H προοπτική να αποτελέσει η επιχείρηση σας στόχο μίας κακόβουλης επίθεσης, δεν είναι πλέον μία ακραία περίπτωση, δυστυχώς αλλά η καθημερινή πραγματικότητα που βρίσκεται αντιμέτωπη κάθε σημερινή επιχείρηση. Ανεξάρτητα από το μέγεθος ή το προφίλ της επιχείρησής σας, οι κακόβουλοι παράγοντες θα εκμεταλλευτούν κάθε ευκαιρία για να την κρατήσουν όμηρο με μοναδικό σκοπό το οικονομικό όφελος.
Στο πρώτο μέρος συζητήσαμε για τη μεγάλη βαρύτητα που δίνει η οδηγία NIS2 στην επιχειρησιακή συνέχεια και στους τρόπους που οι κατάλληλες διαδικασίες και τα εργαλεία λήψης αντιγράφων ασφαλείας μπορούν να βοηθήσουν στην αντιμετώπιση του λυτρισμικού και άλλων περιστατικών κυβερνοασφάλειας.
Υπάρχει ωστόσο ένα ακόμη κρίσιμο μέρος κάθε απόκρισης σε ζητήματα ασφάλειας και αυτό δεν είναι άλλο από την πιθανή υποχρέωση της αναφοράς του συμβάντος ή της παραβίασης στις αρχές. Στο 2ο μέρος του οδηγού εξετάζουμε μερικές από αυτές τις υποχρεώσεις.
Αν και ενδεχομένως το να δώσετε προτεραιότητα στην επίλυση της παραβίασης δείχνει δελεαστικό, εντούτοις η αντίστροφη μέτρηση συχνά ξεκινά τη στιγμή που συνειδητοποιήσετε ότι τα συστήματα σας έχουν παραβιαστεί. Και καθώς τα χρονικά περιθώρια ενδέχεται να είναι εξαιρετικά μικρά, η υποβολή αναφοράς στις αρχές δεν είναι κάτι που μπορεί να διευθετηθεί κατά τη διάρκεια της κρίσης. Πρέπει να είναι ενσωματωμένη εξαρχής στις διαδικασίες σας και με σαφώς καθορισμένους ρόλους για το ποιος θα αναλάβει την απαιτούμενη υποβολή της αναφοράς.
Ο χρόνος πιέζει – είναι ώρα να αναφέρετε την παραβίαση
Είναι σημαντικό να θυμάστε ότι σε ορισμένες περιπτώσεις είστε υποχρεωμένοι να ειδοποιήσετε τον αρμόδιο φορέα εντός 24 ωρών από την ανακάλυψη ενός περιστατικού, και σε ορισμένα σενάρια, εντός μόλις τεσσάρων ωρών.
Ακολουθούν οι νομοθεσίες και οι οδηγίες που ενδέχεται να επηρεάζουν τον οργανισμό σας.
GDPR/ UK GDPR – 72 ώρες
Ποιος: Κάθε υπεύθυνος επεξεργασίας δεδομένων που δραστηριοποιείται εντός της ΕΕ ή του Ηνωμένου Βασιλείου αντίστοιχα. Αν προσδιοριστεί μία παραβίαση που ενδέχεται να θέτει σε κίνδυνο τα δεδομένα φυσικών προσώπων, τότε η αρμόδια αρχή θα πρέπει να ειδοποιηθεί εντός 72 ωρών από τη στιγμή που ανακαλύφθηκε το ζήτημα.
Κάτι τέτοιο μπορεί να είναι μια σκόπιμη παραβίαση των συστημάτων σας, η οποία είχε ως αποτέλεσμα την πρόσβαση σε δεδομένα πελατών ή ένα τυχαίο συμβάν, όπως η απώλεια ενός σκληρού δίσκου που περιέχει δεδομένα. Το βασικό κριτήριο αξιολόγησης είναι εάν ενδέχεται να επηρεαστούν δυσμενώς φυσικά πρόσωπα από τις συνέπειες.
