Erstellen einer robusten Richtlinie zur Verwaltung von Datenschutzverletzungen

 

Transkription: 

Robert Bateman:

Hallo, willkommen zurück bei PrivSec Focus Enterprise Risk. Wir sind früher zurück, als ich vorgeschlagen hatte, also entschuldigen Sie die Verwirrung bei der Planung. Vielen Dank an Sie alle für Ihre heutige Teilnahme. Bitte stellen Sie weiterhin Fragen und interagieren Sie mit dem Panel über das Menü auf der linken Seite. Nochmals vielen Dank an unsere Sponsoren One Trust und ServiceNow. Als nächstes folgt ein Panel zum Thema Erstellen einer robusten Richtlinie zur Verwaltung von Datenschutzverletzungen. Eine besonders beeindruckende Aufstellung für dieses Panel ist der Vorsitzende von Jose Belo, Head of Data Privacy bei Valuer.ai. Jose, rüber zu dir.

Jose Belo:

Hallo Robert. Und um ehrlich zu sein, war es kein Fehler, dass Sie die DSGVO-Richtlinien ohne unangemessene Verzögerung befolgt haben. Es kann 30 Minuten bedeuten, es kann fünf bedeuten, es ist nur ohne fällige Verzögerung. Deshalb sind wir jetzt hier. Ich freue mich sehr auf dieses Panel, es ist etwas, an dem ich sehr, sehr interessiert bin. Es ist ein Panel nicht nur über einen der wichtigsten Teile eines Unternehmens, wie man auf einen Sicherheitsvorfall oder eine Datenschutzverletzung reagiert, persönlich Datenschutzverletzung, sondern auch die Schritte, die erforderlich sind, um sowohl die Sicherheiten und die Reaktion als auch die Reaktion auf die Verletzung des Schutzes personenbezogener Daten so effektiv wie möglich zu gestalten. Und bei mir habe ich Carol Robson.

Caro Robson:

Hi.

Jose Belo:

Hallo Caro. Würdest du dich gerne vorstellen, wenn möglich?

Caro Robson:

Hallo Danke. Ich bin Caro Robson, ich leite die Data Protection and Digital Practice für Milieu Consulting hier in Brüssel und arbeite seit 13 Jahren in diesem Bereich, unter anderem als Anwältin und Compliance-Beauftragte für Regierungen und multinationale Unternehmen. Danke für die Einladung.

Jose Belo:

Danke Caro. Als nächstes haben wir Sandy Silk. Hallo Sandi.

Sandy Silk:

Guten Morgen.

Jose Belo:

Wie geht es Ihnen?

Sandy Silk:

Mir geht es gut danke. Hallo, ich bin Sandy Silk, ich bin ehemaliger Direktor für Information Security Consulting and Education der Harvard University. Obwohl ich jetzt seit einem Jahr bei der Info-Tech Research Group bin, wo ich einwöchige Workshops mit Mitgliedern zu verschiedenen Sicherheitsthemen leite, von denen eines das Management von Sicherheitsvorfällen ist.

Jose Belo:

Vielen Dank und willkommen im Panel. Und zu guter Letzt haben wir Scott Warren. Hallo Scott.

Scott Warren:

Hallo José. Danke an alle, die es durch den Tag geschafft haben, den Spießrutenlauf der Sessions. Ich habe einige von ihnen gehört, sie waren großartig. Ich bin Anwalt bei der Kanzlei Squire Patton Boggs. Ich denke, wir sind wahrscheinlich das am besten gehütete Geheimnis im Datenschutz, vielleicht weil wir unseren Namen so oft geändert haben. Früher waren wir Squire Sanders, und jetzt ist es Patton Boggs, und die Leute kennen nicht unbedingt den vollständigen Namen. Aber wir sind eine der größten, gemessen an Standorten weltweit, Anwaltskanzleien in den Top 10, und das hilft uns sehr auf der Seite des Datenschutzes. Ich bin ein Partner im Büro in Tokio und in Shanghai, arbeite in der gesamten APAC-Region und nähe das mit meinen Kollegen in den Vereinigten Staaten, in Europa und dem Rest der Welt zusammen und beschäftige mich mit Datenschutz und Cyber-Themen.

Jose Belo:

Vielen Dank, Scott. Wie Sie alle sehen können, haben wir ein beeindruckendes Gremium mit einigen sehr beeindruckenden Referenzen und Erfahrungen, um diese sehr schwierige Frage zu beantworten, nämlich wie man eine robuste … Wir bitten nicht einmal darum, eine Sicherheitsreaktionsrichtlinie zu erstellen, wir bitten robust zu machen. Und zu Beginn möchte ich jedem, der antworten möchte, eine Frage stellen, da es sich um eine allgemeine Frage handelt, mit der Sie meiner Meinung nach alle Erfahrung haben, nämlich die Frage nach Vorbereitung und Durchführung. Eine Sache ist die Vorbereitung, eine Sache ist die Umsetzung, aber es gibt diese Grauzone, in der beides zusammenfließt. Welche wäre Ihrer Meinung nach am relevantesten, oder sind beide gleich relevant? Sollten wir dem einen und dem anderen mehr Zeit geben, sollten wir uns mehr vorbereiten? Sollten wir versuchen, mehr zu implementieren? Was sind deine Gedanken?

Scott Warren:

Nun, ich könnte einfach mit einem Konzept beginnen, von dem ich sagen könnte, dass es darauf ankommt, die große Anwaltsantwort. Aber die Realität ist, wenn Sie sich nicht vorbereiten, gibt es wirklich keine Umsetzung. Wenn Sie nicht wissen, was Ihre Daten sind, und keine Datenzuordnung durchgeführt haben, haben Sie keine Möglichkeit, eine Struktur zu erstellen, um sie zu schützen. Wir haben gerade im Hinterzimmer darüber gesprochen, dass man im Sport nie gegen jemanden in einem anderen Team antritt, ohne tatsächlich recherchiert zu haben, wie er spielt und was er tut, was seine Lieblingsbewegungen sind und wie man verteidigt es? Sie machen einen Plan, aber Sie studieren zuerst, wie sie andere Spiele gespielt haben. Wenn Sie nicht verstehen, wo sich Ihre Daten befinden und wo Ihre Stärken liegen und was Sie schützen möchten, haben Sie keine Möglichkeit, einen guten Plan zur Reaktion auf Vorfälle zu erstellen, der Ihnen hilft, die Herausforderungen wirklich zu bewältigen. Ich denke, Sie tun das zuerst, dann haben Sie die Chance, eine großartige Umsetzung zu erreichen.

Jose Belo:

Was bedeutet Ihrer Meinung nach eine gute Vorbereitung statt einer großartigen Umsetzung? Was wären Ihrer Meinung nach gute Schritte in Richtung einer sehr guten Umsetzung, Vorbereitung eines CSIRT-Plans und einer CSIRT-Richtlinie?

Sandy Silk:

Ich werde tatsächlich einspringen mit einem-

Scott Warren:

Bitte.

Jose Belo:

Oh gut.

Sandy Silk:

… Analogie hier.

Jose Belo:

Fortfahren.

