организации теряют доход с момента атаки. Даже если некоторые части бизнеса смогут функционировать, он все равно может потерять доход. Во время атаки программы-вымогателя Colonial Pipeline в мае 2021 года склады по производству топлива могли работать, но это не помогло. Colonial Pipeline лишилась своих биллинговых систем. Они могли производить топливо, но не могли ни доставить его, ни выставить счет за него.

Если информация, позволяющая установить личность (PII), будет нарушена, скорее всего, местное, национальное или даже международное законодательство о защите данных наложит на вас штраф. Штрафы учитывают такие факторы, как количество пострадавших субъектов данных и обстоятельства нарушения. Даже если данные не покидают вашу сеть, атака программы-вымогателя считается нарушением, поскольку вы потеряли контроль над своими данными.

Упущенный доход и выкупы легко перечислить. Как и стоимость ремонта и восстановления. Гораздо сложнее количественно определить, как падение доверия со стороны клиентов и сотрудников повлияет на вашу организацию. Ущерб репутации и бренду может привести к падению акций, увольнению лучших сотрудников и уходу клиентов.

Утечек данных становится все больше, и о заметных атаках сообщается почти каждый день. На каждого хедлайнера приходится множество других мелких нарушений в небольших организациях. Чтобы свести к минимуму финансовый ущерб, вы должны быть в состоянии быстро отреагировать, если произойдет нарушение. Это означает, что вы должны заранее подготовиться к такому инциденту.

Поймите свою ИТ-инфраструктуру

Времена классической локальной ИТ-инфраструктуры прошли. Очень немногие организации сохранили полностью локальную инфраструктуру до 2000-х годов. Даже если это всего лишь какая-то удаленная резервная копия, удаленный репозиторий Git или Microsoft 365, почти невозможно не иметь какой-либо облачный компонент в ваших ИТ-операциях.

И хотя облачные вычисления могут принести преимущества в плане стоимости, масштабируемости и доступности, они также могут принести свои сложности. Когда вы добавляете контейнеры, микросервисы, мобильные устройства, интеллектуальные устройства и API, ваша поверхность атаки становится намного больше. Это усложняет защиту ваших ИТ и сетей, а также их восстановление в случае стихийного бедствия.

Вот почему крайне важно провести инвентаризацию и точно определить, из чего состоит ваша ИТ-инфраструктура. Задокументируйте все операционные системы, приложения и оборудование. Создайте реестры аппаратных и программных активов и включите роли и функции активов. Это поможет вам в создании плана реагирования на инциденты. Это будет учебником, которому вы будете следовать, когда произойдет инцидент.

Что вы восстанавливаете в первую очередь?

Если все упало, что вы восстанавливаете в первую очередь? Чем быстрее вы сможете восстановить операционную способность, тем быстрее вы сможете вернуть свои потоки доходов. Вот почему ваши реестры ИТ-активов должны включать роли и функции приложений, серверов и программного обеспечения. Эта информация поможет при создании вашего плана реагирования на инциденты (IRP).

Репетиция плана реагирования на инциденты — с участием всех соответствующих заинтересованных сторон — выявит критически важные системы, которые необходимо восстановить, прежде чем что-либо заработает. Как только это будет сделано, вы сможете вместе определить порядок, в котором необходимо восстановить жизненно важные рабочие функции или отделы.

План реагирования на инциденты поможет вам свести к минимуму общее время простоя. Его нельзя уменьшить сверх определенных практических ограничений, продиктованных размером и сложностью вашей ИТ-инфраструктуры, а также серьезностью атаки. Лучшее, что вы можете сделать, — это установить порядок, в котором критически важные с финансовой точки зрения группы или отделы возвращаются в оперативный режим.

Если вы истекаете кровью из одного конкретного места, вы жмете раскаленное железо именно там.

IRP — это деловой документ

Ваш план реагирования на инциденты — это не просто документ группы ИТ или службы безопасности. Это важная бизнес-политика и процедура. Крайне важно, чтобы при его рассмотрении, утверждении и репетиции участвовали все заинтересованные стороны бизнеса. Помимо предоставления информации и рекомендаций, они получат понимание проблем и проблем реального инцидента.

