Как оправдываться, если ваши данные утекли

В жизни каждой компании случаются громкие факапы. Для большинства стартапов, чаще всего связанных с диджитализацией бизнеса, самый вероятный факап – это утечка данных. В последнее время исследователи обнаруживают масштабные утечки практически еженедельно, а компаниям приходится публично объясняться с обществом и экспертами о том, «как же такое случилось?». Объясняем как в этой ситуации вести публичную активность и не выглядеть чиновником, застигнутым на балерине.

ЧТО ТАКОЕ УТЕЧКА ДАННЫХ

Утечка – это ситуация, когда ваши данные (или хранящиеся у вас данные клиентов и контрагентов) попадают или могут попасть в чужие руки. Утечь может клиентская база (чаще всего), внутренние документы или цифровые активы, например, код. Причинами утечки могут быть хакерские атаки, действия инсайдеров (по-русски: воровство или месть сотрудников), а также банальное раззвездяйство – например, открытый доступ к облачным хранилищам, базам данных или логам, в которые «добрые» программисты валят все подряд - от данных авторизации до заполненных платежных форм.

Утечка не равна хакерской атаке, множество которых кончается ничем. Утечка – это ситуация, когда вы подозреваете или уверены, что данные уже не в ваших в руках и пора как-то сообщать об этом публике, пока она сама об этом не узнала и не спалила вас на костре своей священной ярости.

Ситуации с утечками бывают разные и публичные действия в различных вариантах несколько отличаются в зависимости от того, точно ли данные утекли, и в чьи руки при этом попали. Ниже четыре основных варианта возникновения проблемы и ваших ответных действий.

ВАРИАНТ 1: ВЫ САМИ ЗАМЕТИЛИ, ЧТО ДАННЫЕ МОГЛИ УТЕЧЬ

Самый легкий, но и самый редкий случай. Редко, но бывает, что компания сама замечает потенциальную утечку данных. Чаще всего это означает, что вы нашли некую уязвимость, через которую можно было получить доступ к данным, но не понимаете, нашел ли ее кто-то еще и получил ли он доступ к вашим данным.

В этой ситуации необходимая публичная активность минимальна:

  • Быстро ликвидируйте уязвимость;

  • Выясните, какие данные могли утечь – если есть шанс, что скомпрометированы пароли или токены, обязательно сбросьте их;

  • Оповестите пользователей, что возникло подозрение на утечку (этим вы, как минимум, обезопасите себя от претензий в рамках GDPR), но что, скорее всего, их данные не пострадали. Добавьте информацию о том, что уязвимость устранена и несколько слов о своей заботе о безопасности;

  • Если понятно, кто внутри компании виноват в утечке, можете предать его побиванию камнями с трансляцией на сайте. Народ это любит.

Но обычно первая реакция большинства компаний на такой кейс - промолчать и замести ситуацию под ковер. Так поступить, в принципе, можно, однако всегда остается риск, что данные, все-таки, успели утечь и в случае, если это обнаружится, превентивная публичная активность слегка смягчит удар по репутации и снизит гнев пользователей.

ВАРИАНТ 2 - ВЫ САМИ ЗАМЕТИЛИ, ЧТО ДАННЫЕ УТЕКЛИ

Почти такой же редкий, но более печальный случай. Неприятно, но полезно первым обнаружить копию своей клиентской базы на файлообменнике или на форуме в даркнете.
Понятно, что огласки уже не избежать и здесь надо реагировать быстро, чтобы успеть до того, как ваши данные найдет кто-то другой.

Что делать в этой ситуации:

  • Выясните, не скомпрометированы ли пароли или другая авторизационная информация. Если да, то сбросьте их. Оповестите пользователей.

  • По самой информации попытайтесь понять насколько старой она является. Если данные двух-трехлетней давности, всегда можно попытаться свалить вину на старых подрядчиков, старые решения или персонал. Не сказать, что это особенно поможет, но в такой ситуации нужно собирать любые смягчающие вашу вину обстоятельства;

  • Сделайте публичное заявление (например, в форме новости на сайте и рассылке по пользователям) с упором на то, что идет расследование инцидента и компания предпримет все меры, чтобы подобное не повторилось.

  • Если есть бюджет, наймите расследователя, авторитет которого также будет свидетельствовать о серьезности вашего подхода. Ну и, чем черт не шутит, может и причину утечки найдете.

ВАРИАНТ 3 - ВАШИ ДАННЫЕ УТЕКЛИ И ЗАМЕТИЛИ ЭТО НЕ ВЫ

Куда чаще случаются откровенно грустные ситуации, когда утечка ваших данных не просто произошла, но и обнаружил ее кто-то другой. Здесь реакция зависит от того, кто именно вас наказал.

