7 Kroki mające na celu ochronę Twojej firmy przed naruszeniem danych

Miliony akt personelu rządowego zostały ostatnio narażone na szwank w ramach złośliwego włamania do Biura Zarządzania Kadrami rządu federalnego (OPM) i Departamentu Spraw Wewnętrznych. Jako dział kadr rządu federalnego, OPM prowadzi akta osobowe wszystkich pracowników, a także wydaje poświadczenia bezpieczeństwa, co czyni to naruszenie bezpieczeństwa cybernetycznego szczególnie szkodliwym.

Podczas gdy rząd federalny jest prawdopodobnym celem złośliwego hakerstwa, w przeszłości najczęstszymi celami były detaliści i inne firmy, które prowadzą bazy danych zawierające informacje o kartach kredytowych.

Jednym z najbardziej zauważalnych naruszeń ostatnich kilku lat był ogromny kompromis systemów Target Corp. w 2013 roku, który dotknął aż 110 milionów klientów w najbardziej ruchliwym sezonie zakupowym roku. Od 27 listopada do połowy grudnia hakerzy mieli dostęp do nazwisk klientów, adresów pocztowych, numerów telefonów, adresów e-mail i informacji o kartach kredytowych. Do 15 grudnia Target dysponował zewnętrznym zespołem kryminalistycznym, a atak został złagodzony. 18 grudnia, historia ta została przerwana w wyniku wpisania jej przez blogera z działu bezpieczeństwa. Ostatecznie, Target poinformował zainteresowanych kupujących karty kredytowe/debetowe, którzy dokonali zakupów w jednym ze sklepów firmy podczas ataku, że ich dane osobowe i finansowe zostały narażone na szwank. Wydarzenie to doprowadziło również do ewentualnej rezygnacji dyrektora generalnego firmy w 2014 roku.

W wyniku naruszenia cel poprawił bezpieczeństwo cyberprzestrzeni: Na korporacyjnej stronie internetowej opisane są różne zmiany w procedurach i protokołach bezpieczeństwa, w tym ulepszony monitoring, firewalle i stosowanie haseł.

Wielu ekspertów przeanalizowało sposób, w jaki doszło do naruszenia i oceniło reakcję firmy Target, a także zidentyfikowało kilka kroków, które firmy, niezależnie od ich wielkości, mogą podjąć, aby lepiej się chronić. Pamiętaj: Poza wszelkimi płatnościami wynikającymi z wyroków sądowych lub ugód z powodami, a także znaczącymi opłatami i karami, firma może stracić znaczne dochody z powodu utraty reputacji.

1. Mianowanie głównego inspektora bezpieczeństwa informacji w celu nadzorowania programu bezpieczeństwa informacji. Posiadanie specjalisty znającego najlepsze praktyki w zakresie bezpieczeństwa danych umożliwi firmie opracowanie planu najlepszej ochrony przed włamaniami do danych, w tym ustanowienie programów szkoleniowych w zakresie świadomości bezpieczeństwa i wdrożenie technologii związanych z bezpieczeństwem. Wyznaczenie dyrektora ds. bezpieczeństwa informacji pokazuje również reszcie organizacji, że firma poważnie traktuje bezpieczeństwo danych i pomaga wspierać kulturę wrażliwą na ochronę danych.

2. Wdrożenie zaktualizowanej technologii bezpieczeństwa. Aktualizacja technologii jest często decyzją o kosztach i korzyściach. Eksperci branżowi zauważyli, że większość firm i Stanów Zjednoczonych jako kraju używa przestarzałych danych i technologii zabezpieczeń kart kredytowych. Na przykład, technologia kart chipowych w kartach kredytowych jest stosowana w Europie, ale nie będzie w pełni wdrożona w Stanach Zjednoczonych przez kolejne kilka lat.

