Взлом наносит большой ущерб, особенно когда похищены или скомпрометированы данные клиентов. Но то, как компания отреагирует на атаку, может иметь большое значение в отдаленной перспективе.

Быстрая и эффективная реакция позволяет свести к минимуму ущерб или, по крайней мере, выставить организацию в положительном свете перед клиентами, бизнес-партнерами и обществом в целом. А замедленная и неудачная реакция способна усугубить ситуацию и принести убытки на много лет вперед.

Приведем шесть рекомендаций, которым стоит последовать, если ваша компания оказалась жертвой хакерского взлома.

Что делать, если «вас взломали»?

1. Сохраняйте спокойствие и осуществляйте план реагирования

Первое, что нужно сделать после взлома, — ввести в действие хорошо продуманный план реагирования на происшествия. Если, конечно, он у вас есть. А если нет, то надо его быстро подготовить.

В таком плане нужно предусмотреть, кто будет отвечать за реагирование в целом, перечислить других участников, меры, которые должны принять разные группы, технические средства, которые понадобятся для распознавания атаки и противодействия ей, и т. д.

«Легко запаниковать, начав пытаться ограничивать ущерб, — отмечает Эрик Коул, преподаватель, директор программы киберзащиты SANS Institute. — Но часто, когда нет плана реакции, вы можете неосознанно начать уничтожать улики и делать все только хуже».

В план надо включить: оценку масштабов взлома; идентификацию скомпрометированных данных; совместное с юридическим отделом выяснение, нужно ли довести инцидент до сведения правоохранительных органов; определение того, насколько атака скомпрометировала организацию в целом; оценку ущерба.

При осуществлении плана нужно сосредоточиться на нескольких ключевых задачах. Одна из них — сдерживание. Необходимо позаботиться о том, чтобы вытеснить атакующего из сети. Атакующие могут вести себя очень агрессивно, и если, все еще сохраняя доступ к данным, они поймут, что вы пытаетесь очистить систему, то могут нанести большой ущерб.

Чтобы свести к минимуму возможный дальнейший ущерб от атаки, обычно пытаются изолировать систему и поставить под контроль поток трафика.

Вторая задача — ликвидация уязвимостей. Полное отключение систем на период инцидента — не лучшее решение, однако необходимо уделить время устранению проблемы для предотвращения повторного заражения. Во время инцидента в организациях часто стремятся все восстановить из резервных копий, чтобы как можно быстрее вернуться к работе, но при этом не уделяют внимания устранению самих брешей, которые были использованы атакующим для взлома.

Если противник ворвался в сеть однажды, а проблема не устранена, он сделает это снова.

Третья задача — восстановление. После устранения брешей, использовавшихся для компрометации систем, нужно переключить внимание на восстановление данных и возвращение систем к работе: важно всегда проверять системы, прежде чем вводить их в рабочую эксплуатацию. В процессе восстановления нередко происходит повторное заражение систем.

После проверки систем нужно выполнять их мониторинг, чтобы не позволить атакующему вернуться. «Акцент нужно делать не на активном противодействии противнику, а на пассивном мониторинге процессов и предотвращении повторного взлома и заражения», — добавляет Коул.

2Соберите команду реагирования

«Если произошел взлом, оценкой ситуации должна заняться команда реагирования на инциденты», — подчеркивает Тим Фрэнсис, руководитель по киберстрахованию Travelers.

В такую команду надо включить бизнес-руководителей, сотрудников ИТ-службы и представителей операционного, кадрового, юридического и PR-отделов.

«Возможно, вам понадобится “инструктор по взломам” — адвокат с опытом работы по делам, связанным с нарушениями безопасности и приватности. Он поможет с юридической защитой и толкованием законов и декретов, которые могут быть применены к вашей организации в связи с утечкой данных», — уточняет Фрэнсис.

3По мере необходимости взаимодействуйте с поставщиками и специалистами в области безопасности

Когда надо выяснить причину взлома и позаботиться о предотвращении дальнейших атак, во многих случаях может понадобиться помощь поставщиков ИТ-систем предприятия и компаний, специализирующихся на консультировании по вопросам безопасности.

В начале 2014 года инфраструктура виртуальных машин Иллинойсского технологического института оказалась задействованной в распределенной атаке на отказ в обслуживании, направленной против другого вуза.

«Мы выяснили, что причиной стала уязвимость в платформах VMware, для которой мы не поставили заплату, — сообщает Луис Макхью, системный администратор, преподаватель института. — Брешь нашли в результате проведенного нами исследования и консультаций со специалистами техподдержки VMware. Оказалось, что через нас осуществлялось отражение пакетов NTP для усиления основной DDoS-атаки; мы тогда все еще пользовались NTP для синхронизации времени на серверах».

