В жизни каждой компании случаются громкие факапы. Для большинства стартапов, чаще всего связанных с диджитализацией бизнеса, самый вероятный факап – это утечка данных. В последнее время исследователи обнаруживают масштабные утечки практически еженедельно, а компаниям приходится публично объясняться с обществом и экспертами о том, «как же такое случилось?». Объясняем как в этой ситуации вести публичную активность и не выглядеть чиновником, застигнутым на балерине.
Что такое утечка
Утечка – это ситуация, когда ваши данные (или хранящиеся у вас данные клиентов и контрагентов) попадают или могут попасть в чужие руки. Утечь может клиентская база (чаще всего), внутренние документы или цифровые активы, например, код. Причинами утечки могут быть хакерские атаки, действия инсайдеров (по-русски: воровство или месть сотрудников), а также банальное раззвездяйство – например, открытый доступ к облачным хранилищам, базам данных или логам, в которые «добрые» программисты валят все подряд - от данных авторизации до заполненных платежных форм.
Утечка не равна хакерской атаке, множество которых кончается ничем. Утечка – это ситуация, когда вы подозреваете или уверены, что данные уже не в ваших в руках и пора как-то сообщать об этом публике, пока она сама об этом не узнала и не спалила вас на костре своей священной ярости.
Ситуации с утечками бывают разные и публичные действия в различных вариантах несколько отличаются в зависимости от того, точно ли данные утекли, и в чьи руки при этом попали. Ниже четыре основных варианта возникновения проблемы и ваших ответных действий.
Вариант 1: вы сами заметили, что данные могли утечь
Самый легкий, но и самый редкий случай. Редко, но бывает, что компания сама замечает потенциальную утечку данных. Чаще всего это означает, что вы нашли некую уязвимость, через которую можно было получить доступ к данным, но не понимаете, нашел ли ее кто-то еще и получил ли он доступ к вашим данным.
В этой ситуации необходимая публичная активность минимальна:
1. Быстро ликвидируйте уязвимость;
2. Выясните, какие данные могли утечь – если есть шанс, что скомпрометированы пароли или токены, обязательно сбросьте их;
3. Оповестите пользователей, что возникло подозрение на утечку (этим вы, как минимум, обезопасите себя от претензий в рамках GDPR), но что, скорее всего, их данные не пострадали. Добавьте информацию о том, что уязвимость устранена и несколько слов о своей заботе о безопасности;
4. Если понятно, кто внутри компании виноват в утечке, можете предать его побиванию камнями с трансляцией на сайте. Народ это любит.
Но обычно первая реакция большинства компаний на такой кейс - промолчать и замести ситуацию под ковер. Так поступить, в принципе, можно, однако всегда остается риск, что данные, все-таки, успели утечь и в случае, если это обнаружится, превентивная публичная активность слегка смягчит удар по репутации и снизит гнев пользователей.
Вариант 2 - вы сами заметили, что данные утекли
Почти такой же редкий, но более печальный случай. Неприятно, но полезно первым обнаружить копию своей клиентской базы на файлообменнике или на форуме в даркнете.
Понятно, что огласки уже не избежать и здесь надо реагировать быстро, чтобы успеть до того, как ваши данные найдет кто-то другой.
Что делать в этой ситуации:
1. Выясните, не скомпрометированы ли пароли или другая авторизационная информация. Если да, то сбросьте их. Оповестите пользователей.
2. По самой информации попытайтесь понять насколько старой она является. Если данные двух-трехлетней давности, всегда можно попытаться свалить вину на старых подрядчиков, старые решения или персонал. Не сказать, что это особенно поможет, но в такой ситуации нужно собирать любые смягчающие вашу вину обстоятельства;
3. Сделайте публичное заявление (например, в форме новости на сайте и рассылке по пользователям) с упором на то, что идет расследование инцидента и компания предпримет все меры, чтобы подобное не повторилось.
4. Если есть бюджет, наймите расследователя, авторитет которого также будет свидетельствовать о серьезности вашего подхода. Ну и, чем черт не шутит, может и причину утечки найдете.
