6数据泄露后不要做的事情

维护和加强IT安全性是我们从多个角度讨论的内容，尤其是操作方法和不断发展的安全性趋势，这当然是您应该彻底消化的信息。 此外，您应确保您的企业具备足够的能力来保护和防御自身免受网络攻击，尤其是通过IT级端点保护以及精细的身份管理和访问控制措施。 可靠且经过测试的数据备份过程也是必须的。 不幸的是，有关数据泄露的剧本不断变化，这意味着您在灾难期间的某些行动可能有害无益。 那就是这个片段的来源。

，我们讨论了公司一旦意识到自己的系统已遭到破坏，应该避免做什么。 我们与安全公司和行业分析公司的几位专家进行了交谈，以更好地了解网络攻击后可能出现的陷阱和灾难情况。

1.不要即兴创作

发生攻击时，您的第一个直觉会告诉您开始纠正情况。 这可能包括保护已定位的端点或还原到以前的备份以关闭攻击者使用的入口点。 不幸的是，如果您以前没有制定过策略，那么攻击后做出的任何仓促决定都会使情况恶化。

网络安全解决方案提供商趋势科技云研究副总裁Mark Nunnikhoven说：“违规后您不应该做的第一件事就是即时创建响应。” “您的事件响应计划的关键部分是准备工作。关键联系人应提前计划好并以数字方式存储。万一发生灾难性违规事件，还应提供纸质副本。应对违规行为时，您要做的最后一件事需要做的是试图找出谁对什么行动负责，谁可以授权各种回应。”

数据保护服务公司Trivalent的总裁兼首席执行官Ermis Sfakiyanudis同意这种方法。 他说，至关重要的是，在遭受违规打击后，公司“不要惊慌失措”。 他解释说：“尽管面对数据泄露的准备不足会对公司造成不可挽回的损害，但恐慌和混乱也可能是极其有害的。” “至关重要的是，一家受侵害的公司不要偏离其事件响应计划，该计划应包括确定第一步的可疑事件原因。例如，该漏洞是由成功的勒索软件攻击，系统上的恶意软件，具有开放端口，过时的软件或意外的内部威胁的防火墙？接下来，隔离受影响的系统并消除造成漏洞的原因，以确保您的系统没有危险。”

Sfakiyanudis说，当公司高枕无忧时，寻求帮助至关重要。 他说：“如果您在内部调查后确定确实发生了违规行为，请请第三方专家来帮助处理和减轻后果。” “这包括法律顾问，可以进行全面法医调查的外部调查人员，以及可以制定战略并代表您与媒体进行沟通的公共关系和传播专家。

“借助这一综合的专家指导，组织可以保持混乱状态的冷静，确定导致数据泄露的漏洞，并进行补救，以确保以后不再发生此问题，并确保对受影响的客户做出适当及时的响应。他们可以还与他们的法律顾问合作，确定是否以及何时应通知执法部门。”

2.不要沉默

一旦受到攻击，您可以轻松地想到，您的圈子之外的人都不知道发生了什么。 不幸的是，这里的风险是不值得的。 您需要与员工，供应商和客户进行沟通，以使所有人都知道已访问了什么，您为纠正这种情况所做的工作以及打算采取什么计划以确保将来不会发生类似的攻击。 “不要忽视自己的员工，” Forrester Research安全与风险高级分析师Heidi Shey建议。 “您需要与员工就该事件进行沟通，并为员工提供有关如何做或说出是否询问违规行为的指导。”

与Sfakiyanudis一样，Shey表示您可能希望考虑雇用一个公共关系团队来帮助控制您的回复背后的信息传递。 对于大型且昂贵的面向消费者的数据泄露，尤其如此。 她说：“理想情况下，您希望事先确定这样的提供商，作为事件响应计划的一部分，以便您可以开始响应。”

仅仅因为您正在积极主动地通知公众您已遭到违反，并不意味着您就可以开始发布野蛮的声明和声明。 例如，当玩具制造商伟易达（VTech）被破坏时，黑客访问了孩子的照片和聊天记录。 情况恶化后，玩具制造商更改了服务条款，以在发生违约时放弃责任。 不用说，客户不满意。 希说：“无论是为了避免承担责任还是控制叙述，您都不想看起来像是在躲避法律手段。” “更好地制定违规响应和危机管理计划，以帮助进行与违规相关的沟通。”

