Реагирование на утечку данных: руководство для бизнеса
Вы только что узнали, что в вашей компании произошла утечка данных. Независимо от того, забрали ли хакеры личную информацию с вашего корпоративного сервера, инсайдер украл информацию о клиентах или информация была непреднамеренно раскрыта на веб-сайте вашей компании, вы, вероятно, задаетесь вопросом, что делать дальше.
Какие шаги следует предпринять и к кому следует обратиться в случае раскрытия личной информации? Хотя ответы варьируются от случая к случаю, следующие рекомендации Федеральной торговой комиссии (FTC) могут помочь вам принимать разумные и обоснованные решения.
Защитите свои операции
Быстро обезопасьте свои системы и устраните уязвимости, которые могли вызвать взлом. Хуже утечки данных могут быть только множественные утечки данных. Примите меры, чтобы это не повторилось.
- Защитите физические области, потенциально связанные с нарушением. Заблокируйте их и при необходимости измените коды доступа. Спросите у экспертов-криминалистов и правоохранительных органов, когда разумно возобновить обычные операции.
Немедленно мобилизуйте группу реагирования на нарушения, чтобы предотвратить дополнительную потерю данных. Конкретные действия зависят от характера нарушения и структуры вашего бизнеса.
Соберите команду экспертов для комплексного реагирования на нарушения. В зависимости от размера и характера вашей компании они могут включать судебную экспертизу, юриспруденцию, информационную безопасность, информационные технологии, операции, человеческие ресурсы, коммуникации, отношения с инвесторами и управление.
- Определить группу криминалистики данных. Рассмотрите возможность найма независимых судебно-медицинских экспертов, которые помогут вам определить источник и масштаб нарушения. Они сделают криминалистические изображения затронутых систем, соберут и проанализируют улики и наметят шаги по исправлению.
- Проконсультируйтесь с юристом. Поговорите со своим юрисконсультом. Затем вы можете рассмотреть вопрос о найме внешнего юрисконсульта с опытом работы в области конфиденциальности и безопасности данных. Они могут сообщить вам о федеральных законах и законах штата, которые могут быть связаны с нарушением.
Остановить дополнительную потерю данных. Немедленно отключите все затронутое оборудование, но не выключайте никакие машины, пока не прибудут эксперты-криминалисты. Внимательно следите за всеми точками входа и выхода, особенно за теми, которые причастны к взлому. Если возможно, подключите чистые машины вместо поврежденных. Кроме того, обновите учетные данные и пароли авторизованных пользователей. Если хакер украл учетные данные, ваша система останется уязвимой до тех пор, пока вы не измените эти учетные данные, даже если вы удалили инструменты хакера.
Удалять ненадлежащим образом размещенную информацию из Интернета.
- Ваш веб-сайт: Если утечка данных связана с неправомерным размещением личной информации на вашем веб-сайте, немедленно удалите ее. Имейте в виду, что поисковые системы в Интернете хранят или «кэшируют» информацию в течение определенного периода времени. Вы можете связаться с поисковыми системами, чтобы убедиться, что они не архивируют личную информацию, размещенную по ошибке.
- Другие веб-сайты: Найдите открытые данные вашей компании, чтобы убедиться, что никакие другие веб-сайты не сохранили копию. Если вы найдете что-либо, свяжитесь с этими сайтами и попросите их удалить его.
Опросите людей, которые обнаружили брешь. Также поговорите со всеми, кто может об этом знать. Если у вас есть центр обслуживания клиентов, убедитесь, что сотрудники знают, куда пересылать информацию, которая может помочь в расследовании нарушения. Задокументируйте свое расследование.
Не уничтожать улики. Не уничтожайте никакие улики в ходе вашего расследования и исправления.
Исправить уязвимости
Подумайте о поставщиках услуг. Если в этом участвовали поставщики услуг, проверьте, к какой личной информации они могут получить доступ, и решите, нужно ли вам изменить их права доступа. Кроме того, убедитесь, что ваши поставщики услуг предпринимают необходимые шаги, чтобы не допустить повторного нарушения. Если ваши поставщики услуг говорят, что они устранили уязвимости, убедитесь, что они действительно что-то исправили.