Sandy Silk:

Jeder andere, der CPR gelernt hat, sagen Sie nicht einfach, jemand ruft an … Hier in den Vereinigten Staaten, Ryan, rufen Sie 911 an. Sie müssen tatsächlich auf eine Person zeigen und sagen, Sie, Sie rufen 911 an, denn wenn Sie einen haben Haufen von Leuten, die herumstehen und versuchen, etwas zu erledigen, das ist nicht so effektiv, wie Sie Rollen und Verantwortlichkeiten zugewiesen haben müssen. Ich würde sagen, eines der allerersten Dinge bei der Vorbereitung ist zu wissen, wer was wann tut, damit Sie sicherstellen können, dass alles erledigt wird und Sie keine Leute haben, die Ressourcen, Zeit und Mühe aufwenden, etwas duplizieren und vergessen, etwas zu tun etwas anderes, und dass Sie die richtigen Leute haben, die die richtigen Dinge tun.

Scott Warren:

Und Sandy, eine Verbindung dazu ist interessanterweise in Japan, es ist nicht 911, es ist eigentlich 119 für Notfälle in Japan. Wenn Sie nicht über dieses Problem nachdenken, kommunizieren Sie interkulturell, wenn Sie Daten haben, die möglicherweise von einer Reihe von Standorten stammen, nicht wirklich darüber, was Sie tun möchten. Und so hat ein guter Plan wirklich darüber nachgedacht, was ich habe, das ich zu schützen versuche? Und das ermutige ich wirklich.

Wir betrachten dies nicht nur als personenbezogene Daten, die in den meisten Ländern allgemein meldepflichtig sind, und wir müssen andere Regeln festlegen und all diese anderen Dinge. Ich denke, dass wir diesem Thema oft einen schlechten Dienst erweisen, indem wir uns ausschließlich auf persönliche Informationen konzentrieren. Ich sage nicht, dass das nicht wichtig und wesentlich ist und Dinge, auf die wir unbedingt achten sollten, aber ich denke, wir würden viel mehr Aufmerksamkeit von Führungskräften unserer Kunden oder unserer Unternehmen, mit denen wir zusammenarbeiten, bekommen, wenn wir mit ihnen darüber sprechen würden Denken Sie, die neueste IBM Ponemon-Studie, die ich gesehen habe, besagt, dass 44 % aller Datenschutzverletzungen personenbezogene Daten betreffen. Meine Güte, das sind 56 %, es sei denn, meine Mathematik ist falsch. Ich habe Jura studiert, nicht Mathematik, aber 56 % davon beinhalten keine personenbezogenen Daten. Was sind Sie? Sie sind fortschrittliche, hartnäckige Bedrohungen, die Ihre Geschäftsgeheimnisse und all die Dinge, die Sie als Ihr Unternehmen schätzen, heraussickern lassen, sodass sie wahrscheinlich an andere Länder, konkurrierende Branchen, die versuchen, aufzuholen, weitergegeben oder von Hackern verkauft werden können, die diese Daten haben wollen und kann es jemandem verkaufen.

Wenn wir erkennen, dass dies ein guter Teil dessen ist, was getan wird, dann lautet unsere Analyse zur Datenzuordnung: Okay, wo habe ich persönliche Informationen, wer stammt, welche Länder gelten, was muss ich in Bezug auf eine Verletzung und Erstellung tun ein toller Plan dazu? Aber auch darüber nachzudenken, was sind die Dinge, die uns als Unternehmen wirklich wichtig sind, wie schützen wir das und woher wissen wir, ob das berührt wurde? Und wenn wir diese beiden Dinge tun, legt diese Datenzuordnung alles andere fest, und unsere restlichen Gespräche sind viel einfacher, weil wir tatsächlich eine Plattform haben, von der wir ausgehen können.

Sandy Silk:

Und ich möchte auch darauf eingehen, derselbe Ponemon oder IBM, jetzt Ponemon zusammen, würden sagen, wenn Sie etwas innerhalb von 100 Tagen erkennen und eindämmen können, werden Sie eine Million Dollar sparen, und das sind auf lange Sicht US-Dollar Schwanzreaktion, die Verluste.

Jose Belo:

Interessant.

Sandy Silk:

Ich erinnere mich nicht an den Prozentsatz, aber kein hoher Prozentsatz kann innerhalb der 100 Tage erkannt und eingedämmt werden.

Scott Warren:

Der andere großartige Teil dieser Studie besagt, dass Unternehmen, die eine durchschnittliche Datenpanne auf globaler Basis haben, und dies nicht nur in den USA, wo 9 Millionen im Allgemeinen ein Durchschnitt oder so sind, es sind 4,6 Millionen weltweit . Und dazu gehören Unternehmen aus ganz APAC, Europa und Südamerika. Wenn es sich um einen durchschnittlichen Verstoß von 4,6 Millionen US-Dollar handelt, wenn Sie die Kosten für die Beseitigung des Verstoßes, Benachrichtigungen, Schäden an Vertretern und dergleichen einbeziehen.

Aber sie fanden heraus, dass Unternehmen, die einen Plan zur Reaktion auf Cybervorfälle haben und diesen testen, am Ende 50 % sparen. Es sind 2,3 oder 4 Millionen US-Dollar, die bei einem durchschnittlichen Verstoß eingespart werden können, wenn Sie einfach einen guten Plan zur Reaktion auf Vorfälle haben, der sagt, wie ich reagieren werde. Und dann steckt man tatsächlich Leute in einen Raum und testet sie. Nun, wir machen sie nicht mehr im Raum mit COVID, aber Sie testen, ob sie damit umgehen können oder nicht, in einer zunehmenden Reihe von schwierigen Cyber-Situationen, durch die Sie sie führen, ob sie dafür bereit sind. Und wenn Sie diese Dinge tun, können Sie für Ihr Unternehmen erheblich sparen.

Jose Belo:

Ich bin ganz offen für KPIs und Metriken zu diesem Thema. Die Zahlen, die Sie geworfen haben, sind sehr, sehr interessant. Ich denke auch immer, dass es sehr wertvoll ist, die Erfolgsgeschichten hinzuzufügen, die Verstöße, die nicht passiert sind, die verhindert wurden, die Sicherheiten, die wir hatten. Sei es die Sensibilisierung der Mitarbeiter, sei es durch unsere von uns eingeführten Kontrollen Dritter. Diese sind ebenso wertvoll wie die Zahlen, aus denen das Versagen dieser Kontrollen und dieser Schulung und Sensibilisierung stammt.

Was mich zu dir bringt, Caro. Was ist Ihrer Meinung nach das Wichtigste, oder gibt es Ihrer Meinung nach einen Unterschied zwischen Selbsterkennung und Fremderkennung? Denken Sie, dass es eine wichtige Seite der Schulung und Sensibilisierung Ihrer Mitarbeiter gibt? Sind Ihre Abwehrkräfte so stark wie ein Mitarbeiter mit einer Excel-Datei, die bereit ist, sie zu öffnen, oder sind die vorhandenen Kontrollen in der Lage, alles zu beheben?

