Как организовать работу отдела информационной безопасности после утечки данных

При правильном подходе к планированию и реагированию вы сможете усовершенствовать работу отдела ИБ и лучше защитить свою компанию.

Последствия утечки данных для компании можно оценить с разных точек зрения. Одним из самых значительных и долговременных последствий чаще всего считают подрыв репутации: люди начинают воспринимать организацию как скомпрометированную.

Чтобы измерить воздействие утечек на благосостояние компаний, веб-сайт Comparitech проанализировал, как такие инциденты влияют в долгосрочном плане на стоимость акций скомпрометированных организаций. Один из выводов этого исследования гласит: после утечки стоимость акций падает, но примерно через месяц снова начинает расти и в среднем достигает прежних индексов NASDAQ. Исследование очень подробное и, возможно, его стоит прочитать целиком.

То есть, по большому счету, доверие общественности к компании остается на прежнем уровне. Организации продолжают работать дальше. В анализе упоминаются бренды, которые мы, несмотря ни на что, ежедневно продолжаем встречать в интернете: Yahoo!, eBay, LinkedIn и Facebook.

Какова же реальная цена утечки данных?

Компаний, закрывшихся после взлома, не так уж много. Однако негативное воздействие инцидента легко недооценить, если рассматривать только объем продаж или стоимость акций. Реальный эффект и расходы, связанные с нарушением привычных процессов, могут быть намного серьезнее.

В ходе глобального исследования корпоративных ИБ-рисков наши коллеги изучили компании разных размеров со всего мира и выяснили, сколько они тратят на восстановление после кибератак. Оказалось, что в среднем ликвидация последствий утечек обходится крупному бизнесу в 1,4 миллиона долларов США.

А ведь наряду с материальным ущербом существуют и другие последствия киберинцидентов, которые необходимо учитывать. Их сложнее выразить в цифрах, но все они так или иначе негативно влияют на общий успех компании. Поэтому о них нельзя забывать при оценке рисков или обсуждении бюджетов на IT-безопасность.

Подрыв внутренней репутации отдела ИБ

Что может пострадать достаточно серьезно, так это внутренняя репутация отдела безопасности.  ИБ-специалистов будут считать ответственными за происшествие вне зависимости от его реальных причин. А это может плохо сказаться на эффективности работы команды в долгосрочном плане, поскольку привносит дополнительные риски.

Нарушение привычных процессов

После серьезной утечки обычно ожидается, что директор по информационной безопасности оставит свой пост, поскольку именно он в ответе за провал. Но сложные систематические проблемы не решить, убрав одного человека. Это какой-то штамп из голливудских фильмов. Кстати, когда в следующий раз пойдете в кино, обратите внимание, чем заканчивается история организаций, в которых такая практика применяется.

Делать из ИБ-директора козла отпущения неразумно. Уйдут месяцы и даже годы, пока новый руководитель достигнет такого же опыта и уровня понимания особенностей компании, выстроит отношения с коллегами и так далее. Новый директор по ИБ, как и любой другой топ-менеджер, скорее всего, будет вносить изменения, чтобы проявить себя. А это неизбежно скажется на привычных процессах и создаст дополнительную нагрузку на отдел IT-безопасности.

Ухудшение настроя в команде

Моральный дух сложно измерить и отразить в отчете, но очевидно, что после утечек данных в IT-отделах преобладает угрюмое настроение. Особенно среди сотрудников, непосредственно отвечающих за безопасность. Отчасти это связано с пониманием, что все их старания оказались напрасными, так как в итоге защитить компанию не удалось. Но нельзя исключить и выгорания после активной работы по устранению последствий утечки.

В качестве примера можно привести ситуацию, с которой столкнулся персонал Equifax. В социальных сетях критиковали отдельных сотрудников и даже угрожали им смертью. Без должных мер по поддержке специалистов, без защиты их репутации и психического здоровья такое давление может очень сильно демотивировать.

Более скрупулезные проверки

И внутренние, и сторонние аудиторы, которых вы пригласите, будут стараться изо всех сил, чтобы не пропустить какую-нибудь мелочь — ведь за возможные инциденты в будущем часть вины может лечь и на них. Так что о привычных выборочных проверках придется забыть. А ИБ-специалисты какое-то время будут находиться под пристальным, а порой и давящим вниманием.

Больше бюрократии внутри компании

Компании часто реагируют на утечку внедрением новых жестких требований для всего персонала, вместо того чтобы сделать понятнее существующие. Не исключено, что ваши сотрудники усвоят новые инструкции и будут следовать им. А возможно, начнут их обходить, лишь бы только сделать привычную работу. Последнее может стать дополнительным фактором риска.

Что стоит изменить, а что лучше не трогать?

С учетом всех перечисленных рисков предлагаем вам несколько рекомендаций — они помогут легче справиться с утечкой.

Инвестируйте в создание культуры кибербезопасности

Проводите тренинги по кибербезопасности для всего персонала. Они научат ваших сотрудников вместе бороться с общим врагом (киберпреступниками) и ценить усилия ИБ-отдела по защите компании.

Не увольняйте ИБ-директора

Если причина инцидента — не ошибочные действия самого директора по ИБ, не стоит его увольнять. Так клиентам, акционерам и другим пострадавшим сторонам, рассматривающим ситуацию в краткосрочной перспективе, будет спокойнее. Помните: пройдя через устранение последствий утечки, ваш ИБ-директор получит бесценный опыт и знания.

Разработайте стратегию реагирования на утечку

Лучше всего начать готовиться к восстановлению компании после утечки до того, как она произойдет. Например, прямо сегодня. Подумайте, как бы ваша компания могла выявить утечку данных или как протестировать применяющиеся у вас механизмы обнаружения атак.

Пересмотрите уже принятые стратегии. По нашему опыту, наем директора по защите данных и создание внутреннего центра мониторинга и реагирования (SOC) помогают уменьшить материальный ущерб от инцидента.

Оценивая последствия инцидента до или после его обнаружения, все заинтересованные лица должны помнить все вышеперечисленные факторы — они не менее важны, чем финансовые риски. Убедитесь, что рассмотрены все аспекты, а не только те, которые легко поддаются количественной оценке.

Учитывать возможность утечки должна каждая организация, будь то крошечная компания, у которой единственная применяемая защитная технология — резервные копии данных, или огромная корпорация, внедряющая передовое защитное решение с EDR-компонентом, способное предохранять и от целевых угроз.

Если ваш ИБ-директор сможет уверенно строить долгосрочные планы, потому что не боится временных сложностей, если вы обучите своих сотрудников кибербезопасности и заранее подготовитесь к возможным инцидентам, то сможете пережить компрометацию практически без ущерба. Так ваша компания сможет устоять перед любой атакой.

Советы