Of er nu losgeld is of niet, datalekken hebben altijd financiële gevolgen. Organisaties kunnen te maken krijgen met wettelijke sancties, operationele verliezen en reputatieschade. Een zorgvuldige planning kan u tijd en geld besparen.
De impact van een datalek
Gegevensinbreuken vinden plaats wanneer er een zwakte in de beveiliging is die leidt tot de blootstelling van privégegevens. Soms is het een inside job. Personeel kan een fout maken, wrok koesteren en kwaadwillig gegevens vrijgeven, of iemand kan een klokkenluider zijn. Maar datalekken worden meestal veroorzaakt door cyberaanvallen. Ransomware-aanvallen, hacktivistische campagnes, doxxing-aanvallen en industriële spionage kunnen allemaal leiden tot datalekken.
GERELATEERDHoe u zich kunt voorbereiden op en vechten tegen een ransomware-aanval
De financiële impact van een datalek kan enorm zijn. Ransomware-aanvallen zorgen er bijvoorbeeld voor dat organisaties inkomsten mislopen vanaf het moment dat ze worden getroffen. Zelfs als sommige delen van een bedrijf kunnen functioneren, kan het nog steeds inkomsten mislopen. Bij de Colonial Pipeline ransomware-aanval van mei 2021 konden de brandstofproductiedepots draaien, maar dat hielp niet. Colonial Pipeline had zijn factureringssystemen verloren. Ze konden wel brandstoffen produceren, maar ze konden ze niet leveren of factureren.
Als persoonlijk identificeerbare informatie (PII) wordt geschonden, zal de lokale, nationale of zelfs internationale wetgeving inzake gegevensbescherming u waarschijnlijk een boete opleggen. De boetes houden rekening met factoren zoals het aantal betrokken betrokkenen en de omstandigheden van de inbreuk. Zelfs als er geen gegevens uw netwerk verlaten, wordt een ransomware-aanval als een inbreuk beschouwd omdat u de controle over uw gegevens bent kwijtgeraakt.
Advertentie
Verloren inkomsten en losgeld zijn gemakkelijk op te sommen. Evenals de kosten van sanering en herstel. Het is veel moeilijker om te kwantificeren hoe een daling van het vertrouwen van klanten en werknemers uw organisatie zal beïnvloeden. Schade aan reputatie en merk kan ervoor zorgen dat voorraden slinken, topmedewerkers het schip verlaten en klanten vertrekken.
Datalekken nemen toe en er worden bijna elke dag opmerkelijke aanvallen gemeld. Voor elke headliner zijn er tal van andere kleinschalige inbreuken bij kleinere organisaties. Om de financiële schade te minimaliseren, moet u snel kunnen reageren als er een inbreuk plaatsvindt. Dat betekent dat u zich proactief op een dergelijk incident moet voorbereiden.
Begrijp uw IT-domein
GERELATEERDPower to the People ? Waarom hacktivisme terug is
De dagen van het klassieke on-premise IT-domein zijn voorbij. Zeer weinig organisaties behouden de volledig on-premise infrastructuur van vóór de jaren 2000. Zelfs al is het maar een off-site back-up, een externe Git-repository of Microsoft 365, het is bijna onmogelijk om geen cloudcomponent in uw IT-activiteiten te hebben.
En terwijl de cloud computergebruik kan voordelen opleveren op het gebied van kosten, schaalbaarheid en beschikbaarheid, maar het kan ook zijn eigen complexiteit met zich meebrengen. Wanneer je containers, microservices, mobiele apparaten, slimme apparaten en API's toevoegt, wordt je aanvalsoppervlak veel groter. Het maakt uw IT en netwerken moeilijk te verdedigen, en het wordt ingewikkelder om te herstellen als zich een ramp voordoet.
Daarom is het absoluut noodzakelijk dat u de balans opmaakt en kwantificeert waar uw IT-bezit precies uit bestaat. Documenteer alle besturingssystemen, applicaties en hardware. Maak registers voor hardware- en software-activa en neem de rollen en functies van de activa op. Dit zal u helpen bij het opstellen van uw incidentresponsplan. Dit is het draaiboek dat u volgt wanneer zich een incident voordoet.
GERELATEERD: Hoe u zich kunt voorbereiden op en vechten tegen een ransomware-aanval
Wat herstelt u eerst?
Als alles kapot is, wat herstel je dan eerst? Hoe sneller u de operationele capaciteit kunt herstellen, hoe sneller u uw inkomstenstromen kunt terugdraaien. Daarom moeten uw IT-activaregisters de rollen en functies van de applicaties, servers en software bevatten. Die informatie zal leiden tot het opstellen van uw incidentresponsplan (IRP).
Door het incidentresponsplan te oefenen, waarbij alle relevante belanghebbenden aanwezig en betrokken zijn, worden de kritieke systemen onthuld die moeten worden hersteld voordat iets werkt. Daarna kun je samen bepalen in welke volgorde vitale functies of afdelingen hersteld moeten worden.
Advertentie
Een incidentresponsplan helpt u om uw algehele uitvaltijd tot een minimum te beperken. Dat kan niet verder worden beperkt dan bepaalde praktische beperkingen, die worden bepaald door de omvang en complexiteit van uw IT-infrastructuur en de ernst van de aanval. Het beste wat u kunt doen, is de volgorde bepalen waarin financieel kritieke teams of afdelingen weer online worden gebracht.
Als u geld van een bepaalde plaats bloedt, drukt u op de knop heet strijkijzer.