Если о похищении данных заявила хакерская группировка, то, с одной стороны, есть гарантированный ущерб пользователям, связанный с тем, что данные продадут или используют для атак на них. С другой стороны, в рамках публичной модели хакеры - это страшные черти, которые могут заломать кого угодно и стать объектом взлома, вроде бы, не очень-то и стыдно.

В этой ситуации надо максимально затягивать историю, поскольку хакеры добиваются быстрого хайпа и не имеют ресурсов для публичной (особенно через СМИ) дискуссии с вами. Поэтому действуйте так:

  • Сбросьте пароли (не важно утекли они или нет – надо же что-то делать);

  • Оповестите пользователей с акцентом на то, что реального ущерба злоумышленники, скорее всего, нанести не успели;

  • Сделайте публичное заявление (новость на сайте, плюс комментарии по запросу СМИ) с акцентом на то, что данных хакеры похитили значительно меньше, чем говорят, а сами данные старые и разбавлены непонятно чем.

  • Если есть бюджет, закажите аудит системы безопасности и сообщите об этом.

Печаль уровня «фаталити» – это ситуация, когда утечку нашли исследователи. Чаще всего, исследователь – это специалист-аутсорсер или компания, работающая в области инфобеза. Оба они имеют отличные связи со СМИ и желание показать на вашем примере, что нельзя так наплевательски относиться к безопасности. Обнаружение утечки исследователем – это гарантированное публичное позорище и тут вам остается только сжав зубы кланяться и минимизировать ущерб.

Если речь идет об уязвимости (то есть, чаще всего, о по-глупому открытом сервере):

  • Закройте эту уязвимость;

  • Сбросьте пароли и повестите пользователей с акцентом на то, что реальный ущерб минимален;

  • Уточните у исследователя - по его мнению, были ли данные похищены;

  • Готовьтесь, что эта информация появится в СМИ – напишите новость и готовьте официальный комментарий. Поблагодарите исследователя за помощь. Если исследователь считает, что данные не были похищены (и у вас не валяется в корне записка от хакеров с требованием пары биткойнов) - сделайте акцент на то, что реальный ущерб минимален;

  • Если есть бюджет, закажите аудит системы безопасности.

Если речь идет об обнаружении уже украденных данных, при этом неизвестно как утекших (самый худший вариант развития событий):

  • Сбросьте пароли и повестите пользователей;

  • Объявите начале расследования инцидента о сотрудничестве с исследователем, а также найме специализированной компании для проведения аудита;

  • Проанализируйте утекшие данные на предмет возраста. Если они старые, скажите об этом;

  • В новости и комментариях для СМИ упирайте на то, что компания сделает все, чтобы такого не повторилось;

  • Если есть кто-то бесполезный, кто может публично уйти в отставку – достаньте его;

  • Информируйте СМИ о ходе расследования – залог успеха в том, чтобы журналистам как можно быстрее надоели ваши пресс-релизы на эту тему.

ЧЕГО ВО ВСЕХ СЛУЧАЯХ ДЕЛАТЬ ОТКРОВЕННО НЕ СТОИТ

  • Утверждать, что никакой утечки не было – глупее этого придумать что-то сложно. И у хакеров, и у исследователей есть заранее собранные доказательства того, что утечка была и когда они их предъявят, вы будете выглядеть еще большим дураком, чем до заявления.

  • Рассказывать, что вас заказали завистники из зависти к стремительному росту вашей компании. Такие заявления заставят сомневаться в вашей профессиональной компетентности.

  • Кричать «милиция!» - все знают, что в ситуации, когда непонятно кто, украл непонятно что и непонятно украл ли вообще, «милиция» отправил заявителя восвояси.

  • И лучше всего вовсе убрать от голубых экранов руководство компании, так как именно оно генерирует 90% нервных глупостей.

КАК ОРГАНИЗОВАТЬ ПРОЦЕСС

В большинстве компаний при публичном обнаружении утечки происходит форменный «аз ох-н-вэй» с участием потенциальных виновников и нервного руководства. Чтобы выглядеть прилично, стоит подготовиться заранее:

  • Договориться о том, что в такой ситуации топ-менеджмент молчит, а выступает пресс-служба;

  • Подготовить и заранее согласовать план действий для всех служб компании по минимизации ущерба;

  • Подготовить «консервы» комментариев и релизов относительно утечки;

Но лучше всего, конечно, утечек просто не допускать, уязвимостей не создавать, и чаще проводить аудит безопасности. Но это уже совсем другая история.

Другие новости