Caro Robson:

Ich denke, Sie sind nur so stark wie das Bewusstsein, das Verständnis und die Praktiken Ihrer Mitarbeiter. Es gibt Schulungen für Mitarbeiter und sie darauf aufmerksam zu machen, dass einfache Dinge BCC nicht verwenden, oder wenn Sie BCC verwenden, sehr vorsichtig sein müssen, wohin Sie Informationen per E-Mail senden. Viele Verstöße passieren, weil Leute einfach die falschen Leute in E-Mails kopieren. Und auch eine interne Erkennung wird nicht stattfinden, wenn viele Mitarbeiter nicht verstehen, was eine Datenschutzverletzung ist oder dass etwas ein Problem sein könnte, und das Selbstvertrauen haben, es anzusprechen. Ich denke, dass Dritte definitiv eine Rolle bei der zentralen Cyber-Sicherheitsbewertung Ihrer Netzwerke und Penetrationstests spielen, um sicherzustellen, dass das Netzwerk robust ist. Aber sehr viele Verstöße passieren durch menschliches Versagen, oder sie werden von Menschen entdeckt, die einfach etwas Falsches oder Seltsames bemerken. Und ich denke, es ist wirklich wichtig, dass Sie beides haben, aber entscheidend ist, dass die Mitarbeiter verstehen, dass dies ein Problem sein könnte und was sie tun müssen, ist meiner Meinung nach wirklich wichtig.

Jose Belo:

Was würden Sie, und das gilt für das gesamte Gremium, für wie wichtig halten Sie… Weil Mitarbeiter normalerweise denken, dass sie ihr Gerät verloren haben, haben sie den Computer verloren. Da gibt es ein Problem, sie haben Angst, dass sie gefeuert werden oder dass ihnen Disziplinarmaßnahmen drohen. Wie können Unternehmen versuchen, sich zu verbessern? Wir haben die Whistleblower-Richtlinie, aber das hat damit nichts zu tun. Wie können wir die Selbsterkennung in den Unternehmen verbessern? Denn wie wir alle wissen, ist menschliches Versagen wahrscheinlich eine der Hauptursachen für das Scheitern eines robusten, so robusten wie möglich Reaktionsplans für Cybersicherheitsvorfälle.

Sandy Silk:

Ich würde dort rauswerfen, und ich war federführend oder habe die Einführung vieler Pläne zur Sensibilisierung für Sicherheit beaufsichtigt, sei es zuvor in Harvard oder bei Fidelity Investments. Eine der größten Soft Skills, die Sie mit Ihrem Sicherheitsteam haben müssen, sind vorurteilsfreie Menschen. Wir alle haben schlechte Tage. Jeder von uns kann einen Phishing-Test oder einen echten Phishing-Versuch nicht bestehen, manchmal liegt es nur daran, dass wir es eilig haben. Und wir denken einfach nicht, und wir wünschen uns, dass die Fünf-Sekunden-Regel rückgängig gemacht wird. Das haben wir alle schon durchgemacht. Wir alle haben schlechte Tage, und ich denke, Sie müssen der Person, die etwas meldet, einfach helfen, ihr dafür zu danken, dass sie Sie darauf aufmerksam gemacht hat, damit Sie sehen und sehen können, ob das etwas ist, worüber Sie sich Sorgen machen müssen? Und danke, dass Sie es uns gesagt haben, damit wir das eindämmen und den Schaden minimieren können, aber fördern Sie unbedingt die Nachbarschaftsgemeinschaft und beobachten Sie etwas, dass wir niemandem die Schuld geben werden. Die Sicherheit wird niemandem die Schuld geben. Wir wollen nur das Problem in den Griff bekommen und tun, was wir tun müssen, und uns einfach nicht alleine Sorgen machen.

Scott Warren:

Und ich denke, auf dieser Seite senden Ihnen einige der Unternehmen, die ich kenne, und selbst ich kenne sie innerhalb unserer eigenen Firma, E-Mails, die darauf abzielen, zu sehen, ob Sie darauf klicken. Und wenn Sie das tun, sagen sie tatsächlich: “Hey, Sie haben gerade Spam erhalten, und hier sind die Dinge, nach denen Sie suchen können, um das zu verstehen.” Und das ist eine sehr effektive Methode, um den Leuten beizubringen, was sie vermeiden sollten, und ihnen einen einfachen Ort zu geben, an den sie verdächtige E-Mails senden können, um sie vorher zu löschen. Es kommt herein, es sieht etwas komisch aus, alle Ihre Mitarbeiter sollten die E-Mail-Leitung haben, an die sie es senden würden, und die Person, die sie fragen würden. Und auf diese Weise hilft das, es zu reduzieren.

Aber ich denke tatsächlich, in gewisser Weise, wie Sandy sagte, hat jeder einen schlechten Tag. Wenn Sie diese Sicherheitsautomatisierungstechnologien haben, diese Möglichkeiten, in Ihr System zu schauen, die automatisiert sind, und sie sagen: “Wow, jemand hat gerade auf diesen ausführbaren Code geklickt.” Es ist einfach in der Ransomware-Attacke. Früher war es einfach, weil es automatisch alles verschlüsselte. Jetzt arbeiten sie daran, Top-Level-Domains zu bekommen und Sachen zu stehlen, und dann werden sie die Payload für die Ransomware machen.

Aber wenn Sie diese Technologien haben, die Ihr System nach anomalen Situationen durchsuchen, Dinge, die keinen Sinn ergeben, dann geht es weniger darum, dass ein Mitarbeiter meldet, weil er wissen kann oder nicht, was passiert ist. Und hoffentlich fühlen sie sich ermutigt, weiterzumachen und zu sagen: “Hey, das ist passiert, ich möchte es sehen.” Aber diese Automatisierungstechnik kann oft sehr schnell sagen, das ist nicht normal, das sollte nicht passieren, und sie werden feststellen, dass Daten um 3:00 Uhr morgens heraussickern, wenn diese Person nicht an ihrem Computer angemeldet ist, und starten sagen, okay, nun, da geht etwas Seltsames vor sich. Das kann sehr schnell zu dem werden, was Sie vorhin gesagt haben, Jose, diese Erfolgsgeschichten, die Ihnen helfen, ein Problem zu erkennen, bevor es tatsächlich zu einem Problem wird. Möglicherweise haben Sie einige Probleme damit, aber Sie haben es vollständig in eine kleine Box zerkleinert, von der Sie sich viel einfacher erholen können.

Jose Belo:

Das ist absolut wahr, und vielen Dank für all die Beiträge. Ich werde dies zu dem weiterführen, worüber wir gesprochen haben, denn eine Sache ist der Sicherheitsvorfall, eine andere Sache ist die Verletzung des Schutzes personenbezogener Daten. Diese beiden werden miteinander verflochten, da personenbezogene Daten Daten sind und der CSIRT-Plan und die Richtlinien alle Arten von Daten verarbeiten. Wie Sie sagten, sehr gut, Scott, die Datenzuordnung ist in diesem Fall so wichtig, aber es wird für ein Unternehmen, insbesondere mit der DSGVO, mühsam, während des Prozesses eines Sicherheitsvorfalls herauszufinden, wann die Datenschutzverletzung ausgelöst werden muss Managementteam und wie beides miteinander kombiniert werden kann. Ich würde gerne Ihre Erfahrungen dazu hören, denn das ist eines der Dinge, die die DSGVO am meisten verlangt, aber es ist auch ziemlich schwer zu verstehen, wann das DBM-Team mit der Arbeit beginnt? Wann beginnen die 72 Stunden, beginnen sie, wenn der Sicherheitsvorfall entdeckt wird oder die personenbezogenen Daten entdeckt werden? Jemand Lust auf die Frage? Karo?