Αν έχετε αμφιβολίες για το αν το περιστατικό τείνει να ξεπεράσει το (χρονικό) όριο για την υποχρεωτική αναφορά, είναι προτιμότερο να ξεκινήσετε την αντίστροφη μέτρηση ούτως ή άλλως και να παραμείνει επιφυλακτικοί. Βεβαιωθείτε ότι καταγράφετε καθετί που κάνετε ως μέρος των δράσεων ανταπόκρισης σας και φροντίστε να έρθετε σε επικοινωνία με την αρχή πριν εξαντληθούν οι 72 ώρες.
NIS2 – 24 ώρες
Ποιος: Η NIS2 αποτελεί μία οδηγία της ΕΕ που εστιάζει κυρίως σε εταιρείες που χαρακτηρίζει «κρίσιμες» ή «σημαντικές» για την ελαχιστοποίηση της διατάραξης της λειτουργίας ζωτικών τομέων και υποδομών. Αν αποτελείτε βασικό κρίκο της εφοδιαστικής αλυσίδας μιας εταιρείας που εμπίπτει στον κανονισμό NIS2 ενδέχεται να επηρεάζεστε έμμεσα.
Για σημαντικές παραβιάσεις, είναι απολύτως αναγκαίο να υποβληθεί μια αρχική ειδοποίηση εντός 24 ωρών στο CSIRT (Computer Security Incident Response Team) του κράτους μέλους. Στη συνέχεια, πρέπει να υποβληθεί η κανονική, πλήρης αναφορά/ειδοποίηση για το περιστατικό εντός 72 ωρών και μια τελική έκθεση εντός ενός μηνός.
Αν είστε πάροχος στην εφοδιαστική αλυσίδα μιας εταιρείας που υπάγεται στην οδηγία NIS2 δεν έχετε νομική υποχρέωση να αναφέρετε το περιστατικό στις αρχές, αλλά θα πρέπει να ενημερώσετε τον πελάτη σας ενώ το χρονικό πλαίσιο για να το πράξετε ενδέχεται να ορίζεται στη σύμβαση σας.
Το Ηνωμένο Βασίλειο έχει επίσης τον δικό του κανονισμό NIS, ο οποίος απαιτεί υποβολή αναφοράς στο ICO εντός 72 ωρών για οποιοδήποτε περιστατικό έχει ουσιαστικό αντίκτυπο στην παροχή των υπηρεσιών μιας εταιρείας.
DORA – 4 ώρες
Ποιος: Όλοι οι χρηματοπιστωτικοί οργανισμοί που δραστηριοποιούνται εντός της ΕΕ. Στην λίστα περιλαμβάνονται (μεταξύ άλλων) τράπεζες/χρηματοπιστωτικά ιδρύματα, ασφαλιστικές εταιρείες και ιδρύματα πληρωμών. Όπως ακριβώς η NIS2 επεκτείνεται πέρα από τις εταιρείες που υπάγονται άμεσα στο πεδίο εφαρμογής της, έτσι και η DORA περιλαμβάνει κρίσιμης σημασίας τρίτους παρόχους υπηρεσιών πληροφορικής. Αν μια εταιρεία που υπόκειται στην οδηγία DORA εντοπίσει μια παραβίαση οφείλει να υποβάλει μια αρχική αναφορά εντός 24 ωρών από την ώρα που έγινε αντιληπτή. Αν ωστόσο μετά από τη σχετική διερεύνηση, το περιστατικό ταξινομηθεί ως μείζον, τότε το παράθυρο αναφοράς συρρικνώνεται στις μόλις τέσσερις ώρες (ή όσες ώρες απομένουν εντός του αρχικού 24ώρου). Μια ενδιάμεση αναφορά πρέπει στη συνέχεια να υποβληθεί εντός 72 ωρών και μια πλήρης έκθεση εντός ενός μηνός.
