|
|
|
|
Пять наиболее распространенных ошибок реагирования на инцидент безопасности
На них указывает на сайте csoonline.com эксперт К. Зуркус.
1. Неподготовленность
В организациях, не подготовившихся заранее к хакерским атакам, любое несанкционированное вторжение вызывает панику, растерянность, неверное реагирование, что, в конечном счете, отражается на статье непредвиденных расходов. При правильной заблаговременной подготовке организациям не составляет труда оперативно ответить на вопросы: «Какая информация утекла?», «Как хакерам удалось пробраться в корпоративные сети?», «Как долго злоумышленники хозяйничали в базах данных?», «Откуда они пришли?» и тому подобное. Чтобы безошибочно и быстро получать ответы на эти и другие вопросы, организация должна иметь квалифицированный штат специалистов по информзащите, продуманные процессы и соответствующие технологии. В противном случае компания уподобляется слепцу, уверовавшему, что ему ничто не грозит.
2. Неверное определение масштабов инцидента
Организация может найти одну пробоину в системе кибербезопасности, а может насчитать таких дыр двадцать. Без точного понимания масштабов атаки невозможен адекватный ответ. Часто получается, что при восстановлении системы вы занимаетесь совсем не той проблемой, которой надо в данный момент.
3. Запоздалое обращение к услугам юристов
Нередко бывают ситуации, когда привлечение юристов критически необходимо, причем, чем раньше, тем лучше. Именно юристам надо доверить контакты с внешней средой, чтобы минимально снизить урон от утечки важной коммерческой информации, особенно связанной с клиентской базой, а также избежать преждевременного обнародования самого факта инцидента. О нем можно рассказать, когда уже проведена аналитическая работа и все аспекты прояснены: что случилось, как случилось, каковы результаты.
4. Ложное представление, что «миссия выполнена»
Непозволительно делать окончательный вывод, что в результате инцидента пострадали такие-то базы данных, или заявлять, что все восстановлено, в то время как вы еще не смогли оценить весь масштаб инцидента, все его последствия. Это означает задвигать проблему на задний план. Лучше скажите себе и другим: «Мы все еще изучаем ситуацию. Вот что мы уже знаем к данному моменту». Скоротечные выводы, в конечном счете, могут обернуться умножением реальных потерь, в том числе финансовых.
5. Непонимание корневых причин инцидента и вектора атаки
Если вы не поняли, почему и как преступникам удалось взломать ваши хранилища данных, если во время не определили вид атаки, то ждите повторного нападения завтра. Если не отремонтировали и плотно не закрыли дверь, через которую преступники проникли в вашу организацию, они явятся вновь. Вопрос времени – завтра, через неделю, через месяц. Надо принимать во внимание страх ошибиться, особенно если компании не хватает опыта и квалификации бороться с киберпреступностью. В этом случае рекомендуется обратиться к внешним экспертам и консультантам.
|