Caro Robson:

Nun, aus rechtlichen Gründen, je nachdem, in welcher Gerichtsbarkeit Sie sich befinden, geht es Scott darum, zu verstehen, welche Gesetze für Ihre Daten gelten. Dies gilt normalerweise, wenn der Organisation bekannt ist, dass personenbezogene Daten möglicherweise kompromittiert oder abgerufen wurden. Das ist eine ziemlich strenge Regel, besonders hier in Europa. Und deshalb müssen Sie sicherstellen, dass Sie, wie Sandy sagte, Teams haben, die zusammenarbeiten. Und ich nenne ein Beispiel für eine Erfolgsgeschichte. Ich werde keine Beispiele nennen, wenn ich an Dingen beteiligt war, die weniger erfolgreich waren.

Aber die besten Reaktionszeiten und das beste Management, an dem ich beteiligt war, sind sicherlich dort, wo Ihre Unternehmensarchitekten oder Ihre IT-Architekten plus Ihr Sicherheitsteam plus Ihr Rechtsteam und Ihr Compliance-Team sich alle kennen, zusammenarbeiten und Hand in Hand arbeiten auf einer täglichen Basis, um Dinge durch Design an Ort und Stelle zu bringen, damit Dinge, so Scott, so weit wie möglich nicht passieren, aber auch, dass Sie die Rollen und Verantwortlichkeiten verstehen, einander vertrauen und Informationen austauschen können. Da funktioniert es meiner Meinung nach unglaublich gut, wenn diese Teams Hand in Hand arbeiten. Es führt kein Weg daran vorbei, dass Sicherheitsteams personenbezogene Daten verstehen müssen und was personenbezogene Daten sind, um diese Teams einzubeziehen. Aber ich denke, wenn sie eine enge Arbeitsbeziehung haben, sodass jede Seite die Probleme und Perspektiven der anderen versteht, ist das definitiv der erfolgreichste, den Sie bei der Verwaltung von Datenschutzverletzungen haben können, denke ich.

Scott Warren:

Ich denke, eine der Herausforderungen, wie Sie sagten, Jose, besteht darin, zu wissen, dass es so viele verschiedene Definitionen dessen gibt, was eine Datenschutzverletzung ist. Auch was persönliche Informationen oder personenbezogene Daten sind, ist in so vielen Ländern unterschiedlich. Und ist es dann ein Verstoß, wenn es erworben wird, wie in vielen US-Bundesstaaten im Vergleich zu einem einfachen Zugriff? Und dann haben Sie noch 72 Stunden in Europa, auf den Philippinen und jetzt verlangt Singapur eine Benachrichtigung innerhalb von 72 Stunden. In Südkorea sind die meisten Einstellungen 24 Stunden lang, und die meisten Menschen wissen nicht, dass sie dort 24 Stunden haben. Und dann sagt China im Grunde, nicht nur, wenn es passiert, sondern wenn Sie glauben, dass es passieren könnte. Sie könnten argumentieren, dass Sie die chinesische Regierung über einen Zero-Day-Virus informieren müssen, den Sie gerade in Ihrer Software gefunden haben, bevor Sie ihn gepatcht haben. Was wiederum so ist, wie das Gesetz geschrieben steht.

Ich weiß nicht, wie lange das durchgesetzt wurde, oder ob es durchgesetzt wurde, war es zumindest nicht unter meiner Aufsicht. Aber das ist immer noch die Herausforderung. Und wenn Sie einen guten Reaktionsplan für Cybervorfälle erstellen, der weiß, wo sich Ihre Daten befinden, haben Sie möglicherweise Anhänge, in denen steht: Hier ist die Definition eines Verstoßes, eines meldepflichtigen Vorfalls. Und ist es für die Datenschutzbehörde, ist es für den Einzelnen, ist es „sofort“, was in den USA 30 bis 60 Tage bedeutet, oder bestimmte 72 Stunden gemäß DSGVO? Wie fangen wir an, überhaupt über Benachrichtigungsschreiben nachzudenken, die eingefügt werden können? Das ist ein robuster Plan zur Reaktion auf Vorfälle, der tatsächlich ziemlich umsetzbar sein kann, dieses Team kommt zusammen und sie müssen sehr schnell feststellen, okay, ehrlich gesagt, wir alle waren in einem Raum für Datenschutzverletzungen und wissen, dass Sie 72 Stunden nach der Verletzung wissen viel weniger als Sie angefangen haben, weil einfach so viele Dinge passieren.

Also ja, genau. Wie finden Sie heraus, wann Sie benachrichtigen? In Japan haben sie tatsächlich diese beiden Ebenen. Eine davon ist, Sie sollten sofort benachrichtigen, aber es ist eine sehr spärliche Benachrichtigung, und Sie können klein sein, aber innerhalb von 30 Tagen wollen sie eine wirklich robuste, hier ist, was passiert ist. Es gibt also so viele verschiedene Betrachtungsweisen, aber man muss diese Nuance verstehen. Es ist nicht nur ein DSGVO-Problem, und wir können nicht einfach DSGVO-Regeln verwenden, um zu definieren, wie wir vorgehen sollen, weil so viele Länder jetzt etwas verabschieden, das der DSGVO ähnelt, aber anders ist, und wir müssen wissen, worin diese Unterschiede bestehen.

Sandy Silk:

Und ich möchte eine Sorge äußern, die ich habe, dies ist persönlich, nicht repräsentativ für die Unternehmen, für die ich derzeit arbeite oder die ich in der Vergangenheit hatte, aber ich habe einen Trend gesehen, den CISO, den Chief Information Security Officer, jetzt zum Chief zu machen Informationssicherheits- und Datenschutzbeauftragter, so der CISPO. Und wenn Sie in eine Reaktion auf einen Vorfall geraten, bei der es möglicherweise zu einer Datenschutzverletzung kommt, haben Sie jetzt eine Person, die für zwei verschiedene Dinge verantwortlich ist, die manchmal widersprüchlich sein können. Und es ist einfach eine aussichtslose Situation, jemanden hineinzustecken. Ich denke, es ist fair zu sagen, okay, sie können bei der Strategieentwicklung und beim Design helfen und überwachen, wie die Architektur unter Berücksichtigung beider Dinge eingeführt wird, aber wenn Sie in einer Antwort sind, Sie können nicht beide Hüte auf den Kopf einer Person setzen.

Caro Robson:

Ich denke, nur um dem nachzugehen, ich denke, das ist im Allgemeinen ein wirklich guter Punkt. Um auf das zurückzukommen, was Sie gesagt haben, um sicherzustellen, dass eine Person im Notfall einen Krankenwagen ruft, um sicherzustellen, dass Sie verstanden haben und jeder versteht, wer die Entscheidungsträger sind, aber auch, dass diese Entscheidungsträger, wie Sie sagten, dies nicht tun einen Konflikt haben. Ich habe Beispiele gesehen, bei denen Anwälte gebeten wurden, die Entscheidungsträger zu sein, ob und wann und wie eine Verletzung gemeldet wird. Und es wird sehr schnell sehr kompliziert, weil Leute, die zumindest meiner Meinung nach, meiner persönlichen Meinung nach, beratende Rollen haben, diese Entscheidungen nicht wirklich für das tatsächliche Gesamtmanagement des Verstoßes treffen sollten. Ich denke, das wird wirklich wichtig. Und ich habe viel Verständnis, damit Sie es wissen, mit jedem CISO, der auch gebeten wird, sich um den Datenschutz zu kümmern, denn das ist eine Menge. Das ist viel für eine Person.

