У вас утечка: что делать, чтобы не потерять все

Обсудим меры, которые нужно будет принять, если киберпреступники доберутся до конфиденциальных сведений.

Первое, что нужно сделать, — локализовать и изолировать источник утечки: сервер, веб-приложение, базу данных, учётные записи. Если на рабочих компьютерах обнаружены вредоносные программы, машины нужно отсоединить от сети: выдернуть Ethernet-шнур, выключить Wi-Fi и даже Bluetooth. При этом не следует отключать питание: на устройствах могут остаться артефакты, которые позже помогут расследовать атаку, а перезагрузка нередко уничтожает подобные улики.

Необходимо отключить затронутые учётные записи или ограничить их разрешения, обновить пароли авторизованных пользователей. По возможности эту операцию стоит проделать со всеми потенциально затронутыми корпоративными учётными записями, поскольку в первое время может быть трудно определить, какие аккаунты скомпрометированы, а какие — нет.

Если же оставить злоумышленникам возможность вернуться в инфраструктуру, все действия по устранению последствий атаки окажутся бессмысленными.

Не забудьте о физической безопасности: заблокируйте серверные помещения, архивы документов и прочие области, которых потенциально может коснуться инцидент, обновите коды доступа. Вполне возможно, что, прежде чем компания вернётся к нормальным процессам, с этими помещениями нужно будет поработать представителям правоохранительных органов и экспертам по киберкриминалистике. На этом этапе можно подвести промежуточные итоги: инцидент локализован, его развитие заблокировано. Следующие шаги должны быть направлены на обеспечение непрерывности бизнеса, и в идеальных условиях у компании уже должен быть план действий для подобных сценариев.

Эта команда объединяет специалистов с достаточными полномочиями для принятия мер реагирования без запроса дополнительных разрешений. Только так в условиях кризиса компания может оперативно отреагировать на нарушение. Состав группы может меняться в зависимости от особенностей компании.
Однако в большинстве случаев в команду реагирования входят:

- руководитель группы — топ-менеджер,

- директор подразделения, старший сотрудник, который принимает решения по реагированию и отчитывается перед высшим руководством;

-менеджер проекта, обеспечивающий координацию работы группы; сотрудник ответственный за работу с конфиденциальной информацией (персональными данными, коммерческой тайной и т. д.);

-специалист по юридическим вопросам; специалист ИТ-подразделения;

-представитель кадрового департамента; пиар-специалист.

Обозреватель Ainti-Malware Дмитрий Помогаев, считает, что группа реагирования должна взять на себя полномочия буквально с первых минут после подтверждения утечки данных. Она консолидирует все решения в связи с инцидентом, контролирует определение его причин, формулирует коммуникацию со внутренними аудиториями (например, сотрудниками и акционерами) и внешними сторонами (сюда входят партнёры, представители регуляторов и т. д.).

После того как нарушение будет локализовано, сохраните и изучите имеющиеся улики: журналы событий, системные логи, записи авторизации в корпоративных системах и т. д. Необходимо установить все обстоятельства утечки и воссоздать хронологию событий. Для этого может понадобиться привлечь внешние команды, в том числе экспертов по цифровой криминалистике (читайте наш обзор рынка решений по расследованию инцидентов) и киберразведке. Эти специалисты следят за теневыми ресурсами, собирают информацию о хакерских группировках, методах и приёмах злоумышленников. В их распоряжении есть инструменты, которые зачастую помогают отследить источник до конкретного сотрудника, который сознательно или случайно допустил раскрытие информации.