Проверьте сегментацию вашей сети. Когда вы настраивали свою сеть, вы, вероятно, сегментировали ее, чтобы нарушение на одном сервере или на одном сайте не могло привести к нарушению на другом сервере или сайте. Поработайте со своими экспертами-криминалистами, чтобы проанализировать, был ли ваш план сегментации эффективным для сдерживания нарушения. Если вам нужно внести какие-либо изменения, сделайте это сейчас.
Работайте с экспертами-криминалистами. Узнайте, были ли включены такие меры, как шифрование, когда произошло нарушение. Анализ резервных копий или сохраненных данных. Просмотрите журналы, чтобы определить, кто имел доступ к данным во время взлома. Кроме того, проанализируйте, кто в настоящее время имеет доступ, определите, нужен ли этот доступ, и ограничьте доступ, если это не так. Проверьте типы скомпрометированной информации, количество затронутых людей и наличие у вас контактной информации этих людей. Получив отчеты судебно-медицинской экспертизы, как можно скорее примите рекомендуемые меры по исправлению положения.
Составьте план коммуникаций. Разработайте комплексный план, охватывающий всю затронутую аудиторию — сотрудников, клиентов, инвесторов, деловых партнеров и другие заинтересованные стороны. Не делайте вводящих в заблуждение заявлений о нарушении. И не скрывайте ключевые детали, которые могут помочь потребителям защитить себя и свою информацию. Кроме того, не разглашайте публично информацию, которая может подвергнуть потребителей дальнейшему риску.
Предугадывайте вопросы, которые будут задавать люди. Затем разместите важные вопросы и четкие, понятные ответы на своем веб-сайте, где их легко найти. Хорошая коммуникация заранее может уменьшить беспокойство и разочарование клиентов, сэкономив время и деньги вашей компании позже.
Уведомить соответствующие стороны
Когда в вашем бизнесе произойдет утечка данных, уведомите правоохранительные органы, другие затронутые предприятия и затронутых лиц.
Определите свои юридические требования. Все штаты, округ Колумбия, Пуэрто-Рико и Виргинские острова приняли законы, требующие уведомления о нарушениях безопасности, связанных с личной информацией. Кроме того, в зависимости от типов информации, связанной с нарушением, в вашей ситуации могут применяться другие законы или правила. Ознакомьтесь с государственными и федеральными законами или нормативными актами, чтобы узнать о конкретных требованиях для вашего бизнеса.
Сообщите в правоохранительные органы. Немедленно позвоните в местное отделение полиции. Сообщите о своей ситуации и потенциальном риске кражи личных данных. Чем раньше правоохранительные органы узнают о краже, тем эффективнее они могут быть. Если ваша местная полиция не знакома с расследованием компрометации информации, обратитесь в местное отделение ФБР или в Секретную службу США. В случае инцидентов, связанных с кражей почты, обращайтесь в Почтовую инспекционную службу США.
Было ли нарушение связано с электронными личными медицинскими картами? Затем проверьте, подпадаете ли вы под действие Правила уведомления о нарушении здоровья. Если это так, вы должны уведомить FTC и, в некоторых случаях, средства массовой информации. В соответствии с правилом об уведомлении о нарушениях здоровья FTC разъясняется, кого вы должны уведомлять и когда. Кроме того, проверьте, подпадаете ли вы под действие правила уведомления о нарушениях HIPAA. В этом случае вы должны уведомить об этом министра здравоохранения и социальных служб США (HHS) и, в некоторых случаях, средства массовой информации. Правило уведомления о нарушениях HHS объясняет, кого вы должны уведомить и когда.
Ресурсы для нарушения здравоохранения
Правило уведомления о нарушении HIPAA:
HHS.gov/hipaa/for-professionals/breach-notification
hhs hipaa-notionfific -reporting
Соблюдение правила FTC об уведомлении о нарушениях здоровья:
ftc.gov/healthbreachnotificationrule
Уведомить затронутые предприятия. Если информация о доступе к учетной записи — например, номера кредитных карт или банковских счетов — была украдена у вас, но вы не ведете учетные записи, уведомите учреждение, которое делает это, чтобы оно могло отслеживать учетные записи на предмет мошеннических действий. Если вы собираете или храните личную информацию от имени других компаний, сообщите им об утечке данных.
