Modern organizasyonlarda veri güvenliği çok önemlidir. Veri ihlalleri, şirketinizi savunmasız bir konuma sokar. Sadece düzenleyicilerden ağır para cezaları çekmekle kalmaz, aynı zamanda markanıza da zarar verirler. Müşteriler güvenini kaybeder ve sonuçlar felaket olabilir.
Siber güvenlik, benzersiz çözümlerle hızlı hareket eden bir alandır. Ancak, güvenlik duruşunuz ne kadar karmaşık olursa olsun, bir ihlal olayı ve müdahale planınız olmalıdır.
İşte bir veri ihlalinden hemen sonra atmanız gereken 3 adım.
Veri erişim protokollerini inceleyin
Kullanılmayan kimlik bilgileri, hayali sertifikalar ve bozuk parolalar, veri ihlallerinin önde gelen nedenleridir. Bu dijital varlıklar, kötü niyetli aktörlerin hassas verilere erişmesini sağlar ve kuruluşunuzu riske sokar. Bu günlerde, kimlik yönetimi siber güvenlik için çok önemlidir ve bir ihlal genellikle veri erişim politikalarındaki eksiklikleri vurgular.
Çoğu ihlalin ortaya çıktığı yer olduğu için veri ambarı erişimini inceleyerek başlayın. Çoğu veri ambarı, tonlarca veriyi tutacak kadar karmaşıktır ancak sıfırdan güvenlikle tasarlanmamıştır. Bu nedenle, Snowflake ile BigQuery’yi karşılaştırma gibi kapsamlı seçim değerlendirmeniz, sağlam IAM kontrolleri yüklemediğiniz sürece pek önemli olmayacaktır.
Çoğu IAM platformunun insan erişim doğrulamasına odaklandığını ancak makine kimliklerini izlemeyi ihmal ettiğini unutmayın. DevOps kültürünün yükselişi göz önüne alındığında, makineler verilerinize insanlardan çok daha fazla erişiyor. Kötü niyetli saldırganların kullanmış olabileceği olası sabit kodlanmış kimlik bilgileri veya diğer güvenlik anahtarları için kodunuzu inceleyin.
Sertifikaları, anahtarları ve parolaları iptal etmeniz ve yeniden yayınlamanız gerektiğini söylemeye gerek yok. Mevcut güvenlik çözümlerinizin ihlal oluşmadan önce garip kullanım kalıpları tespit edip etmediğini kontrol edin. Çoğu zaman, platformlar riskleri işaretler, ancak insan müdahale süreleri gecikerek veri ihlaline yol açar.
Kötü niyetli içeriden saldırılar, veri ihlallerinin sık görülen bir nedenidir. İhlale neden olan varlığın kimlik bilgilerini inceleyin ve araştırmanıza göre veri erişiminde herhangi bir değişiklik yapın.
Soruşturma sırasında izole et
Bir veri ihlali şoke edici bir olaydır ve hemen sonrasında hareket tarzına karar vermek zor olabilir. Atmanız gereken ilk adımlardan biri ağınızı izole etmek ve yedeklerinizin durumunu incelemektir. Site dışında saklanan yedeklemeler, normale dönmenize yardımcı olacaktır.
Ancak, sistemlerinizi geri yüklemek için acele etmeyin. Uzun süre çevrimdışı kalamazsınız, ancak ağınızda, erişimi geri yüklemenizi bekleyen truva atları veya gizlenmiş olabilecek diğer kötü amaçlı yazılım izleri olup olmadığını inceleyin. Birçok veri ihlali saldırısı dalgalar halinde gerçekleşir.
Bu nedenle, ilk dalgadan sonra ağınızı geri yüklemek, yolda daha da büyük bir sorun yaratabilir. Ağınızı izole edin ve şifreleri ve anahtarları hemen değiştirin. BT ekibiniz güvenlik konusunda uzman değilse, ağınızın durumunu incelemek için güvenlik uzmanları kiralamak en iyisidir.
Kapsamlı bir güvenlik denetimi gerçekleştirin ve gecikmenin nedenini kesin olarak belirleyin. İşletmenizin sorunsuz çalışmasını sağlamak için, ihlal edilen ağın onu etkilememesi için yedeklerinizi alternatif bir ağda geri yükleyin. Bu günlerde veri ihlalleri finansal bir sorundan daha fazlasıdır.
Bunlar aynı zamanda düzenleyici bir ihlaldir. Bu nedenle, kolluk kuvvetleri ile derhal çalışmaya başlayın ve taleplerinde işbirliği yapın. İhlal yeterince büyükse veya fidye yazılımı içeriyorsa, tüm günlükleri ve bilgileri kolluk kuvvetlerine teslim etmeniz gerekir.
En azından kendinizi İç Güvenlik ile çalışırken bulacaksınız, bu yüzden mümkün olduğunca fazla bilgi topladığınızdan emin olun.
Yanıtınızı koordine edin
Veri ihlali, müşterilerinizle olan ilişkinizin bir testidir. Söylemeye gerek yok, müşterileriniz başlangıçta olumsuz tepki verecektir. İhlali tespit edip ağınızı izole ettikten sonra, sorumluluğunuzu belirlemek için hukuk ekibinizi dahil edin.
Hukuk ekibiniz, sorumluluğunuzun azalması için kolluk kuvvetleriyle çalışmanın en iyi yolunu bulmanıza da yardımcı olacaktır. Ayrıca, bir yanıtı koordine etmek ve soruşturmayla ilgili güncellemeleri yayınlamak için tüm PR kaynaklarını dahil etmeniz gerekir.
Sosyal medya, tüketicilerinizle bağlantı kurmak için harika bir yerdir, bu nedenle her zaman şeffaf olduğunuzdan emin olun. Dahili olarak, veri ihlalinin etkisini çalışanlarınıza iletin ve sonraki adımlar hakkında onları bilgilendirin. Çoğu çalışan, ağ izolasyonu ve kimlik bilgilerinin iptali nedeniyle işyeri kesintileriyle karşı karşıya kalacak.
Neyin normal olduğunu ve neyin olmadığını bilmelerini sağlayın. Örneğin, bir saldırının hemen ardından hassas verilere erişim eksikliği normaldir. E-postalarda kötü amaçlı yazılım ve gelen kutusunda devam eden tehdit mesajları almak değildir. Çalışanlarınızı eğitin, ihlalin faillerine karşı mücadelenizde büyük bir varlık haline gelecekler.
Acil durum çalışma protokolleri başlatmak ve müşterilerinizin mümkün olduğunca az aksamayla karşılaşmasını sağlamak da akıllıca olacaktır. Bu gibi durumlarda herhangi bir acil iş protokolünüz yoksa, müşterilerinizle iletişim kurmaya devam edin ve ihlalin ne kadar zarara yol açtığını onlara bildirin.
Zor ama yönetilebilir
Veri ihlalleri, ele alınması gereken bir kabustur. Bunlarla başa çıkmanın en iyi yolu, önce böyle bir saldırının olma olasılığını azaltmak ve ardından bir ihlal olması durumunda bu makalede belirtilen adımları izlemektir. Şeffaflık ve iletişim, bu zor zamanlarda her türlü zorluğun üstesinden gelmenin anahtarıdır.