IT業界資訊媒體

【黃金48小時】資料外洩應變方案

間唔中都會聽到有關資料外洩嘅報導,不過通常只係一啲大型企業有報導嘅新聞價值,中小企就算發生咗都未必有人知。隨住流動裝置同 IoT 裝置嘅普及,只要系統保護或使用方法做得唔好,真係好容易發生外洩事件。如果真係唔好彩發生咗資料外洩,到底應該點做好?其實管理層最緊要係事前製定好一份緊急應變措施,例如列明要執行嘅每個步驟、由邊個單位負責相關工作,以及寫清楚不同情況下嘅應對方法。不妨參考下網絡安全公司 Exabeam 對資料外洩後 48 小時內嘅應變建議,盡快製定指引喇。

防止繼續外洩

當發現系統資料外洩或被入侵,好多人會覺得好驚,下意識第一時間會關閉系統或熄機,以防繼續被盜取資料。雖然可以防止資料繼續外洩,但就有可能同時刪除咗入侵系統嘅證據,令到事後嘅調查變得唔夠全面,搵唔到系統嘅漏洞,反而幫咗攻擊者添。正確做法係只須將系統離線,唔好修改任何設定,同時檢查系統監察係咪繼續運作中,並且將記錄備份,以便日後調查。

另外,由於資料外洩其中一個可能性係登入帳戶被盜用,所以要盡快修改帳戶嘅密碼,而且要將所有帳戶都改晒。如果資料仲係繼續被盜取,咁就可能係其他原因喇。

調查成因

做完以上動作,就要開始調查登入記錄,睇吓究竟資料外洩事件喺幾時發生?有邊啲資料已經被盜取?同埋有無一啲帳戶曾經被非法使用?呢啲資料非常重要,因為都有助制訂日後嘅安全措施,阻止外洩事件再次發生。

俾人盜取咗資料,淨係評估損失或影響並唔足夠,最重要係搵出事件發生嘅原因。到底係因為系統有漏洞定中咗毒?抑或有人唔小心洩露咗登入帳戶嘅密碼或唔見咗部可以登入系統嘅流動裝置?如果搵唔到原因,就好難執行有效嘅補救方案。

補救措施

搵出洩密原因,當然就輪到解決,如果係因為某部裝置被盜用,就要即時遙距刪除裝置嘅資料;如果系統有漏洞,就有需要為系統升級、掃毒、更改防火牆設定,提升登入權限嘅控制。

完成技術層面嘅補救,跟住就輪到同內部溝通,管理層有需要搵持份者、法律部門、公關部門、客戶服務部、人力資源部門,披露洩密事件嘅發生、影響範圍及嚴重性,以免內部因溝通不足出現訊息混亂。

正所謂紙包唔住火,由於被盜取嘅資料有可能涉及客戶嘅個人私隱,或對公司嘅利益造成損失,所以管理層有必要盡快透過發布會、電郵、社交平台等渠道,向受影響人士或公眾交代事件嘅經過及原因,以及公司已經進行嘅補救行動。如果對客戶有影響,公司有必要設立一條查詢熱線,同時提供指引,幫助客戶減少損失。