Что делать после утечки данных?

Если вы считаете, что в вашем бизнесе произошла утечка данных, не игнорируйте это и не поддавайтесь панике. Начните с ограничения дальнейшего ущерба, зафиксируйте, что вам уже известно, и получите квалифицированную помощь. Хороший ответ — спокойный, быстрый и организованный.

Если говорить простыми словами, утечка данных означает, что бизнес- или клиентская информация была раскрыта, украдена, получена без разрешения или, возможно, изменена. Это может касаться почтовых аккаунтов, облачных приложений, зарплатных записей, платежной информации, файлов клиентов или данных сотрудников.

Ваши первые приоритеты просты. Снизьте текущие риски. Сохраняйте записи о том, что произошло. Определите, какие системы и данные могли быть затронуты. Затем по порядку выполните шаги в рамках юридической процедуры, работы со страховой, уведомления клиентов и восстановления.

Если у вас еще нет провайдера информационных технологий или вам нужен второй вариант, NodeBridge IT может помочь вам найти независимого поставщика управляемых IT-услуг. Поставщик управляемых IT-услуг (MSP) — это компания, которая помогает бизнесу управлять и поддерживать технологии. Мы даем общее обучение и выполняем бесплатное сопоставление (matching) только.

Начните с локализации проблемы там, где это разумно возможно. Это может означать отключение компьютера от Wi‑Fi, приостановку удаленного доступа, блокировку скомпрометированного почтового аккаунта или просьбу сотрудникам не использовать подозрительную систему, пока провайдер не проверит ее. Не начинайте удалять файлы или стирать устройства, если квалифицированный специалист не скажет вам об этом. Вы можете уничтожить доказательства, которые помогают объяснить, что произошло.

Сразу составьте хронологию. Отметьте, когда проблема была обнаружена, кто ее сообщил, какие системы, по ощущениям, затронуты, какие сообщения появлялись на экране и какие действия были предприняты. Если это можно сделать безопасно, сохраните скриншоты. Сохраняйте копии подозрительных писем, записок с требованием выкупа (ransom notes), уведомлений о входе в аккаунт и уведомлений от вендоров.

Измените пароли для затронутых бизнес-аккаунтов с помощью «чистых» устройств и включите многофакторную аутентификацию — MFA, где доступно. MFA означает, что пользователям нужен второй шаг подтверждения, например код с телефона или запрос в приложении, а не только пароль. Сначала сосредоточьтесь на почте, банковских сервисах, зарплатных системах, облачном хранилище, приложениях для ключевых бизнес-направлений и администраторских аккаунтах.

Если могут быть задействованы платежные карты, доступ к банку, медицинская информация или записи сотрудников, быстро свяжитесь с банком, поставщиком киберстрахования, юридическим консультантом и всеми необходимыми вендорами. Требования зависят от отрасли и штата, поэтому шаги уведомления для каждого бизнеса не одинаковые.

Утечка — это не только IT-проблема. Она может нарушить продажи, расчет зарплат, планирование смен, работу службы поддержки и отношения с поставщиками. Также она может создать юридические обязанности по уведомлению, ведению записей и последующим действиям — особенно если были раскрыты персональные, финансовые или медицинские данные.

Для малого бизнеса самая сложная часть часто не в том, что произошло, а в том, что делать дальше. Эта неопределенность может привести к поспешным решениям, пропуску сроков и дополнительным затратам. Понятный процесс помогает не ухудшить ситуацию.

Есть еще и вопрос доверия. Клиенты, сотрудники и партнеры обычно понимают, что инциденты могут случаться. Важно, как именно ваш бизнес отвечает: честно, внимательно и в разумные сроки. Ни один честный провайдер не обещает сеть «невзламываемой» или нулевое время простоя, но хороший провайдер должен помогать вам улучшать готовность и реагирование.

Если вы пытаетесь понять варианты поддержки до выбора провайдера, страницы наших ответов и услуг помогут вам разобраться в базовых вещах простыми словами.

Хорошее реагирование на утечку обычно означает, что несколько ключевых вещей произошли в правильном порядке. Бизнес по мере возможности локализовал проблему, сохранил полезные доказательства, привлек квалифицированную помощь и принимал решения на основе фактов, а не догадок.