Een IRP is een zakelijk document
Uw incidentresponsplan is niet alleen een document van een IT- of beveiligingsteam. Het is een kritisch bedrijfsbeleid en -procedure. Het is van vitaal belang dat alle belanghebbenden bij het bedrijf worden betrokken wanneer het wordt beoordeeld, ondertekend en geoefend. Ze geven niet alleen input en begeleiding, maar krijgen ook inzicht in de problemen en uitdagingen van een echt incident.
GERELATEERDWat is Doxxing en hoe wordt het bewapend?
Dat begrip heeft twee grote voordelen. De eerste is dat ze zullen begrijpen dat bij een echt incident het beveiligingsteam de kans moet krijgen om aan de slag te gaan en de problemen op te lossen en het incident af te handelen. Erover heen gaan staan zal niet helpen. De tweede is dat het bedrijf de behoefte aan gespecialiseerde expertise zal waarderen. En als die expertise niet in-house beschikbaar is, zouden ze de waarde moeten inzien van het vinden van een competente provider en het aangaan van contact met hen, nu en niet midden in een incident.
Op zoek naar externe expertise tijdens een crisis is te laat. Als je iemand vindt, betaal je noodtarieven. Vanuit technisch oogpunt zullen ze minder effectief zijn als ze in de kou komen dan wanneer ze van tevoren zijn ingeschakeld, stand-by, en de tijd hebben gekregen om vertrouwd te raken met uw operatie.
Het hoeft natuurlijk niet alleen om beveiliging of andere technische expertise te gaan. Public relations, personeelszaken, callcenters en sociale-mediafuncties moeten mogelijk worden versterkt met ondersteuning van buitenaf.
Regelgevende documentatie voorbereiden
Als er een bres slaat, begint een klok te tikken. Afhankelijk van de wetgeving op het gebied van gegevensbescherming die wordt bepaald door de woonplaats van de betrokkenen, niet door de locatie van uw organisatie, heeft u een korte periode om verschillende verplichte stappen uit te voeren. Als u deze stappen niet uitvoert of de deadlines niet haalt, zullen de boetes die u worden opgelegd toenemen.
Advertentie
De termijn waarbinnen u bijvoorbeeld de bevoegde gegevensbeschermingsinstantie 'de toezichthoudende autoriteit' op de hoogte moet stellen van de inbreuk, kan slechts 72 uur bedragen. Het is duidelijk dat u alle wetgeving inzake gegevensbescherming die op u van toepassing is, moet begrijpen en wat iedereen van u verlangt.
Als u de persoonlijke gegevens van Britse burgers verwerkt, moet u voldoen aan de Data Protection Act 2018, die de Britse versie van de AVG bevat. Als u de persoonsgegevens van burgers van EU-landen verwerkt, moet u voldoen aan de Europese versie van de AVG. Als u voldoet aan de kwalificatiecriteria van de CCPA en onder het toepassingsgebied ervan valt, moet uw organisatie ook voldoen aan de CCPA. En zo gaat het maar door, voor elk toepasselijk stuk wetgeving. Uw functionaris voor gegevensbescherming of CIO had input moeten leveren voor het incidentresponsplan, zodat de acties en tijdschema's die vereist zijn door elk stuk wetgeving duidelijk zijn.
Meldingen aan toezichthoudende autoriteiten en betrokkenen die hen op de hoogte stellen van de inbreuk, moeten verplichte secties bevatten en voldoende details om de toezichthoudende autoriteit tevreden te stellen. Dat maakt het onhaalbaar om vooraf ingevulde overzichten te hebben. Maar u kunt wel documenten opstellen met de verplichte informatie over uw IT-systemen en de organisatie. Met een pakket incidentklare documenten voor elk stuk wetgeving, wordt de uitdaging om de wettelijke vereisten binnen de tijdschema's af te ronden teruggebracht tot een reeks oefeningen om gegevens te verzamelen en formulieren in te vullen.
Misschien heb jij krijgt een boete voor het datalek. Door ervoor te zorgen dat de nalevingsaspecten van het incident worden geregeld, worden de boetes niet onnodig verhoogd.
GERELATEERD: De CCPA is niet alleen voor Californische bedrijven. Dit is wat u nodig hebt om te voldoen
Upstream- en downstream-verantwoordelijkheden
Organisaties die gegevens namens andere organisaties verwerken, worden gegevensverwerkers genoemd. Organisaties die met hen omgaan, zijn verwerkingsverantwoordelijken. Gegevensverwerkers en gegevensbeheerders zijn gezamenlijk verantwoordelijk voor de gegevens. Als een gegevensverwerker een inbreuk heeft, beschouwt de moderne gegevensbeschermingswetgeving beide partijen aansprakelijk. De gegevensbeheerder koos de gegevensverwerker en de gegevensverwerker had de inbreuk.
Advertentie
Beide partijen kunnen boetes krijgen en de betrokkenen kunnen u beiden aanklagen. als de gegevensverwerker zegt dat de reden dat ze de inbreuk hebben gehad het gevolg was van een nalatigheid of onoplettendheid van de gegevensbeheerder, kunnen ze de gegevensbeheerder aanklagen.
Het is belangrijk om een gegevensverwerker te hebben overeenkomsten met al uw gegevensverwerkers. En als u een gegevensverwerker bent, zorg er dan voor dat de voorwaarden van de gegevensverwerkersovereenkomsten waaraan u bent gebonden niet oneerlijk financieel bestraffend zijn.
Voorkomen is beter Than Cure
Maar voorbereiding is beter dan pandemonium als het ergste zou gebeuren. Het hebben van een holistisch spelplan voor de interne technische teams, externe gespecialiseerde hulp en compliance- en juridische teams zal u door een datalek leiden op een manier die de financiële implicaties helpt verminderen.