Jednym z najtrudniejszych problemów cyberbezpieczeństwa przedsiębiorstw, z którym otwarcie boryka się amerykańska Komisja Papierów Wartościowych i Giełd, jest to, kiedy firma powinna zgłosić naruszenie danych?
Najprostsza część brzmi: „Jak długo po tym, jak firma dowie się o naruszeniu, powinna je ujawnić?” Różne systemy zgodności mają różne liczby, ale są one stosunkowo podobne, od 72 godzin objętych RODO do pierwszych czterech dni SEC.
Najtrudniejszą częścią jest określenie, kiedy podmiot korporacyjny faktycznie „wie”, że coś się wydarzyło. Kiedy dokładnie Walmart lub ExxonMobil coś wiedziały? (Gdyby sformułowanie brzmiało „kiedy dyrektor finansowy firmy jest przekonany, że doszło do naruszenia danych”, byłoby to znacznie prostsze).
Aby zrozumieć ten problem świadomości, musimy najpierw podzielić go na dwa odrębne elementy:
Zacznijmy od pierwszego elementu. Z wyjątkiem oczywistych ataków, takich jak atak oprogramowania typu ransomware, podczas którego otrzymano okup wraz z dowodem penetracji, większość ataków następuje stopniowo. Ktoś w SOC wykrywa anomalię lub coś podejrzanego. Czy wystarczy poinformować? Prawie na pewno nie. Wtedy angażuje się ktoś wyższy w SOC.
Jeśli sytuacja nadal wygląda źle, zgłasza się to CISO lub CSO. Przywódca ten mógłby powiedzieć: „Zdradziłeś mnie. Muszę to natychmiast zgłosić CIO, CFO i ewentualnie dyrektorowi generalnemu. Jeżeli tak, to nie osiągnął jeszcze etapu ujawnienia. Ci pozostali przywódcy muszą wziąć w tym udział.
Jednak CISO/CSO najprawdopodobniej odpowie, mówiąc coś w stylu: „Jeszcze tego wszystkiego nie rozpracowałeś. Zawsze będzie to jedna z setek różnych rzeczy. Przejrzyj kopie zapasowe, wykonaj porównania, sprawdź Dark Web w celu uzyskania potwierdzenia. Kontynuuj dochodzenie.
Czy zegar już się zaczyna? Prawdopodobnie nie. Firma nie jest w stanie zgłosić wszystkich dochodzeń w sprawie cyberbezpieczeństwa. Poziom dowodów wymaganych do uzasadnienia publicznego ujawnienia jest wysoki. Przecież szkoda biednego dyrektora, który zgłasza naruszenie, które później okazuje się niczym.
Kolejny czynnik: większość cyberzłodziei i cyberterrorystów doskonale potrafi zacierać ślady i pozostawiać mylące ślady. Modyfikowanie logów jest powszechne, co oznacza, że bezpieczeństwo IT może jak dotąd opierać się wyłącznie na logach, przynajmniej początkowo. Pamiętaj, ile razy pierwszy raport kryminalistyczny różni się znacząco od drugiego raportu kryminalistycznego. Oddzielenie prawdy od wszystkiego, co wprowadzają w błąd napastników, pozostawia po sobie po prostu potrzeba czasu, nawet doświadczonym śledczym.
Jeśli chodzi o drugie, kto decyduje, kto powinien podjąć ostateczną decyzję w przypadku naruszenia danych? Można postawić argument na najlepszego eksperta ds. cyberbezpieczeństwa (prawdopodobnie CISO/CSO) lub najbardziej odpowiedzialne osoby w firmie (dyrektor generalny lub zarząd), ale w przypadku niektórych firm dobrym kandydatem może być dyrektor ds. ryzyka.
Czy każda firma wybiera sama? Czy regulatorzy powinni decydować? A może organy regulacyjne powinny pozwolić każdemu przedsiębiorstwu samodzielnie decydować, kto będzie osobą kontaktową i zgłaszać ten tytuł organom regulacyjnym?
Jim Taylor, menedżer produktu w firmie SecurID, dostawcy rozwiązań cyberbezpieczeństwa, twierdzi, że wyzwalacz powinien nastąpić bezpośrednio w SOC. „To, że coś uderza w twój płot, nie jest wyzwalaczem. Być może będzie to główny analityk, a może lider SOC” – powiedział Taylor. „Musi być poczucie winy i odpowiedzialność za te rzeczy”.
Jednak zbyt wczesne podjęcie decyzji może być problematyczne. Zgłoś naruszenie przedwcześnie, a będziesz mieć kłopoty. Zgłoś naruszenie za późno, a będziesz mieć kłopoty. „Jesteś przeklęty, jeśli to zrobisz i przeklęty, jeśli tego nie zrobisz” – powiedziała Taylor.
Prawda jest taka, że jest to trudne i tak powinno być. Każde naruszenie jest inne, każda firma jest inna, a sztywne zasady definicji prawdopodobnie stworzą więcej problemów niż rozwiążą.
„Charakter sposobu, w jaki doszło do naruszenia, jest ważnym czynnikiem pozwalającym wiedzieć, kiedy je ujawnić” – powiedział Alex Lisle, dyrektor ds. technicznych Krytowire, innej firmy zajmującej się bezpieczeństwem cybernetycznym. „Jeśli pomyślisz o tym na tyle, aby zatrudnić zespół kryminalistyczny, powinieneś poważnie rozważyć zgłoszenie tego”.
W starym programie telewizyjnym „Scrubs” był świetny fragment, w którym lekarz kierujący laboratorium badawczym pyta osobę chcącą powtórzyć test: „Czy myślisz, że się myliłem, czy masz nadzieję, że się myliłem?”. To zdanie często może mieć zastosowanie, gdy wiele osób próbuje ustalić, czy firma rzeczywiście została zaatakowana. Czy zespół w jakiś sposób wie, że został zaatakowany i ma nadzieję, że dalsze dochodzenie obali tę informację? A może zespół naprawdę o tym nie wie?
W tym miejscu musi wkroczyć wyznaczony urzędnik ds. ustalania niewykonania zobowiązania, oparty na doświadczeniu i, szczerze mówiąc, silnej intuicji. Niektóre elementy cyberbezpieczeństwa to czysta nauka. Często nie udaje się podjąć decyzji na bardzo wczesnym etapie, czy rzeczywiście doszło do naruszenia danych.
Prawa autorskie © 2022 IDG Communications, Inc.