Если номера социального страхования были украдены, обратитесь в основные бюро кредитных историй для получения дополнительной информации или совета. Если в компрометации может участвовать большая группа людей, сообщите кредитным бюро, если вы рекомендуете людям запрашивать предупреждения о мошенничестве и замораживание кредитов для их файлов.
Equifax: equifax.com/personal/credit-report-services или 1-800-685-1111
Experian: experian.com/help или 1-888-397-3742
TransUnion: transunion.com/credit- помощь или 1-888-909-8872
Уведомление физических лиц. Если вы быстро уведомите людей о том, что их личная информация была скомпрометирована, они могут предпринять шаги, чтобы уменьшить вероятность того, что их информация будет использована не по назначению. Решая, кого и как уведомлять, учитывайте:
- законы штата
- характер компрометации
- тип принимаемой информации
- вероятность неправильного использования
- потенциальный ущерб в случае неправильного использования информации
Например, воры, укравшие имена и номера социального страхования, могут использовать эту информацию не только для регистрации новых учетных записей на имя жертвы, но и для совершения кражи личных данных налогоплательщика.
Люди, которые уведомлены заблаговременно, могут предпринять шаги, чтобы ограничить ущерб.При уведомлении отдельных лиц Федеральная торговая комиссия рекомендует:
- Проконсультируйтесь со своим контактным лицом в правоохранительных органах по номеру о сроках уведомления, чтобы это не мешало расследованию.
- Назначьте координатора в вашей организации для раскрытия информации. Предоставьте контактному лицу самую последнюю информацию о нарушении, вашем ответе и о том, как должны реагировать люди.
- Рассмотрите возможность использования писем (см. пример ниже), веб-сайтов и бесплатных номеров для связи с людьми, чья информация могла быть скомпрометирована. Если у вас нет контактной информации всех затронутых лиц, вы можете включить в свой план коммуникаций обширную кампанию по связям с общественностью, включая пресс-релизы или другие уведомления в средствах массовой информации.
- Рассмотрите возможность предоставления как минимум года бесплатного кредитного мониторинга или другой поддержки , такой как защита от кражи личных данных или услуги по восстановлению личных данных, особенно если финансовая информация или номера социального страхования были раскрыты. Когда такая информация раскрывается, воры могут использовать ее для открытия новых учетных записей.
В законах штата об уведомлении о нарушениях обычно указывается, какую информацию вы должны или не должны предоставлять в уведомлении о нарушении. В целом, если в законодательстве вашего штата не указано иное, вам необходимо:
- Четко опишите, что вам известно о компрометации. Включая:
- как это было
- какая информация была взята
- как воры использовали информацию (если знаете)
- какие действия вы предприняли для исправления ситуации
- какие действия вы предпринимаете для защиты физических лиц, например, предлагаете бесплатные услуги кредитного мониторинга
- как связаться с соответствующими контактами в вашей организации
Проконсультируйтесь со своим контактным лицом в правоохранительных органах о том, какую информацию включить, чтобы ваше уведомление не мешало расследованию.
Сообщите людям, какие шаги они могут предпринять, учитывая тип раскрытой информации, и предоставьте соответствующую контактную информацию. Например, люди, чьи номера социального страхования были украдены, должны обратиться в бюро кредитных историй, чтобы попросить, чтобы предупреждения о мошенничестве или замораживание кредита были включены в их кредитные отчеты. См. IdentityTheft.gov/databreach для получения информации о соответствующих последующих действиях после компрометации, в зависимости от типа раскрытой личной информации. Рассмотрите возможность добавления этой информации в качестве приложения к письму с уведомлением о нарушении, как мы сделали в типовом письме ниже.
Включите текущую информацию о том, как восстановиться после кражи личных данных. Список действий по восстановлению можно найти на сайте IdentityTheft.gov.