Άλλη νομοθεσία
Υπάρχουν και άλλες τοπικές απαιτήσεις, με χώρες όπως τα Ηνωμένα Αραβικά Εμιράτα και η Σαουδική Αραβία να έχουν τον δικό τους Νόμο περί Προστασίας Προσωπικών Δεδομένων (PDPL). Αυτό αναδεικνύει την ανάγκη να γνωρίζετε τη νομοθεσία των χωρών στις οποίες δραστηριοποιείστε, καθώς οι διαδικασίες ανταπόκρισης ενδέχεται να διαφέρουν ανάλογα με την τοποθεσία.
Η υποχρέωση υποβολής πιθανής τριπλής αναφοράς
Για ορισμένες εταιρείες ενδέχεται να προκύψει η ανάγκη ταυτόχρονης αναφοράς μιας παραβίασης στις αρχές λόγω GDPR, NIS2 και DORA. Κάθε κανονισμός ή οδηγία έχει διαφορετικό δίαυλο αναφοράς και διαφορετικά χρονικά πλαίσια. Το παραπάνω υπογραμμίζει την ουσιαστική ανάγκη για σαφείς διαδικασίες, με διακριτές αρμοδιότητες που να καθορίζουν επακριβώς ποιος κάνει τι και πότε. Σε αντίθετη περίπτωση, οι επιπτώσεις μπορεί να είναι εξαιρετικά δαπανηρές.
Λάβετε υπόψη σας, οι αρχές είναι εκεί για να βοηθήσουν
Αν και μπορούν να επιβάλουν βαριά πρόστιμα για σοβαρές και εκτεταμένες παραβιάσεις, είναι σημαντικό να μην βλέπετε τις αρμόδιες αρχές αποκλειστικά ως ελεγκτικούς μηχανισμούς ή μηχανισμούς καταστολής. Ειδοποιώντας τες εγκαίρως, οι αρχές μπορούν να σας βοηθήσουν να διαχειριστείτε τις πιθανές επιπτώσεις και να περιορίσετε τη ζημιά. Για τις χώρες της ΕΕ, οι αρμόδιοι φορείς μπορούν επίσης να συνδράμουν στον διασυνοριακό συντονισμό.
Όπως εξηγεί το Γραφείο Επιτρόπου Πληροφοριών (ICO) για τις παραβιάσεις του GDPR: «Είναι απόλυτα κατανοητό να ανησυχείτε για το τι πρόκειται να συμβεί στη συνέχεια. Αλλά είμαστε εδώ για να σας βοηθήσουμε να καταλάβετε τι συνέβη και να αποτρέψουμε να συμβεί ξανά».
Όλα αποτελούν μέρος της διαχείρισης περιστατικών
Όλες αυτές οι απαιτήσεις υποβολής αναφοράς αποτελούν τον πυρήνα μιας αποτελεσματικής διαχείρισης περιστατικών. Διασφαλίζουν ότι όλα τα μέλη της ομάδας είναι πλήρως ευθυγραμμισμένα, διευκολύνουν την ταχεία λήψη αποφάσεων και βοηθούν στην παρακολούθηση της προόδου επίλυσης του προβλήματος.
Αν μία παραβίαση αναφερθεί σε μία αρχή ενδέχεται να σας ζητηθεί να αποδείξετε καθετί που κάνατε, βήμα προς βήμα, για τον εντοπισμό και την επίλυση του ζητήματος. Ενδέχεται επίσης να σας ζητηθεί να προσκομίσετε στοιχεία για τις ενέργειές σας κατά τους μήνες που προηγήθηκαν του περιστατικού.
Επομένως, χρειάζεστε τα κατάλληλα εργαλεία για την τεκμηρίωση των διαδικασιών και των συστημάτων σας -όχι μόνο για να αποδείξετε ότι διαθέτετε τα απαιτούμενα δεδομένα αλλά και τον τρόπο με τον οποίο τα χρησιμοποιείτε για τη διαχείριση του κινδύνου εντός της επιχείρησής σας. Μάθετε πως το IT Glue, με τις ισχυρές δυνατότητες τεκμηρίωσης που προσφέρει, μπορεί να σας βοηθήσει να διαχειριστείτε αποτελεσματικά την ανταπόκριση σας σε ένα περιστατικό.
Πηγή: Kaseya