Sandy Silk:

Und Caro, dass du das sagst, weil ich denke, dass jemand in der Sicherheit nach Rechtsfragen suchen würde, um diese Entscheidungen zu treffen, und du sagst, nein, Rechtsanwälte nicht [unverständlich 00:25:51], wenn es ihnen nicht vorher gesagt wurde Zeit. Es scheint die heiße Kartoffel zu sein, dass alle einfach nach links abbiegen und sagen: “Nun, du machst es.” Und wer auch immer am Ende der Leitung steht, darf es tun, es sei denn, Sie haben proaktiv darüber nachgedacht und wirklich jemanden ernannt, der dafür verantwortlich ist und alle Informationen hat, die er braucht, um ein gutes Urteil zu fällen. Sonst neigen wir dazu, Strohhalme zu ziehen, wer muss das tun?

Jose Belo:

Nun, das bringt mich eigentlich zur nächsten Frage [unverständlich 00:26:23].

Scott Warren:

Eigentlich Jose, kurz bevor wir das verlassen, denn ich glaube, wir haben Ihre ursprüngliche Frage nicht beantwortet. Wie finden wir heraus, was zu tun ist, wenn ein Verstoß auftritt? Und ich denke, die guten Pläne zur Reaktion auf Vorfälle, die ich gesehen habe, erstellen eine Triage oder eine vierstufige Analyse. Und einer davon ist, wenn sie versucht haben, in unser System einzudringen, und sie sind nicht reingekommen, oder es war nur ein Einbruchsversuch der Firewall, aber nichts wirklich passiert, was von der IT behandelt werden könnte. Sie führen vielleicht Aufzeichnungen darüber oder tun so etwas.

Und dann haben Sie die nächste Ebene, wo sie reinkommen und einige Informationen bekommen konnten, aber es sieht nicht so aus, als wäre es wichtig. Das wird zu einer etwas breiteren Gruppe eskaliert, die verstehen kann, okay, gab es rechtliche Auswirkungen oder andere Dinge?

Dann gibt es das, okay, jetzt ist es viel weiter gegangen, es gibt einige wirklich wichtige Informationen und das wird viel breiter sein, und es könnte global sein.

Und dann ist das Finale das Oh-shucks-Level, nenne ich es, wenn die Presse an die Tür klopft und sagt: “Wir haben von einer Sicherheitslücke erfahren”, Ihre Mitarbeiter sind alle in Aufruhr. Sie haben wahrscheinlich Leute, die Aktionärsderivate bedrohen“, und vielleicht haben Sie schon lange vorher die CEO-Infrastruktur involviert, aber das sind diejenigen, die Sie sicherstellen möchten, dass alle Hände an Deck sind, oder wenn Sie sehen, dass es darauf hinausläuft .

Und wenn Sie es zumindest so trennen können, denke ich, dass Sie eine vernünftige Herangehensweise haben. Nicht alles wird Ihr Kernteam zusammenstellen, um herauszufinden, was zu tun ist.

Jose Belo:

Sehen Sie, was Sie gerade gesagt haben, Scott, ist meiner Meinung nach eine der effektivsten Methoden, um sich auf eine Datenschutzverletzung vorzubereiten. Sie können zum Beispiel nicht erwarten, sich vorstellen, dass eine Datenpanne passiert, den Vorfall hören oder wie Sie es nennen wollen, um 3:00 Uhr morgens passiert und der CEO gerufen wird. Er ist nicht vollständig darüber informiert, was passiert. Er bekommt einen Anruf von einem Reporter: „Sie sind ein Fortune-500-Unternehmen, Sie sind bei Euronext“, was antworten Sie? Sie sollten diese Antwort wahrscheinlich vorher parat haben. Sie sollten wahrscheinlich eine PR-Agentur haben, die bereit ist, darauf zu reagieren. Sie sollten wahrscheinlich bereits einen Vertrag mit einem Unternehmen für forensische Beweise haben, um sofort in Ihr Unternehmen einzudringen und zu versuchen, so unabhängig wie möglich, den Aufsichtsbehörden gegenüber guten Glauben zu zeigen, um alle Beweise sammeln zu können.

Diese Vorbereitungsphase und auch ein externer Berater, ein Anwalt, der kommen und uns bei all den Dingen helfen kann. Weil ich ein [unverständliches 00:29:06] Team oder ein CSIRT-Team nie nur als eine kleine Anzahl von Leuten sehe, die Regeln und Verantwortlichkeiten innerhalb des Unternehmens haben, die in einem Kriegsraum antworten und dann antworten. Ich sehe das als einen facettenreichen Ansatz, bei dem die Aktionäre, wie Sie sagten, sofort durch die Tür kommen. Ich kenne Unternehmen, bei denen 100 Leute als DSB reinkommen, wenn die Daten erreicht werden.

Scott Warren:

Recht.

Jose Belo:

Und wir alle kennen diese Horrorgeschichten.

Scott Warren:

Ich denke, der wichtige Teil dieses Plans ist, dass Sie gerade genau gesagt haben, dass Sie über den Kommunikationsteil nachdenken müssen. Und dies ist ein Schulungsbereich, in dem Sie Ihren Mitarbeitern wirklich helfen können, denn oft hört jemand etwas und fängt an, eine E-Mail zu schreiben, und verkündet, dass es eine Datenschutzverletzung gegeben hat. Gott bewahre, Sie wollen diese Worte nicht offen verwenden, besonders aus einem US-Kontext. Sicherheitsvorfall, bis Sie genau wissen, was passiert ist, ist ein viel sichererer Begriff.

Jose Belo:

[unhörbar 00:30:09].

Scott Warren:

Und wenn Sie irgendeinen Hinweis darauf haben, dass dies US-Daten betreffen könnte, dann müssen Sie wirklich darüber nachdenken, wie Sie darüber kommunizieren werden, um zu versuchen, das Anwaltsgeheimnis zu schützen.

Jose Belo:

Genau.

Scott Warren:

Und das bedeutet, einen Anwalt zu haben, normalerweise einen US-Anwalt, der dieses Privileg beanspruchen kann, aber die richtigen Begriffe in Ihren Betreffzeilen verwendet und ihn einbezieht, um Ihre Technologie- und Kommunikations-Leute zu beauftragen, damit Sie zumindest argumentieren können diese. Und es scheint lächerlich, und ich muss mich als amerikanischer Anwalt für das US-Prozesssystem entschuldigen, weil es zu einer enormen Belastung wird, diese Mitteilung zu machen. Aber wenn Sie dies nicht tun, ist diese E-Mail, die ein Mitarbeiter von X, Y, Z an jemanden sendet, um über diesen Vorfall zu sprechen und zu sagen: „Hier sind die 15 Dinge, die schief gelaufen sind, und wir wurden früher darüber informiert“, das ist auffindbar.

