Главная » Блоги Экспертов И ИТ-Компаний » Что делать компании после кибер-атаки
Возможность размещать посты на проекте остановлена

Редакция CNews готова принять пресс-релизы компаний на адрес news@cnews.ru.

Приглашаем вас делиться комментариями о материалах CNews на наших страницах платформ Facebook, Telegram и Twitter.

Что делать компании после кибер-атаки

Мы слышим это от экспертов каждый день: очень сложно предотвратить кибер-атаки, почти невозможно. В связи с этим, что должны делать компании – так это совершенствовать свои процессы реагирования на осуществляемую атаку, чтобы как можно быстрее восстановить контроль, вылечить компьютеры, оценить ущерб и предпринять соответствующие действия. То, как слаженно и оперативно будет реагировать компания в подобной ситуации, имеет решающее значение. Требуется быстрая эффективная реакция, которая позволит снизить негативный эффект в долгосрочной перспективе.

В данной статье мы приводим основные шаги для решения этой непростой задачи (вспомните нашумевшие случае с такими компаниями как SonyPicturesEntertainmentили HomeDepot), которые помогут Вам успешно пережить кибер-атаку.

1. Реализовать план реагирования. 

Как только была обнаружена атака, первое, что всегда необходимо сделать, - это запустить соответствующий план реагирования, который должен быть разработан заранее. Поэтому если Ваша компания до сих пор не имеет таковой, Вам следует как можно быстрее приступить к его созданию.

Почему важно иметь план? Потому что при наличии плана, Ваша реакция будет быстрее. Эти планы должны четко определить, кто в компании и как будет действовать, кто еще должен быть вовлечен в эти процессы (поставщики, партнеры), каким образом каждый департамент должен себя вести, какие технологии необходимы для реагирования на атаку, и даже как определить степень угрозы, какая корпоративная информация была украдена или повреждена и т.д.

Реализация плана предполагает, в первую очередь, определение атаки, если она все еще продолжается, чтобы остановить заражение оставшихся систем или устройств и очистить те, что уже были заражены. Если необходимо, мы должны остановить работу систем, чтобы обеспечить их очистку. Затем следует проанализировать, где произошло нарушение безопасности и как, какие меры безопасности были предприняты (шифрование и т.д.), а какие не сработали, после чего стоит приступить к полному восстановлению данных и систем.

Кроме того, рекомендуется запустить дополнительный мониторинг в течение нескольких дней после атаки, чтобы убедиться в том, что вы не заразились снова.

2. Координация работы команды по противодействию кибер-атаке. 

Как уже упоминалось выше при рассмотрении плана реагирования, следует указать, кто будет нести ответственность за борьбу с кибер-атакой. Сейчас все специалисты должны работать скоординировано. Конечно, это касается не только сотрудниковIT-профиля и тех, кто связан с информационной безопасностью. В эту команду также должны быть привлечены сотрудники департамента по связям с общественностью, отдела по работе с персоналом, группы развития бизнеса, линейные руководители и юридический департамент. Прежде всего, они должны обеспечить эффективную и скоординированную реакцию не только по отношению к своим собственным сотрудникам, но также и клиентам, поставщикам, общественности.

3. Внешниеконтакты. 

Коллектив, ответственный за реагирование на кибер-атаку, также должен связаться со своими поставщиками IT-решений и решений безопасности, а также другими компаниями, которые могут им помочь в решении данного инцидента, а также сообщить об этом в соответствующие органы власти и местного управления, а также в правоохранительные органы.

Также необходимо встретиться с официальными представителями этих компаний и внешними экспертами, чтобы оценить возможные последствия для поставщиков, клиентов, собственников компании… С другой стороны необходимо принимать во внимание тот факт, что способы связи по данному инциденту могут варьироваться в зависимости от сектора экономики и критического характера пострадавших данных. Например, если нарушение произошло в финансовом секторе или в сфере здравоохранения, то крайне важно оперативно осуществить соответствующие коммуникации. В этой связи крайне важно задокументировать масштабы атаки, когда она произошла и когда закончилась, какая информация была повреждена или украдена и т.д.

4. Прозрачность и коммуникация. 

Эти два требования являются крайне важными после инцидента безопасности. Молчание только порождает неопределенность и недоверие, что может иметь крайне негативные последствия для имиджа компании. Коммуникации с сотрудниками, клиентами и партнерами должны быть постоянными после кибер-атаки. Они должны знать масштабы инцидента и понимать, какие действия они могут предпринять (например, изменить пароли доступа к сервису, как сделал Evernoteпосле того как они стали жертвой атаки), даже в тех случаях, когда письма или другая информация сотрудников (или клиентов) стала доступной (смотрите случай с SonyPictures). Некоторые эксперты считают, что может быть полезной и психологическая помощь.

В дополнение к коммуникациям об инциденте через соответствующие каналы, можно использовать и дополнительные (не только по почте, но и по телефону и пр.), а если речь идет о мощной кибер-атаке, то может быть создан специальный колл-центр для предоставления соответствующей информации с указанием последующих действий по отношению к пострадавшим. Необходимо даже разработать стратегию мониторинга социальных сетей, чтобы проанализировать, как кибер-атака повлияла на имидж компании, а также использовать данный канал связи для предоставления ответов на вопросы, что позволит продемонстрировать прозрачность и повысить степень доверия.

5. Пусть будет уроком. 

Ни одна компания не хочет столкнуться с подобными ситуациями, но если все же вы пострадали, то посмотрите на это с другой стороны, принять к сведению и выучить урок. Это хороший опыт для любой компании, чтобы проанализировать случившееся, выбрать лучшие практики во избежание подобных ситуаций в будущем и улучшить свои способности реакции, если подобное все же случится снова.

Оригиналстатьи: How to act after a cyber-attack

 

Panda Security в России
+7(495)105 94 51, marketing@rus.pandasecurity.com
http://www.pandasecurity.com



Данный материал является частной записью члена сообщества Club.CNews.
Редакция CNews не несет ответственности за его содержание.
Комментарии
Другие публикации
RU, Екатеринбург
+7(495)1059451
Информационные технологии

С момента своего создания в 1990 году, компания Panda Security стала одним из ведущих европейским транснациональным производителем передовых решений и сервисов информационной безопасности с опциями расширенной защиты, а также инструментов управления и контроля над компьютерами и ИТ-системами. Компания последовательно придерживается духа инноваций и отмечена рядом наиболее важных достижений в своей сфере.

Компания Panda Security – это лидирующий европейский EDR-производитель со 100% европейским составом акционеров, штаб-квартирой, технологиями и облачной платформой. Ее современная и эффективная модель информационной безопасности стала визитной карточкой, которая позволила компании получить многочисленные официальные сертификаты, такие как сертификация по общим критериям Common Criteria или сертификаты Национального криптологического центра (National Cryptology Center).

Компания имеет представительства в более чем 80 странах мира, а ее продуктами, переведенными на 23 языка, пользуются миллионы клиентов во всем мире.

https://www.cloudav.ru

 

 




Забыли пароль?

Редакция CNews готова принять пресс-релизы компаний на адрес news@cnews.ru.

Приглашаем вас делиться комментариями о материалах CNews на наших страницах платформ Facebook, Telegram и Twitter.