3.不要做出虚假或误导性的陈述

这是显而易见的，但在向公众讲话时，您将要尽可能准确和诚实。 这对您的品牌有利，但也对您拥有网络保险单时可以从您的网络保险保单中收回多少钱也有利。 纽尼科文说：“在发表公开声明之前，请不要考虑您所说的话和听起来的含义。”

他继续说：“这真的是一种'复杂的'攻击吗？将其标记为不一定意味着它是真的。” “您的首席执行官真的需要将其称为“恐怖主义行为”吗？您是否阅读过网络保险政策的细则，以了解排除情况？”

Nunnikhoven建议设计消息“不要大胆，频繁，并且清楚地说明正在采取和需要采取的行动”。 他说，试图扭转局势往往会使情况变得更糟。 他解释说：“当用户听到来自第三方的违规信息时，它立即侵蚀来之不易的信任。” “走在前面，留在前面，在您已经活跃的所有渠道中不断进行简明扼要的交流。”

4.记住客户服务

如果您的数据泄露影响在线服务，客户的体验或业务的其他方面，可能有客户向您发送查询，请确保将其作为一个单独的重要问题来关注。 忽略客户的问题，甚至不顾一切地企图使自己的厄运变成收益，都会迅速将严重的数据泄露变成严重的业务和收入损失。

以Equifax违规为例，该公司最初告诉客户，如果他们不起诉，他们可以有一年的免费信用报告。 当客户要求冻结报告时，它想向客户收取额外费用时，它甚至试图将违规行为变成利润中心。 那是一个错误，并且长期损害了公司的客户关系。 公司应该做的就是将客户放在第一位，并在同一时间段内向所有客户免费提供无条件报告，甚至免费，以强调他们对确保客户安全的承诺。

5.不要太快结束事件

您已关闭损坏的端点。 您已经联系了您的员工和客户。 您已经恢复了所有数据。 乌云已经散开，一缕阳光层叠在您的办公桌上。 没那么快。 尽管您的危机似乎已经结束，但您仍将希望继续积极主动地监视网络，以确保没有后续攻击。

Nunnikhoven说：“在出现漏洞之后，要恢复服务和恢复将承受巨大压力。” “攻击者一旦站稳脚跟，就会在网络中快速移动，因此很难具体确定您已解决了整个问题。保持勤奋和更积极地监控是重要的一步，直到您确定组织清醒为止”。

Sfakiyanudis同意这一评估。 他说：“在解决了数据泄露问题后，恢复了正常的业务运营之后，不要再假设使用与您在行贿前就已采用的相同技术和计划就足够了。” “您的安全策略中存在漏洞，即使这些漏洞得到解决，这也不意味着将来不会有更多漏洞。为了采取更主动的方法来保护数据，请善待您的数据泄露应对计划是一个有效的文档。随着个人角色的改变以及组织通过合并，收购等方式的发展，计划也需要改变。”

6.不要忘记调查

Sfakiyanudis说：“调查违规行为时，请记录一切。” “收集有关事件的信息对于验证是否发生了违规，影响了哪些系统和数据以及如何解决缓解或补救措施至关重要。通过数据捕获和分析记录调查的结果，以便可以在事后审查。

他继续说：“一定也要采访任何涉及的人，并认真记录他们的回答。” “使用磁盘映像创建详细的报告，以及有关事件的发生者，事件，地点和时间的详细信息，将帮助您实施任何新的或缺少的风险缓解措施或数据保护措施。”

这些措施显然是在事发后可能造成的法律后果，但这不是调查攻击的唯一原因。 找出负责人和受影响人是律师的关键知识，当然应该进行调查。 但是，破坏的发生方式以及针对的目标是IT和您的安全人员的关键信息。 外围的哪些部分需要改进，数据的哪些部分（显然）对新手有价值？ 确保您调查此事件的所有有价值的方面，并确保调查人员从一开始就知道这一点。

如果您的公司太过类推，无法自己进行分析，那么您可能想要雇用一个外部团队来为您进行这项调查（如Sfakiyanudis前面所述）。 还要记下搜索过程。 请注意为您提供了哪些服务，与哪些供应商进行了交谈以及您对调查过程是否满意。 如果您的公司不幸遭受第二次违约，此信息将帮助您确定是否坚持与您的供应商合作，选择新的供应商或雇用能够执行这些流程的内部人员。