Рассмотрите возможность предоставления информации о правоохранительных органах, работающих над этим делом, если правоохранительные органы согласятся, что это поможет. Жертвы кражи личных данных часто могут предоставить важную информацию правоохранительным органам.
Поощряйте людей, которые обнаруживают, что их информация была использована не по назначению, сообщать об этом в FTC, используя IdentityTheft.gov. IdentityTheft.gov разработает индивидуальный план восстановления на основе типа предоставленной информации. Кроме того, каждый отчет вводится в Consumer Sentinel Network, безопасную онлайн-базу данных, доступную правоохранительным органам по гражданским и уголовным делам.
Опишите, как вы будете связываться с потребителями в будущем. Например, если вы будете связываться с потребителями только по почте, так и скажите. Если вы никогда не позвоните им по поводу нарушения, дайте им знать. Эта информация может помочь жертвам избежать фишинговых атак, связанных с взломом, а также поможет защитить репутацию вашей компании. Некоторые организации сообщают потребителям, что обновления будут размещены на их веб-сайте.
Образец письма
Следующее письмо является образцом для уведомления людей, чьи номера социального страхования были украдены. Когда номера социального страхования были украдены, важно посоветовать людям разместить бесплатное предупреждение о мошенничестве или заморозить кредит в своих кредитных делах. Предупреждение о мошенничестве может помешать похитителям личных данных получить кредит с помощью украденной информации, поскольку это сигнал для кредиторов связаться с потребителем, прежде чем открывать новые учетные записи или изменять существующие учетные записи. Замораживание кредита блокирует большую часть доступа к кредитному отчету потребителя, из-за чего похитителю личных данных становится сложнее открывать новые счета на имя потребителя.
[Название компании/логотип] Дата: [Вставить дату] УВЕДОМЛЕНИЕ О НАРУШЕНИИ ДАННЫХ Уважаемый [Insert Name]:
[Вставить закрытие] |
Как отмечалось выше, мы предлагаем вам включить рекомендации, адаптированные к типам раскрываемой личной информации. В приведенном ниже примере показана утечка данных с использованием номеров социального страхования. Этот совет и рекомендации по другим типам личной информации доступны на сайте IdentityTheft.gov/databreach.
Кроме того, рассмотрите возможность приложить к письму копию Identity Theft: A Recovery Plan , всеобъемлющего руководства Федеральной торговой комиссии США по борьбе с кражей личных данных. Вы можете бесплатно заказать руководство оптом на сайте bulkorder.ftc.gov. Руководство будет особенно полезно для людей с ограниченным или отсутствующим доступом в Интернет.
Дополнительное приложение
Какая информация была утеряна или раскрыта?
Номер социального страхования
- Если компания, отвечающая за раскрытие вашей информации, предлагает вам бесплатный кредитный мониторинг, воспользуйтесь этим.
- Получите бесплатные отчеты о кредитных операциях на сайте Annualcreditreport.com. Проверьте наличие счетов или списаний, которые вам незнакомы.
- Рассмотрите возможность заморозки кредита. Замораживание кредита затрудняет открытие нового счета на ваше имя.
- Если вы заблокируете кредит, будьте готовы предпринять несколько дополнительных шагов в следующий раз, когда будете подавать заявку на новую кредитную карту или мобильный телефон — или любую услугу, требующую проверки кредитоспособности.
- Если вы решите не замораживать кредит, по крайней мере рассмотрите возможность размещения предупреждения о мошенничестве.
- Постарайтесь подать налоговую декларацию заранее — до того, как это сделает мошенник. Кража идентификационных данных налогоплательщика происходит, когда кто-то использует ваш номер социального страхования, чтобы получить возмещение налога или работу. Немедленно отвечайте на письма из IRS.
- Не верьте никому, кто звонит и говорит, что вас арестуют, если вы не заплатите налоги или долги, даже если у них есть часть или весь
вашего номера социального страхования или они говорят, что они из IRS. - Продолжайте проверять
свои кредитные отчеты на сайте Annualcreditreport.com. Вы можете заказать бесплатный отчет от каждой из трех компаний кредитной отчетности один раз в год.