Сильный провайдер поможет оценить масштаб — то есть какие системы, аккаунты, устройства и данные могли быть затронуты. Он может проверить логи, активность в почте, настройки облака, статус резервного копирования, пользовательские аккаунты и защиту устройств. Если они рекомендуют инструменты, они должны объяснить их простым языком.

Например, они могут обсудить обнаружение и реагирование на уровне конечных устройств — EDR. Это программное обеспечение, которое устанавливают на ноутбуки, настольные компьютеры и серверы, чтобы помогать обнаруживать подозрительное поведение и поддерживать расследование. Конечное устройство (endpoint) — это любое отдельное устройство, которое подключается к системам вашего бизнеса. Также они могут рассказать о мониторинге и управлении на расстоянии — RMM. Это программное обеспечение, которое многие провайдеры используют для мониторинга состояния устройств и выполнения рутинных работ по поддержке.

Они также могут проверить обновление (patching), то есть применение программных и защитных обновлений, настройку резервного копирования, права доступа к аккаунтам, безопасность электронной почты и обучение персонала. Если резервные копии важны, спросите, следуют ли они подходу 3-2-1 для резервного копирования. Это означает хранение 3 копий данных на 2 разных типах носителей, при этом 1 копия хранится вне площадки (offsite). Это распространенная лучшая практика, а не гарантия того, что любой файл всегда можно будет восстановить.

Если вы привлекаете внешнюю помощь, задайте прямые вопросы. Вам не нужно знать технический жаргон, чтобы попросить понятные ответы. Хороший провайдер должен объяснить, что он знает, чего пока не знает, и что рекомендует сделать дальше.

Спросите, как они будут расследовать инцидент, какую информацию им нужно получить от вас, как они документируют результаты и как общаются в процессе реагирования. Спросите, какие немедленные меры защиты они проверят, например MFA, резервные копии, права доступа к аккаунтам, настройки почты и защиту устройств. Уточните, как они помогают с планированием восстановления после того, как первая чрезвычайная ситуация закончится.

Также спросите об условиях обслуживания и о постоянной поддержке. SLA (service level agreement) — это письменный документ, который описывает целевые показатели реагирования, охват и условия предоставления услуг. Некоторые компании также хотят стратегические рекомендации от виртуального директора по информационным технологиям, или vCIO. vCIO — это внешний консультант, который помогает планировать ИТ-приоритеты, бюджеты и решения по рискам.

Если вашему бизнесу нужны требования по соответствию (compliance), спросите и об этом. HIPAA означает Health Insurance Portability and Accountability Act — закон США, который влияет на определенную медицинскую информацию. PCI обычно означает Payment Card Industry Data Security Standard для организаций, которые обрабатывают платежи картами. SOC 2 — это структура отчетности, которой пользуются многие поставщики ПО, чтобы показать, как они управляют контрольными мерами, связанными с безопасностью. Требования зависят от отрасли и штата, поэтому спросите, как провайдер обращается с вашей конкретной ситуацией.

Вам не нужно разбираться в этом в одиночку. Если бизнесу нужна помощь в понимании вариантов, NodeBridge IT может связать вас с независимым MSP, который работает в вашем регионе и подходит под размер вашего бизнеса. Наша услуга бесплатна для владельцев бизнеса. Мы получаем фиксированное маркетинговое вознаграждение от участвующих провайдеров.

Мы не управляем системами, не защищаем сети, не расследуем инциденты, не ремонтируем устройства и не получаем доступ к вашим аккаунтам. Мы собираем только базовые данные о бизнесе и контакты, чтобы помочь вам найти провайдера, который может соответствовать вашим потребностям.

Стоимость зависит от численности персонала, количества устройств, потребностей в безопасности и вашего региона. В качестве ориентиров: постоянные управляемые IT-услуги для малого бизнеса часто начинаются примерно с нескольких сотен долларов в месяц для очень легкой поддержки и могут составлять от примерно $100 до $250 или более на пользователя в месяц для более широкого сервиса и безопасности. Реагирование на инциденты или проектные работы часто оплачиваются отдельно. Это общие ориентиры, а не коммерческие предложения.

Если вы хотите сравнить варианты без сильного давления продаж, начните здесь: получить matching.