Und es kommt im Zusammenhang mit vielen verschiedenen Sammelklagen oder Aktionärsderivaten oder anderen Rechtsstreitigkeiten auf, die nicht unbedingt passieren müssen, wenn wir gut trainiert sind. Wir sollten in der Lage sein, herauszufinden, was passiert ist, wir sollten in der Lage sein, dem Kunden zu helfen, eine gute Kommunikation zwischen allen Anbietern zu führen, und ihm nicht zur Last fallen. Aber Sie müssen sehr ernsthaft darüber nachdenken, denn es ist einfach eine riesige… In den USA führen wir in einer Reihe von Fällen Datenbenachrichtigungen durch, und am nächsten Tag haben wir zwei oder drei Sammelklagen eingereicht. In den USA ist das einfach so, also muss man das planen, weil es die Realität ist.

Sandy Silk:

Darauf, Scott, werde ich in einer Reihe von Plänen zur Reaktion auf Vorfälle aufbauen, bei deren Erstellung ich den Mitgliedern jetzt helfe. Eines der Elemente, die wir integrieren, ist, wenn Sie Ihre eigenen internen Mitarbeiter benachrichtigen müssen, dass etwas vor sich geht, wer macht das und wie machen Sie das? Und zum Glück können Sie jetzt, da Videokonferenzen so weit verbreitet sind, ein All-Hand- oder ein Townhall-Meeting, wie auch immer Sie es nennen, abhalten, damit es nicht per E-Mail geht und danach auffindbar ist. Denn alles, was Sie an alle Mitarbeiter senden, können Sie davon ausgehen, dass es ziemlich sofort nach draußen gelangt, sogar durch menschliches Versagen. Und da ist die Möglichkeit, darüber zu sprechen, jemanden von ganz oben zu haben, der sagt: „Das geht weiter, das ist wichtig für uns, wir untersuchen das, wir dämmen es ein, aber Sie können einfach nichts sagen alles in die Unternehmenskommunikation lenken”, wie auch immer das Team heißt. Aber stellen Sie sicher, dass Sie es wie eine Gemeinschaft behandeln, dass jeder ein Teil davon ist.

Jose Belo:

Und ich denke, ich weiß nicht, ob Caro etwas hinzufügen möchte, aber ich wollte nur hinzufügen, dass ich dies immer noch als Vorbereitungsphase betrachten würde, auch wenn es wie die Implementierungsphase aussieht, aber ich denke das alles Diese Vorbereitung hilft auch, die Cybersicherheitsprämie zu senken, weil Sie sich wirklich vorbereiten und der Versicherungsgesellschaft sagen, schauen Sie, wir bereiten uns auf die Worst-Case-Szenarien vor. Und wir werden in ein paar Minuten über Szenarien sprechen, aber Caro, hast du dem etwas hinzuzufügen?

Caro Robson:

Nein, das finde ich eigentlich richtig. Und zunehmend verlangen Cyber-Versicherungen zahlreiche Unterlagen für Policen, um nachzuweisen, dass Sie über all diese Verfahren verfügen. Und natürlich werden alle Ihre Policen dann, wie Sie sagen, auffindbar. Und sicherlich werden sich die Regulierungsbehörden hier in Europa und auf der ganzen Welt diese ansehen wollen, wenn sie den Verstoß untersuchen. Sie werden sich auch die interne Kommunikation ansehen, um herauszufinden, ob Sie rechtzeitig benachrichtigt haben? Wann warst du dir bewusst? Was hast du gewusst, wie hast du es gewusst? So etwas, ich habe viele Fälle gesehen, in denen das ein genaues Detail mit Ordnern und Ordnern und Ordnern der Offenlegung über das interne Verfahren durchlaufen hat, als ein Verstoß passierte. Ich denke, das ist ein wirklich großes Risiko.

Und ich möchte nur hinzufügen, es ist auch sehr wichtig, wenn Sie Partner oder andere Organisationen haben, insbesondere wenn Sie Daten in deren Auftrag verarbeiten, was Sie hier in Europa und vielen Ländern zu deren Auftragsverarbeitern macht. Und das kann ziemlich schwierig sein, da Organisationen für einige Dinge ein Verantwortlicher und für andere ein Auftragsverarbeiter sein können. Und der Grund, der wichtig ist, ist erstens, dass die Pflichten im Zusammenhang mit einer Datenschutzverletzung in Bezug auf die Benachrichtigung beim Verantwortlichen liegen. Aber auch wenn Sie nur ein Auftragsverarbeiter sind, beinhaltet Ihr Vertrag mit dem Unternehmen, für das Sie Daten verarbeiten, mit ziemlicher Sicherheit die Verpflichtung, es zu benachrichtigen und nichts ohne Rücksprache mit ihm zu tun. Aber auch das Datenschutzrecht vielerorts, sicherlich hier in Europa, verlangt, dass Sie den Verantwortlichen benachrichtigen, ihn dann aber bei der Handhabung unterstützen. Und Partner werden nicht glücklich sein, wenn sie anfangen, haufenweise Informationen zu bekommen, die ihnen nicht besonders hilfreich sind. Oder wenn Sie anfangen, sich entweder an die Medien oder, Gott bewahre, an eine Aufsichtsbehörde zu wenden, wenn dies nicht der Fall wäre, ohne sie zu konsultieren. Das Kommunikationsstück ist sehr, sehr, sehr wichtig, denke ich. Sehr wichtig.

Jose Belo:

Ich denke, wir sind uns alle einig, dass die Vorbereitungsphase die Phase ist, in der wir uns auf die Worst-Case-Szenarien vorbereiten. Die Frage wird dann lauten: Können wir uns auf alles vorbereiten? Es ist fast unmöglich für uns, uns auf alles vorzubereiten. Wir können 10, 20, 30 Szenarien durchspielen, und irgendjemand wird sich etwas einfallen lassen, an das wir nicht einmal gedacht haben. Wie würden Sie mit diesen Fällen umgehen? Wie bereitet man sich auf das Unvorbereitbare vor?

Scott Warren:

Aus meiner Sicht ist es nicht wirklich wichtig, dass man sich auf alles vorbereitet. Die Realität ist, und ich glaube, ich arbeite seit Anfang zweitausend an Cyber-Break-Vorfällen und dem Slammer-Virus und solchen Dingen. Und vieles von dem Zeug ist zyklisch und funktioniert um verschiedene Angriffe herum, die wiederkommen, aber etwas anders. Und dann gibt es ganz neue, andere Attacken. Die Realität ist, dass wir Verbrechen nicht loswerden können, wir werden immer jemanden haben, der versucht, in Ihr Haus einzubrechen. Wir könnten raffinierter sein, wie sie das machen, und wir können hier Gitterstäbe setzen, sie könnten vielleicht eine Leiter bekommen. Aber das Endergebnis ist, wie ich festgestellt habe, und ich denke, die IBM Ponemon-Studie legt dasselbe nahe, wenn Sie einfach den Plan haben und diese Gruppe von Menschen zusammenbringen, um an immer schwierigeren, sagen wir, drei Szenarien an einem zu arbeiten Freitagnachmittag, an dem diese normalerweise eintreffen.