3. Przeprowadzać okresowe audyty bezpieczeństwa. Audyt bezpieczeństwa jest wymierną oceną polityki bezpieczeństwa firmy. Po ataku “Target” firma przyznała, że ominęły ją pewne znaki ostrzegawcze o potencjalnych lukach w bezpieczeństwie, które mogły się pojawić w audycie bezpieczeństwa. Wiele firm często wymienia audyty jako jedną z procedur informacyjnych i bezpieczeństwa, ale w rzeczywistości ich nie przeprowadza. Podczas gdy szczegółowy audyt bezpieczeństwa powinien być przeprowadzany okresowo, wszystkie systemy internetowe powinny być co najmniej raz na kwartał poddawane skanowaniu luk w celu zidentyfikowania wszelkich zagrożeń lub aktualizacji, które należy zastosować. Oprogramowanie do przeprowadzania takich skanowań jest łatwo dostępne na rynku.

4.Ustalić politykę “âclean deskâ”. Wszyscy pracownicy w organizacji powinni mieć świadomość, że nie pozostawiają informacji wrażliwych lub poufnych w żadnym miejscu, do którego mogłyby mieć dostęp osoby nieupoważnione. Dotyczy to zarówno danych papierowych, które mogą być pozostawione w sali konferencyjnej lub biurze, jak i plików elektronicznych, które mogą być pozostawione w sieci, na niezabezpieczonym komputerze lub w skrzynce pocztowej. Ustanowienie protokołów ochrony haseł z obowiązkową, częstą zmianą hasła i programem świadomości bezpieczeństwa powinno być częścią inicjatywy bezpieczeństwa danych każdej firmy.

5. Opracowanie planu reagowania na incydenty. Po wykryciu naruszenia, najwyższym priorytetem jest zazwyczaj usunięcie naruszenia za wszelką cenę. Jest to właściwe podejście dla zespołu technicznego; jednak inne osoby w firmie muszą jednocześnie zacząć zastanawiać się, w jaki sposób naruszenie zostanie podane do wiadomości publicznej i tych, których ono dotyczy, a także stworzyć plan reagowania w celu złagodzenia wszelkich negatywnych skutków. Plan ten musi obejmować działania, które należy podjąć w całej firmie w obszarach poza IT, w tym w zakresie zasobów ludzkich, prawnych, obsługi klienta, kadry kierowniczej oraz relacji korporacyjnych z inwestorami. Wielu klientów docelowych chciało porozmawiać z kimś w firmie o naruszeniu, ale nie udało im się przez nie przebrnąć, co spotęgowało istniejące szkody.

6. Natychmiast powiadomić o problemie. Chociaż czas naruszenia danych nie był pod kontrolą firmy Target i wystąpił w najgorszej porze roku, firma miała pełną kontrolę nad tym, kiedy i w jaki sposób przekazać wiadomości do wiadomości publicznej. Firma Target czekała dni po wykryciu problemu, zanim ostrzegła klientów. Firma powinna być gotowa do ujawnienia takich problemów od razu, aby kontrolować przepływ informacji i zapewnić, że właściwe informacje są rozpowszechniane w odpowiednim czasie.

7. Rozszerzenie praktyk bezpieczeństwa na klientów i dostawców. Firma może mieć najlepsze praktyki bezpieczeństwa na świecie, ale jeśli dzieli się danymi z klientami i/lub sprzedawcami za pośrednictwem swoich systemów, słabość w systemach lub procesach dostawców lub klientów może nieumyślnie wrócić do systemów firmy. Niezwykle istotne jest, aby firmy opracowały pewnego rodzaju procesy zarządzania dostawcami/klientami, które monitorują zgodność tych dostawców/klientów, którzy udostępniają dane elektroniczne z podstawowymi parametrami bezpieczeństwa. Chociaż trudno jest kontrolować systemy utrzymywane przez stronę zewnętrzną, firma może przynajmniej zrozumieć ryzyko i podjąć wszelkie niezbędne działania w celu jego ograniczenia. Hakerzy, którzy zaatakowali Target, wykazali się niezwykłymi umiejętnościami w skutecznym zaaranżowaniu naruszenia danych w 2013 roku.

Rosnąca liczba przypadków naruszenia danych świadczy o aktualnej wartości danych dotyczących kart kredytowych na rynku przestępczym. Uświadomienie sobie znaczenia najlepszych praktyk w zakresie bezpieczeństwa danych oraz wdrożenie odpowiednich środków bezpieczeństwa pomoże uchronić Twoją firmę od stania się kolejną ofiarą.

O autorach:

Stuart Nussbaum jest partnerem, a Michael Pinna jest dyrektorem w WeiserMazars LLP.