Утечка данных: что делать в первые 72 часа

2018 год стал рекордным по количеству публично известных утечек данных. Facebook, British Airways, Marriott - крупные компании с серьёзными ресурсами безопасности оказывались в ситуации, когда данные пользователей стали доступны третьим лицам. С мая действует GDPR, который требует уведомить регулятора в течение 72 часов после обнаружения инцидента.

Всё это делает вопрос реагирования на утечку практически неотложным для любой компании, которая хранит персональные данные. И большинство компаний к нему не готовы.

Где обычно ломается реакция

Первые часы после обнаружения инцидента - самые важные и самые хаотичные. Типичные проблемы, которые я наблюдаю:

Нет ясности, кто принимает решения. Технические специалисты обнаружили потенциальный инцидент. Нужно ли немедленно уведомить руководство? Юридический отдел? PR? У кого есть полномочия объявить инцидент и запустить реагирование? Без ответа на этот вопрос теряются часы.

Нет понимания масштаба. Что именно утекло? Чьи данные? Сколько записей? Это требует технического расследования, у которого должна быть понятная процедура.

Коммуникация опережает понимание. Внутри начинается паника, слухи расходятся по компании, кто-то звонит клиентам с непроверенной информацией. Всё это создаёт дополнительный ущерб.

Доказательства не сохранены. Инициируя восстановительные действия, команда может уничтожить логи и следы, необходимые для расследования.

Что нужно сделать до инцидента

Реагирование на инцидент - это не то, что придумывается в момент инцидента. Это процесс, который разрабатывается заранее и проверяется.

Минимально необходимое:

• определить, кто входит в группу реагирования и кто обладает полномочиями принимать ключевые решения;
• задокументировать, какие данные хранятся, где, и по каким каналам они могут быть скомпрометированы;
• подготовить шаблоны коммуникаций для разных сценариев - для регулятора, для пользователей, для прессы;
• определить, у каких внешних партнёров нужно немедленно запросить помощь при инциденте;
• проверить, что логи хранятся достаточно долго для расследования.

72 часа по GDPR: что это означает практически

72 часа - это не много, если нет готовой процедуры. За это время нужно: определить, что инцидент действительно произошёл, оценить его масштаб, принять решение об уведомлении регулятора, подготовить и отправить уведомление.

Важный нюанс: уведомление должно содержать конкретную информацию - категории и примерное число затронутых лиц, контактные данные ответственного за защиту данных, вероятные последствия, принятые меры. Это требует понимания инцидента, а не только факта его обнаружения.

Практический минимум для проверки готовности

1. Есть ли у нас задокументированный план реагирования на инцидент с утечкой данных?
2. Знают ли все участники плана о своих ролях?
3. Когда мы в последний раз проверяли, что этот план работает - хотя бы в формате табличных учений?
4. Сколько времени нам реально потребуется, чтобы определить, какие данные скомпрометированы?
5. Есть ли у нас контакты регулятора и готовые шаблоны уведомлений?

Инцидент случается не по расписанию. Но готовность к нему - это процесс, который выстраивается заранее.