Это понимание будет иметь два основных преимущества. Во-первых, они поймут, что в реальном происшествии команде безопасности должно быть позволено приступить к работе, решить проблемы и разобраться с инцидентом. Стоять над ними не поможет. Во-вторых, бизнес оценит потребность в специализированных знаниях. И если этот опыт недоступен внутри компании, они должны увидеть ценность в поиске компетентного поставщика и взаимодействии с ним сейчас, а не в разгар инцидента.

Искать стороннюю экспертизу во время кризиса слишком поздно. Если вы найдете кого-то, вы будете платить экстренные ставки. С технической точки зрения, они будут менее эффективны в холодное время года, чем если бы они были задействованы заранее, в режиме ожидания, и им было дано время ознакомиться с вашей операцией.

Конечно, это может быть не только безопасность или другие технические знания, к которым вам нужно обратиться. Связи с общественностью, человеческие ресурсы, колл-центры и функции социальных сетей могут нуждаться в поддержке извне.

Подготовить нормативную документацию

Когда наступает брешь, часы начинают тикать. В зависимости от действующего законодательства о защите данных, определяемого местом жительства субъектов данных, а не местонахождением вашей организации, у вас будет короткий период времени для выполнения нескольких обязательных шагов. Невыполнение этих шагов или несоблюдение сроков приведет к увеличению наложенных на вас штрафов.

Например, период времени, в течение которого вы должны уведомить соответствующий орган по защите данных — надзорный орган — о нарушении, может составлять всего 72 часа. Очевидно, вам необходимо понимать все законы о защите данных, которые применяются к вам, и то, что каждый из них требует от вас.

Если вы обрабатываете персональные данные граждан Великобритании, вы должны соблюдать Закон о защите данных 2018 года, который содержит версию GDPR для Великобритании. Если вы обрабатываете персональные данные граждан стран ЕС, вы должны соответствовать европейской версии GDPR. Если вы соответствуете квалификационным критериям CCPA и подпадаете под его действие, ваша организация также должна соответствовать требованиям CCPA. И так далее, для каждого применимого законодательного акта. Ваш сотрудник по защите данных или ИТ-директор должен внести свой вклад в план реагирования на инциденты, чтобы действия и сроки, требуемые каждым законодательным актом, были четкими.

Уведомления, отправляемые надзорным органам и субъектам данных, информирующие их о нарушении, должны включать обязательные разделы и достаточную информацию, чтобы удовлетворить надзорный орган. Это делает невозможным заранее подготовить предварительно заполненные отчеты. Но вы можете подготовить документы с обязательной информацией о ваших ИТ-системах и организации. Имея пакет готовых документов для каждого законодательного акта, задача выполнения нормативных требований в установленные сроки сводится к серии упражнений по сбору данных и заполнению форм.

Возможно, вас оштрафуют за утечку данных. Устранение аспектов инцидента, связанных с соблюдением требований, позволяет избежать ненужного увеличения штрафов.

Ответственность за восходящий и нисходящий потоки

Организации, обрабатывающие данные от имени других организаций, называются обработчиками данных. Организации, которые взаимодействуют с ними, являются контроллерами данных. Обработчики данных и контролеры данных несут совместную ответственность за данные. Если у обработчика данных есть нарушение, современное законодательство о защите данных считает, что обе стороны несут ответственность. Контролер данных выбрал обработчика данных, и у обработчика данных была брешь.

Обе стороны могут получить штрафы, и субъекты данных могут подать в суд на вас обоих. если обработчик данных говорит, что причина нарушения была в каком-то упущении или недосмотре со стороны контроллера данных, он может подать в суд на контроллера данных.

Важно иметь соглашения об обработке данных со всеми вашими обработчиками данных. И если вы являетесь обработчиком данных, убедитесь, что условия соглашений об обработке данных, которыми вы связаны, не являются несправедливо карательными с финансовой точки зрения.

Профилактика лучше лечения

Но подготовка лучше, чем столпотворение, если случится худшее. Наличие целостного плана действий, регулирующего работу внутренних технических групп, помощь внешних специалистов, а также группы по соблюдению нормативных требований и юридические вопросы, поможет вам справиться с утечкой данных таким образом, чтобы уменьшить финансовые последствия.