По признанию Макхью, заплату не установили вовремя в нарушение рекомендаций по лучшим практикам. «Теперь мы внесли изменения, которые нам посоветовали в VMware, — установили заплаты и укрепили серверы для защиты от будущих атак. Кроме того, мы отключили ненужные сервисы на всех системах, регламентировали правила установки заплат для Windows- и Linux-серверов и настроили межсетевые экраны на периферийных маршрутизаторах», — рассказал Макхью.

4Решите юридические вопросы

После инцидента со взломом топ-менеджерам по ИТ, безопасности и другим нужно провести собрание с участием корпоративных и внешних юристов для обсуждения возможных последствий.

«Адвокаты помогут решить вопросы, касающиеся уведомления властей, а кроме того, могут быть особые требования к таким уведомлениям в контрактах с поставщиками и процессинговыми центрами», — отмечает Ларри Кунин, председатель практики по безопасности и утечкам данных адвокатской конторы Morris Manning & Martin.

Так как первопричина появления бреши не всегда сразу ясна, на решение проблем может уйти определенное время и нужно будет принять меры по сохранению всех улик, подчеркивает Скотт Верник, глава практики по приватности и защите данных юридической фирмы Fox Rotshild.

Нужно всегда помнить, что у правоохранительных или регулирующих органов могут возникнуть какие-то требования и что впереди вас может ждать судебное разбирательство. Поэтому при проведении расследований и устранении проблем нужно заботиться о сохранении улик. Возможно, надо будет «клонировать» содержимое серверов, ноутбуков и настольных систем, а также сделать снимки документов и провести расследование по копиям, а не оригиналам.

Юридические вопросы обычно касаются возможности расследования правительством местного или федерального уровня, а также уведомления различных заинтересованных сторон, в том числе бизнес-партнеров, согласно соответствующим нормативным требованиям.

Некоторые правила и процедуры уведомления о взломе могут зависеть даже от отрасли.

Необходимо стараться быть максимально честными и открытыми. Это может быть непросто, поскольку не всегда сразу выясняются все подробности. Но что касается заинтересованных сторон, особенно клиентов, работников и представителей госструктур, то чем быстрее вы все раскроете и чем более открытыми будете, тем лучше, как правило, все заканчивается для вас.

5Урегулируйте вопросы страхования

После взлома как можно скорее уведомите свою страховую компанию. Необходимо, чтобы ИТ-персонал собрал и задокументировал факты относительно инцидента. Часто важную роль в уточнении времени начала атаки и выявлении компьютеров, через которые был совершен взлом, играют протоколы событий безопасности сети.

Данные нужно классифицировать, чтобы выяснить, были ли скомпрометированы финансовая информация и сведения, позволяющие установить личность (например, номера социальной страховки, электронные медицинские карты и иные конфиденциальные сведения). Это позволит сосредоточиться на защите самых важных конфиденциальных данных. Нужно задокументировать в человеко-часах время, затраченное на борьбу с атакой, а также затраты на восстановление.

6Будьте на связи

Важно держать служащих, клиентов, бизнес-партнеров и другие заинтересованные стороны в курсе последней информации об атаке, ее влиянии и реакции организации. Молчание может указывать на вашу некомпетенцию, путаницу или что-то худшее.

«Компаниям очень часто приходится многократно менять публикуемую информацию о масштабах взлома, — отмечает Даррен Хэйес, доцент, директор по кибербезопасности факультета компьютерной науки Университета Пейс. — В Target, возможно, до сих пор не знают, сколько именно записей о покупателях было украдено. Поэтому вам придется уведомить всех клиентов, которым нужно быть бдительными. Также не стоит быть консервативными в оценках последствий взлома».

Пользуйтесь инструментами анализа эмоциональной окраски высказываний, чтобы отыскивать клиентов, жалующихся в социальных сетях, и отвечать на эти жалобы. Считается, что инструменты такого рода нужны прежде всего для маркетинга, но они могут быть эффективными и после инцидентов со взломом.

Но эффективная связь — это еще не все. Нужно также учесть психологические последствия атаки для служащих и клиентов, особенно если результатом стала утечка данных электронной почты или информации, позволяющей установить личность.

«Когда в систему компании проник чужак, это вызывает ощущение серьезного нарушения личного пространства, — полагает Том Кинан, профессор компьютерной науки и природоохранного проектирования Университета Калгари. — Большинство людей воспринимают информацию из электронной почты, даже рабочей, как личную переписку. После взлома стоит найти профессиональных психологов, которые помогут людям справиться с шоком, вызванным тем, что их частная информация попала в чужие руки».

- Bob Violino. You’ve Been Hacked. Now What? Network World. Feb 23, 2015

Купить номер с этой статьей в PDF