Нас взломали. Все плохо. Что делать?

Шаг 1. Оцениваем силы

Перед руководством стоит вопрос: справляться самим или пригласить специалистов. Если компания не имеет нужных ресурсов и кадров для устранения последствий, тогда на помощь приходят внешние организации, которые специализируются на расследовании инцидентов. Если компания подготовлена — есть команда и план реагирования — то ей и карты в руки.

При такой работе взаимодействует широкий круг сотрудников: офицеры безопасности, юристы, менеджеры по работе с клиентами и PR-отдел, но основная нагрузка ложится на службу безопасности.

Шаг 2. Ликвидируем последствия и восстанавливаем работу системы

Служба безопасности занимается локализацией инцидента и ликвидацией последствий: удаляет вредоносные программы, отключает скомпрометированные учетные записи пользователей, выявляет и латает уязвимости.

После ликвидации последствий офицеры безопасности восстанавливают системы и проверяют нормально ли они функционируют. Этот процесс может включать восстановление систем из чистых резервных копий, воссоздание с нуля, замену поврежденных файлов на чистые версии, установку исправлений, изменение паролей и ужесточение мер защиты периметра сети.

Крупномасштабные работы могут занять несколько месяцев. Целью ранних этапов должно стать повышение общей безопасности для предотвращения повторных инцидентов. На более поздних этапах следует сосредоточиться на долгосрочных изменениях (например, изменениях инфраструктуры), чтобы максимально защитить компанию.

3. Определяем объемы ущерба

Компания всегда может обратиться в суд с гражданским иском о возмещении убытков, тогда рассчитанный объем ущерба станет основой для взыскания средств с виновных. На объем ущерба влияет стоимость информации, но при условии проведенной ранее оценки, в противном случае руководство может рассчитать только размер упущенной выгоды.

Чтобы определить стратегию для пиарщиков, необходимо удостовериться, были ли в массиве персональные данные сотрудников, партнеров и клиентов. В случае наличия такой информации — компании грозят не только репутационные риски, но и санкции со стороны государства, вплоть до уголовной ответственности.

4. Ищем виновника и собираем доказательства

Если атака произошла извне, то служба безопасности пытается провести ее атрибуцию. Если изнутри — то ищет инсайдера, при этом алгоритм поиска виновника при намеренной и ненамеренной утечках отличается.

• В первом случае офицеры безопасности очерчивают круг лиц, которые имели доступ к информации и возможные каналы передачи данных, чтобы зафиксировать на них потенциальные цифровые следы. В этом помогает DLP-система, которая фиксирует всю активность сотрудников за компьютерами. На основании собранных доказательств в совокупности со сведениями из иных источников, служба безопасности указывает на возможного виновника.
• Если произошла случайная утечка, офицеры безопасности выясняют, кто из сотрудников работал со скомпрометированной информацией. Они оценивают масштабы и скорость распространения потерянной информации, чтобы предсказать последствия. Служба безопасности определяет механизм утечки и принимает меры к ее ликвидации. В конце концов, определяются предпосылки инцидента и проводится работа над ошибками.

Приказ о подаче документов в суд принимают руководители. Важно соблюдать установленные процедуры сбора и обработки доказательств. Команда должна четко документировать и координировать работу с юристами и правоохранительными органами. В случае судебного разбирательства данные DLP-системы, как и другие технические сведения, помогут в деле установления виновного.

5. Оповещаем клиентов и партнеров

Если от утечки пострадали третьи лица, рекомендуется опубликовать сообщение — лаконично рассказать, что и когда произошло, какие меры предприняты, найдены ли виновные. Грамотное поведение и публикация результатов спасают репутацию компании.

Кейс Yahoo

Компания Yahoo, и так находящаяся в долгой стагнации в связи с потерей доли на рынке и оттоком пользователей, сильно подмочила свою репутацию, когда долгое время не хотела подтверждать слухи об утечке 500 миллионов аккаунтов пользователей. Позднее компания все-таки признала факт утечки, однако заявила, что виновны в ней «правительственные хакеры».

Дополнительным ударом по репутации оказалось появившаяся буквально через несколько месяцев информация о новой утечке — на этот раз затронувшей миллиард аккаунтов.

Несмотря на то что новый инцидент подставил под удар гораздо большее количество пользователей, благодаря оперативному реагированию и грамотной работе пиарщиков и технической поддержки тему удалось относительно быстро замять. Компания предупредила пользователей и сбросила для пострадавших пароли до того, как могла бы появится вызванная слухами паника, приводящая к значительному оттоку клиентов.

Кейс Heartbleed

В 2014 году огромный резонанс вызвала выявленная в криптографическом пакете данных OpenSSL уязвимость, получившая название Heartbleed (исчерпывающее объяснение уязвимости в виде комикса сделал Рэндалл Монро). Ошибке было подвержено около 17% всех защищенных веб-сайтов в интернете. К счастью, исправить уязвимость было довольно легко и большинство крупных интернет-сервисов устранили ее в первые же дни.

Однако сайт РЖД (как и обеспечивающий процессинг на сайте банк ВТБ-24) не уделили должного внимания проблеме и не смогли оперативно исправить уязвимость. Вследствие этого было скомпрометирована информация о более чем 200000 банковских карт (на тот момент РЖД являлся крупнейшим онлайн-продавцом России по обороту).

Несмотря на то, что РЖД и ВТБ-24 сперва никак не комментировали событие, а позже отрицали факт утечки, большинство банков приняло решение перевыпустить карты, которые клиенты использовали для покупок на сайте РЖД. В этом случае образцовой реакцией на инцидент можно назвать действия «Рокетбанка» — они уведомили клиентов и перевыпустили их карты сразу же после появления информации об утечке.

6. Делаем выводы

После надлежащего расследования в организации необходимы системные изменения. Для этого готовится отчет, в котором подробно описываются причина и стоимость инцидента, а также меры для предотвращения будущих происшествий.

Важно усвоить урок и обновить политики и процедуры реагирования на инциденты, выявить недостающие шаги или неточности в процедурах. Утечка может стать импульсом для изменений, что не так уж плохо при меняющемся характере информационных технологий.

После серьезных нападений целесообразно проводить собрания. Отчеты с таких встреч — хороший материал для обучения новых членов команды, который показывает, как более опытные сотрудники реагируют на инциденты.

Итак, основные шаги при утечке информации:

1. Оценить силы: хватит ли людей и ресурсов и есть ли план реагирования;
2. Локализировать инцидент, ликвидировать последствия и восстановить работу системы;
3. Оценить объем ущерба;
4. Выработать тактику поведения при общении с прессой, сформировать необходимые варианты ответов для различных аудиторий;
5. Оповестить клиентов, регулирующие органы, акционеров; проинструктировать сотрудников;
6. Собрать доказательства и попытаться определить виновника;
7. Сделать выводы и улучшить работу службы безопасности.

К сожалению, для предотвращения утечек одной DLP-системы недостаточно: нужны юридические меры, как режим коммерческой тайны, соглашения о неразглашении конфиденциальной информации, и развитая корпоративная культура — система ценностей и благоприятная атмосфера в коллективе.

Материалы по теме:

Как искусственный интеллект помогает Facebook бороться с терроризмом

10 интересных RegTech-стартапов из-за рубежа

Россия заняла второе место в рейтинге стран по количеству кибератак

Попались на розыгрыше авиабилетов в сети? Вот что нужно сделать

31 технология, перевернувшая мир

«Мы не берем на работу хакеров — у них нет принципов»