Дополнительные рекомендации FTC
В этой публикации представлены общие рекомендации для организаций, которые столкнулись с утечкой данных. Если вам нужны более индивидуальные рекомендации, вы можете связаться с FTC по телефону 1-877-ID-THEFT (877-438-4338). Пожалуйста, предоставьте информацию о том, что произошло, включая тип полученной информации, количество людей, которые могут быть затронуты, вашу контактную информацию и контактную информацию представителя правоохранительных органов, с которым вы работаете. FTC может подготовить свой Центр реагирования на запросы потребителей к звонкам от пострадавших людей, помочь правоохранительным органам с информацией из своей национальной базы данных отчетов и предоставить вам дополнительные рекомендации по мере необходимости. Поскольку FTC играет роль правоохранительных органов в отношении конфиденциальности информации, вы можете обращаться за советом анонимно.
Для получения дополнительной информации и ресурсов посетите сайт business.ftc.gov.
Урегулирование нарушения данных Equifax | Федеральная торговая комиссия
Важное обновление по соглашению
Администратор по соглашению начал рассылать платежи за наличные убытки, требования о потраченном времени и другие денежные выплаты. Вы получите оплату выбранным вами способом — чеком, предоплаченной картой или платежом PayPal.
Легальные электронные письма о поселении будут приходить с Equifax Breach Settlement Administrator
Дополнительная информация о соглашении
В сентябре 2017 года Equifax объявила об утечке данных, в результате которой была раскрыта личная информация 147 миллионов человек. Компания договорилась о глобальном урегулировании с Федеральной торговой комиссией, Бюро финансовой защиты потребителей и 50 штатами и территориями США. Урегулирование включает до 425 миллионов долларов США, чтобы помочь людям, пострадавшим от утечки данных.
Первоначальный крайний срок подачи претензии в урегулировании Equifax был 22 января 2020 года. 2024 , в результате кражи личных данных или мошенничества, связанного с взломом, например:
- Убытки от несанкционированных списаний с ваших счетов
- Плата, которую вы заплатили профессионалам, таким как бухгалтеры или адвокаты, чтобы помочь вам оправиться от кражи личных данных
- Другие расходы, которые вы понесли при восстановлении после кражи личных данных, такие как нотариальные сборы, сборы за доставку документов, почтовые расходы, пробег и телефонные расходы.
Вы также можете подать иск в отношении времени, потраченного на восстановление после кражи личных данных или мошенничества в период с 23 января 2020 г. по 22 января 2024 г. Вы можете получить компенсацию в размере до 25 долларов США в час в течение 20 часов. Доступные средства ограничены, поэтому ваша претензия может быть уменьшена.
Даже если вы не будете подавать претензию, вы можете получить:
Бесплатная помощь в восстановлении после кражи личных данных
Если вы пострадали от утечки данных и обнаружите неправомерное использование вашей личной информации, вы можете получить бесплатные услуги восстановления личных данных с января 2022 года, даже если вы никогда не подавали заявку на получение других льгот. Чтобы получить доступ к этому преимуществу, используйте инструмент поиска, чтобы подтвердить, что вы пострадали от взлома. На странице подтверждения указан номер телефона и номер помолвки, чтобы получить бесплатную помощь в восстановлении личности.
Бесплатные кредитные отчеты для всех потребителей в США
Теперь все потребители в США могут получать 7 бесплатных кредитных отчетов Equifax в год до 2026 года, посетив сайт www.annualcreditreport.com.
Часто задаваемые вопросы
Когда я получу пособие?
Как я буду получать пособие?
Я не хочу, чтобы Equifax имел мои данные. Что я могу сделать?
Я не уверен, что на меня повлияла утечка данных. Как я могу узнать?
1. Когда я получу пособие?
Урегулирование стало окончательным в январе 2022 года. Вскоре после этого администратор урегулирования начал рассылать электронные письма и письма людям, которые подали обоснованную претензию и запросили бесплатный кредитный мониторинг. В середине декабря администратор начал рассылать выплаты за наличные убытки, требования о потраченном времени и другие денежные выплаты.