Idealnya, Anda harus tahu bagaimana orang jahat itu masuk, dan apa “radius ledakan” serangan itu, sistem apa yang telah mereka sentuh, data apa yang telah disusupi, dan apakah mereka masih berada di dalam jaringan. Di sinilah ahli forensik pihak ketiga sering direkrut.
Libatkan diri secara hukum
Setelah pelanggaran, Anda perlu tahu di mana posisi perusahaan. Kewajiban apa yang Anda miliki? Regulator mana yang perlu diinformasikan? Haruskah Anda bernegosiasi dengan peretas untuk mengulur lebih banyak waktu? Kapan pelanggan dan/atau mitra harus diberitahu?
Penasihat hukum internal adalah pelabuhan panggilan pertama di sini. Tetapi mungkin juga ingin menarik para ahli di bidang respons insiden dunia maya. Di sinilah detail forensik tentang apa yang sebenarnya terjadi sangat penting, sehingga para ahli tersebut dapat membuat keputusan yang paling tepat.
Ketahui kapan, bagaimana, dan siapa yang harus diberi tahu
Berdasarkan ketentuan GDPR, pemberitahuan kepada regulator lokal harus dilakukan dalam waktu 72 jam setelah pelanggaran ditemukan. Namun, penting untuk memahami apa persyaratan minimum untuk pemberitahuan, karena beberapa insiden mungkin tidak memerlukannya. Di sinilah pemahaman yang baik tentang radius ledakan sangat penting.
Jika Anda tidak tahu berapa banyak data yang diambil atau bagaimana pelaku serangan masuk, Anda harus mengasumsikan yang terburuk dalam pemberitahuan kepada regulator. Kantor Information Commissioner’s Office (ICO), yang berperan penting dalam menyusun GDPR, memiliki beberapa pedoman yang berguna tentang hal ini.
Beritahu penegak hukum
Apa pun yang terjadi dengan regulator, Anda mungkin perlu mendapatkan penegakan hukum di pihak Anda, terutama jika pelaku ancaman masih berada di dalam jaringan. Masuk akal untuk membuat mereka bergabung secepat mungkin. Dalam kasus ransomware, misalnya, mereka mungkin dapat menghubungkan Anda dengan penyedia keamanan dan pihak ketiga lainnya yang menawarkan kunci dekripsi dan alat mitigasi.
Beri tahu pelanggan, mitra, dan karyawan
Ini adalah no-brainer lain pada daftar pasca-pelanggaran. Namun, sekali lagi, jumlah pelanggan/karyawan/mitra yang perlu Anda informasikan, apa yang harus diberitahukan kepada mereka dan kapan akan bergantung pada detail kejadian, dan apa yang dicuri.
Pertimbangkan terlebih dahulu untuk mengeluarkan pernyataan penahanan yang mengatakan bahwa perusahaan mengetahui suatu insiden dan saat ini sedang menyelidiki. Tetapi rumor berkembang dalam ruang hampa, jadi Anda harus menindaklanjuti ini dengan lebih banyak detail segera setelahnya. Tim IT, PR, dan hukum harus bekerja sama secara erat dalam hal ini.
Mulai pemulihan dan perbaikan
Setelah cakupan serangan jelas dan tim penanggap insiden/forensik yakin bahwa pelaku ancaman tidak lagi memiliki akses, saatnya untuk memulihkan dan menjalankannya. Ini bisa berarti memulihkan sistem dari cadangan, membuat ulang mesin yang disusupi, menambal titik akhir yang terpengaruh, dan menyetel ulang kata sandi.
Komentar