数据泄露后要遵循的 3 个步骤

在数字化工作场所运营意味着使用互联网来共享和管理可以在兼容设备上在线访问的业务资源。 但这种始终在线、始终连接的工作场所模式有可能危及您的业务安全并使其容易受到网络风险的影响。

网络犯罪分子总是在寻找这种松散的目标，以绕过安全机制侵入您的企业网络并窃取敏感信息。 此过程称为数据泄露。

如果您是企业中负责 IT 安全管理的人员，您应该知道如何处理数据泄露——立即响应和恢复步骤以及利益相关者参与以更快地解决问题。

在本文中，我们解释了您应该在发生违规事件后立即采取的三个步骤，以防止进一步的损失和相关损害。 但在我们开始之前，让我们首先了解什么是数据泄露以及它如何影响全球企业。

数据泄露的影响

著名运动品牌 Puma 最近遭遇了一起数据泄露事件，该事件影响了包括员工和客户在内的 6,000 多人。 攻击是使用勒索软件发起的，即持有信息以换取金钱。 同样，教育科技初创公司 Unacademy 在 2020 年的一次数据泄露事件中丢失了超过 2000 万条用户记录。

这些示例突出表明，数据泄露会影响各种规模的企业。 为了限制影响，您的企业应在遭受攻击后采取正确的数据安全措施——以防万一。

步骤#1：关闭所有受影响的系统

首先关闭受违规影响的系统，以防止其他系统受到损害。 完成后，更改所有携带敏感信息的企业帐户和服务器的登录凭据。

动员一个专家团队来确定安全漏洞的根本原因、其来源以及黑客是否仍然可以访问您的系统。 在这个团队中包括来自 IT 安全和风险、法律、取证、运营、人力资源、通信和高层管理的专家——具体取决于您的业务规模。

在采取这些安全措施时，请注意不要破坏事件中的任何证据； 它将协助法医小组进行调查和补救。

步骤 #2：修复受影响系统和网络中的漏洞

隔离受影响的系统、资源或网络后，找出贵公司安全机制中为黑客打开大门的薄弱环节。 首先调查您的员工和客户如何共享业务信息，因为大多数数据泄露事件都是人为错误。 根据行业研究，22% 的数据泄露是由于人为错误造成的。

一旦您确定了违规的原因，请运行一系列网络分段测试以识别不太安全的子网。 这些测试在您的企业网络上运行端口扫描，以查找未经授权的设备 IP 地址。 当未找到未经授权的 IP 地址时，网络分段被验证为正常工作。

如果某个子网受到威胁，请将其隔离以防止整个公司网络受到感染。 要求取证专家收集有关可能发起攻击的未授权 IP 地址的所有信息，并准备数据泄露报告以实施恢复计划。

该报告应包括有关网络中允许未经授权访问的薄弱端以及黑客用于发起攻击的技术的详细信息。 该报告将让您分析现有数据安全机制的强弱程度，并确定加强它以防止未来攻击的方法。

第 3 步：通知相关方有关违规行为

最后一步是通知所有受违规影响的利益相关者。 首先，与执法部门联系，以确定在违规期间是否违反了任何联邦或州法律。 如果是，请他们提出补救措施以避免诉讼。

接下来，发布正式的媒体公告，说明违规的发生、数据丢失的强度以及受违规影响的人员（客户和员工）。 在传达为阻止违规行为而采取的补救措施时保持透明度。 这将帮助您重新获得相关方的信任。

考虑让公共关系 (PR) 团队有效地传递信息。 此外，预计相关方可能会就事件提出的问题。 一些常见的问题是：

• 我们的个人信息，例如联系方式和银行信息，是否被泄露？
• 采取了哪些数据保护措施来减轻攻击？
• 我们可以采取什么措施来减少损失？

如果您的业务运营涉及收集客户的个人数据（例如，社会保险号、信用卡号或健康信息），并且这些数据在违规期间已被泄露，您应立即通知银行和当地网络犯罪小组等机构。 这将允许他们监控被盗账户以获取任何欺诈警报或跟踪客户的类似投诉。

加强 IT 安全以防止数据泄露

数据泄露可能会严重影响您的业务。 根据 Gartner 的一份报告（Gartner 客户可以获得完整的研究报告），美国公司平均因数据泄露而损失约 820 万美元。

实施网络安全事件响应计划可以带来有效的恢复。 使用该计划来监控您的系统、检测安全事件并实施预防或恢复方法以减少由此造成的损失。 您还可以使用软件工具来加强公司的安全状况并防止未来的攻击。