Вариант 3 - ваши данные утекли и заметили это не вы
Куда чаще случаются откровенно грустные ситуации, когда утечка ваших данных не просто произошла, но и обнаружил ее кто-то другой. Здесь реакция зависит от того, кто именно вас наказал.
Если о похищении данных заявила хакерская группировка, то, с одной стороны, есть гарантированный ущерб пользователям, связанный с тем, что данные продадут или используют для атак на них. С другой стороны, в рамках публичной модели хакеры - это страшные черти, которые могут заломать кого угодно и стать объектом взлома, вроде бы, не очень-то и стыдно.
В этой ситуации надо максимально затягивать историю, поскольку хакеры добиваются быстрого хайпа и не имеют ресурсов для публичной (особенно через СМИ) дискуссии с вами. Поэтому действуйте так:
1. Сбросьте пароли (не важно утекли они или нет – надо же что-то делать);
2. Оповестите пользователей с акцентом на то, что реального ущерба злоумышленники, скорее всего, нанести не успели;
3. Сделайте публичное заявление (новость на сайте, плюс комментарии по запросу СМИ) с акцентом на то, что данных хакеры похитили значительно меньше, чем говорят, а сами данные старые и разбавлены непонятно чем.
4. Если есть бюджет, закажите аудит системы безопасности и сообщите об этом.
Печаль уровня «фаталити» – это ситуация, когда утечку нашли исследователи. Чаще всего, исследователь – это специалист-аутсорсер или компания, работающая в области инфобеза.
Если речь идет об уязвимости (то есть, чаще всего, о по-глупому открытом сервере):
1. Закройте эту уязвимость;
2. Сбросьте пароли и повестите пользователей с акцентом на то, что реальный ущерб минимален;
3. Уточните у исследователя - по его мнению, были ли данные похищены;
4. Готовьтесь, что эта информация появится в СМИ – напишите новость и готовьте официальный комментарий. Поблагодарите исследователя за помощь. Если исследователь считает, что данные не были похищены (и у вас не валяется в корне записка от хакеров с требованием пары биткойнов) - сделайте акцент на то, что реальный ущерб минимален;
5. Если есть бюджет, закажите аудит системы безопасности.
Если речь идет об обнаружении уже украденных данных, при этом неизвестно как утекших (самый худший вариант развития событий):
1. Сбросьте пароли и повестите пользователей;
2. Объявите начале расследования инцидента о сотрудничестве с исследователем, а также найме специализированной компании для проведения аудита;
3. Проанализируйте утекшие данные на предмет возраста. Если они старые, скажите об этом;
4. В новости и комментариях для СМИ упирайте на то, что компания сделает все, чтобы такого не повторилось;
5. Если есть кто-то бесполезный, кто может публично уйти в отставку – достаньте его;
6. Информируйте СМИ о ходе расследования – залог успеха в том, чтобы журналистам как можно быстрее надоели ваши пресс-релизы на эту тему.
Чего во всех случаях делать откровенно не стоит
1. Утверждать, что никакой утечки не было. И у хакеров, и у исследователей есть заранее собранные доказательства того, что утечка была и они их предъявят.
2. Рассказывать, что вас заказали завистники из зависти к стремительному росту вашей компании.
3. Если руководство компании нервничает и делает резкие заявления, лучше всего вообще убрать его от голубых экранов .
Как организовать процесс оправданий
В большинстве компаний при публичном обнаружении утечки происходит форменный «аз ох-н-вэй» с участием потенциальных виновников и нервного руководства. Чтобы выглядеть прилично, стоит подготовиться заранее:
1. Договориться о том, что в такой ситуации топ-менеджмент молчит, а выступает пресс-служба;
2. Подготовить и заранее согласовать план действий для всех служб компании по минимизации ущерба;
3. Подготовить «консервы» комментариев и релизов относительно утечки;
Но лучше всего, конечно, утечек просто не допускать, уязвимостей не создавать и чаще проводить аудит безопасности. Но это уже совсем другая история.