Und wieder ist es großartig, im Raum zu sitzen, weil das der echte Schnellkochtopf ist, aber das können wir nicht so oft. Nun, vielleicht können wir jetzt mehr. Lass uns hoffen. An manchen Stellen können wir das nicht. Aber wenn man das durchmacht, hat man nicht oft dieses disparate Team, nicht verzweifelt, sondern ein disparates Team, das zusammen in einem Raum sitzt. Sie haben IT und HR, Sie haben Sponsoring durch die Geschäftsleitung, Sie haben die Rechtsabteilung, es gibt einen CISO, Sie haben Compliance. Diese Leute sitzen nicht so oft zusammen und essen zu Mittag. Und sie einfach darin zu schulen, ein Problem zu lösen, und dann zu erkennen, wo diese Lücken sind, die Sie nie erwartet haben, ist wirklich der Trick.

Und wenn Sie das ein- oder zweimal durchstehen, dann ist es ganz anders, wenn etwas passiert, Sie sind immer noch agil und in der Lage, die Probleme schneller zu handhaben und darauf zu reagieren. Und nicht zuletzt konnte man zeigen, dass man wirklich überrascht war, das war völlig daneben. Sie haben das Training bereits absolviert. Ich denke, die meisten Aufsichtsbehörden sind einfach glücklich, wenn Sie einen guten Plan haben und das Training absolviert haben. Sie geben Ihnen viel Spielraum in dem Wissen, dass die Hacker wahrscheinlich einen Weg finden werden, insbesondere abhängig von der Erfahrung der Hacker. Aber wenn Sie das getan haben, dann hilft das wirklich und ich denke, Sie können es tatsächlich reduzieren.

Sandy Silk:

Und ich denke, dass Sie immer die Checkliste Ihrer Optionen haben, weil Sie möglicherweise Schwellenwerte erreichen, an denen Sie sagen müssen, dass wir dieses System an dieser Stelle nur von der ausgehenden Konnektivität trennen. Ich weiß nicht, wie sie hier drin sind. Ich weiß nicht, wie sie das machen. Wir können nicht riskieren, noch mehr verloren zu gehen, also müssen Sie an diesem Punkt, da wir keine kompensierenden Kontrollen kennen, die wir über das Trennen hinaus einrichten könnten, diese haben …

Jose Belo:

[unverständlich 00:38:52].

Sandy Silk:

Sie müssen in der Lage sein, schnell zu den richtigen Leuten zu gehen und zu sagen, es besteht die Gefahr, dass die Verbindung nicht unterbrochen wird, es besteht die Gefahr, dass wir die Verbindung trennen, welche wäre Ihnen lieber? Dies ist eine geschäftliche Entscheidung.

Scott Warren:

Das geschah erst kürzlich im letzten Monat bei Toyota, wo sie ihre gesamten 14 Produktionsstätten in Japan für einen Tag wegen einer Bedrohung durch einen ihrer Lieferanten durch einen Dritten schließen mussten, die ein Ransomware-bezogener Angriff war, aber sie waren es einfach. Ich bin mir nicht sicher, wie weit. Das waren ungefähr 13.000 Fahrzeuge, die sie an diesem Tag nicht herstellen konnten, plus all die Gehälter und alles andere, aber das ist der Preis, den sie zu zahlen bereit waren. Wir hatten Colonial Pipeline in den USA, wo man irgendwann diese Entscheidung treffen muss, wie Sandy sagt, muss ich das jetzt abschalten, um sicherzustellen, dass ich die Kontrolle über alles habe?

Jose Belo:

Ich habe vor 10 Jahren den Artikel über den RSA-Hacker gelesen, das war einfach… Und ich erinnere mich, dass sie im Kriegsraum waren und sich ansahen, was passierte, sie sagten: “Sie sind reingekommen.” Und Sie wissen, egal wie robust Ihre Datenschutzrichtlinie ist, wenn Sie sehen, dass Ihr CISO beginnt, Internetkabel zu trennen, wissen Sie, dass der Plan aufgegangen ist. Aber das sind Worst-Case-Szenarien. Die Szenarien, die wir alle durchleben und die wir alle kennen, sind Szenarien, die wir am besten können … Es ist unmöglich, dass sich ein Unternehmen vollständig schützt. Und es ist uns auch unmöglich, das ganze Szenario, das uns umgibt, zu verstehen. Wir sind nur Menschen, und wir können nur vorhersagen, was wir wissen. Wie wichtig sind die während der Obduktion gelernten Lektionen, wenn wir sie so betrachten, um eine robustere Politik aufzubauen, als wir begonnen haben?

Caro Robson:

Nun, ich denke, es ist extrem wichtig. Wenn Sie es offensichtlich mit vielen kleineren Vorfällen zu tun haben, ist dies wahrscheinlich ein Zeichen dafür, dass Ihr System sehr gut funktioniert, und nicht das Gegenteil, denn wenn Sie diese Dinge aufgreifen, bedeutet dies, dass es funktioniert. Aber ich denke, für sicherlich größere Vorfälle, je nachdem, wie eine Organisation das definiert, denke ich, dass es wirklich, wirklich wichtig ist, weil es oft Probleme mit dem Prozess gibt oder Dinge, die hätten besser gemacht werden können oder verbessert werden könnten, oder Erkenntnisse aus getroffenen Entscheidungen oder Schwellenwerten und was das Ergebnis war. Ich denke, es ist sehr, sehr wichtig, dass Sie bei größeren Vorfällen, die Sie sich hinsetzen und dann diskutieren, Lehren daraus ziehen und die Richtlinien gegebenenfalls ändern. Natürlich will man das nicht zu oft machen, denn dann wird es nur zur Belastung. Aber ich denke, wo Verbesserungen gemacht werden können, ich denke, das lohnt sich immer.

Sandy Silk:

Und…

Scott Warren:

Ich kann ein Beispiel geben… Mach weiter, Sandy.

Sandy Silk:

Ich würde aus den Lektionen sagen, an denen ich beteiligt war, und sie sind nach bedeutenden Ereignissen, normalerweise werden die meisten Dinge, die dabei herauskommen, nicht das Technische sein, sondern der Prozess und größtenteils die Kommunikation. Haben wir früh genug kommuniziert, haben wir diese Kommunikation offen gehalten und wurden Entscheidungen rechtzeitig getroffen? Und es ist schwer, eine Entscheidung zu treffen, wenn Sie mehr Informationen wünschen und diese einfach nicht da sind.

Scott Warren:

Ich denke, viele der Obduktionen schlagen vor, was zu tun ist. Und ich kann ein Beispiel geben, als ich bei Microsoft arbeitete, gab es einen MSN-Hack in einem asiatischen Land, wo es wirklich keine Schwachstelle im Code der Website selbst war, sondern dass wir Werbeflächen und Werbeboxen vermietet haben und die Leute, die diese Werbebotschaft erstellt haben, wurden angegriffen. Jemand hat seinen Cursor darüber gezogen, er wurde umgeleitet und dies betraf 50.000 verschiedene Websites in diesem Land. Und wir hatten einen wirklich robusten Plan. Das sind frühe zweitausend. Wir hatten ein wirklich gutes Datenschutzprogramm. Wir haben innerhalb von etwa vier Stunden ein Team zusammengestellt, um darüber zu sprechen, was los war, in diesem Fall nicht über Datenschutz, sondern über Cybersicherheit.

Und ich leitete die Diskussionspunkte. Und zuerst meldete sich die IT und sagte: “Hey, super, wir sind wieder einsatzbereit. Hat etwa dreieinhalb Stunden gedauert, aber alles ist da und alles funktioniert.” Ich sagte: “Toll, gib mir bitte den Server, damit wir analysieren können, was passiert ist.” Sie sagten: “Oh, nun, wir haben gerade die Server gelöscht und neu geladen”, was eine großartige Antwort von den IT-Leuten war, weil das die Dinge sehr schnell zum Laufen brachte, aber es war eine schreckliche Antwort vom Standpunkt der Beweise. Und das weißt du nicht, bis du diese tust. Bis Sie das durchmachen, oder das ist der Zweck der Tabletop-Übungen oder Cyber-Vorbereitungsübungen, haben Sie die Möglichkeit, diese Aha-Momente zu haben, in denen ich dachte, Sie würden das tun. Und das kannst du vorne aus dem Weg räumen, damit du das alles nicht verloren haben musst. Und dafür finde ich die Autopsie großartig.

Jose Belo:

Caro, gibt es noch etwas hinzuzufügen? Denn um ehrlich zu sein, machen die Autopsie und die gewonnenen Erkenntnisse für mich einen robusten Plan noch robuster, denn das sind reale Fälle und Szenarien. Wir können uns alle Fälle ausdenken, alle Szenarien, die wir wollen, die tatsächlich durchgehen und das Team zum Arbeiten bringen und das Team dazu bringen, nicht nur zu untersuchen, einzudämmen, zu beheben, zu sehen, was schief gelaufen ist, wo die Einstiegspunkte waren, die Vektoren usw. Und dort finden wir die Schwachstellen der Unternehmen heraus, die uns nicht bekannt waren. Und da können wir dann zurückgehen und fast einen PDCA-Check machen, wenn Sie wollen, und sagen, schauen Sie, das ist hier schief gelaufen. Oder sogar im Plan gibt es Dinge im Plan, die besser gemacht werden können.

Was mich zur letzten Frage an euch alle führt. Wir haben über Pläne zur Reaktion auf Datenschutzverletzungen gesprochen und werden über Robustheit sprechen. Was wäre Ihrer Meinung nach das Wichtigste, wenn Sie unseren Zuhörern eine Schlüsselmitnahme hinterlassen möchten? Was wäre die wichtigste Erkenntnis, um einen robusten Plan zu entwickeln, der auf die Cyberangriffe und all diese Probleme, mit denen wir täglich konfrontiert sind, reagiert?

Sandy Silk:

Ich würde sagen, stellen Sie sicher, dass Sie es beibehalten. Es kann kein eins und fertig veröffentlicht werden, da ist es erledigt, uns allen geht es gut. Ich denke, Sie müssen es ständig mit neuen Dingen aktualisieren, die Sie entdecken, mit neuen Bereichen, in denen Sie tätig sind. Ich werde sagen, dass ich einige gefunden habe, die erst kürzlich online gepostet wurden, sie sind öffentlich und datiert auf 2017. Auf keinen Fall ist dies die Richtlinie, der Sie zu diesem Zeitpunkt folgen. Das war sogar vor COVID, so viel hat sich seitdem mit der Mobilität geändert. Und es ist peinlich, diese Dinge da draußen zu sehen, die so alt sind, also würde ich sagen, stellen Sie einfach sicher, dass es ein lebendiges Dokument ist, das Sie ständig aktualisieren, und behalten Sie den Überblick, wenn Sie es aktualisieren.

Caro Robson:

Und ich denke, ich würde dem hinzufügen, sicherzustellen, dass die Leute wissen, dass es existiert, weil ich mich in der Vergangenheit mit einigen Vorfällen befasst habe, bei denen danach jeder sagte: “Oh, hast du das gemeint, während du dich damit befasst hast?” Und es ist mit Staub bedeckt und es war in einem Regal und die Leute müssen wirklich verstehen, wo es ist, dass es auf sie zutrifft, wie es auf sie zutrifft, und auch, dass es ein Team gibt, dass es Leute gibt, die es gibt ein Verfahren unter diesen Umständen. Ich denke, das hilft, die Leute in diesen Szenarien zu beruhigen, wenn alles explodiert, die Leute wissen, dass dies durchdacht wurde. Aber ehrlich gesagt, wie willst du es anwenden, wenn die Leute nicht wissen, dass es existiert und es drin ist? Ich würde auf jeden Fall sagen, stellen Sie sicher, dass es auf dem neuesten Stand ist, aber auch, dass die Leute wissen, wo es ist und dass es gilt.

Scott Warren:

Und dann, denke ich, stellen Sie einfach sicher, dass es global ist, wenn Sie globale Daten haben. Und wenn nicht, und Sie haben mehr regionale Daten, stellen Sie sicher, dass sie wirklich regional sind und alle verschiedenen Arten von Daten abdecken, die Sie haben und mit denen Sie möglicherweise umgehen, da es falsch ist anzunehmen, dass ein Element funktioniert oder eine Regel funktioniert über alle unterschiedlichen Jurisdiktionen hinweg. Ich denke, die andere Beobachtung, über die wir meiner Meinung nach nicht gesprochen haben, die ich aber für wirklich wichtig halte, und ich sehe, dass dieser Fehler manchmal bei kleineren Unternehmen oder kleineren, mittelständischen Unternehmen auftritt, ist, dass sie von Ransomware-Angriffen angegriffen werden wurden von den Ransomware-Leuten kontaktiert, sie haben entweder etwas bezahlt oder in den meisten Fällen haben sie bezahlt und es wurde ihnen gesagt: „Oh, dir geht es gut“, aber sie führen keine wirklich detaillierte Analyse darüber durch, was passiert ist.

Im alten Stil von Ransomware-Angriffen war es einfach ausführbarer Code, der alle Daten verschlüsselte, und wenn Sie dann die Ransomware bezahlten, drückten sie einen Knopf und es würde alles entschlüsseln. Aber die Angriffe verschaffen sich jetzt oft Top-Level-Domain-Zugriff in Ihr System, bauen Hintertüren ein und sickern Daten aus. Und Sie wissen nicht, wo Ihre Exposition ist, noch können Sie richtig wissen, dass Sie sie aus Ihrem System entfernt haben, wenn Sie nicht den Schritt unternehmen, jemanden zu holen, der auf der technischen Seite wirklich gut ist, um herauszufinden, wo sie waren, was passiert ist, und dann können Sie sich tatsächlich trösten, dass sie aus Ihrem System sind.

Jose Belo:

Das geht auf mich. Ich habe tatsächlich nach den Fragen des Publikums im privaten Chat gesucht, aber sie kamen einfach nicht durch. Ich weiß nicht warum. Ich werde sehr schnell zwei Fragen auswählen, wenn Sie sie sehr schnell beantworten können, weil ich weiß, dass wir zeitlich sehr knapp sind. Irgendwelche Gedanken in Bezug auf den Vorstoß, DevSecOps als eine stärker kollaborative IT-Komponente in Organisationen zu integrieren? 30 Sekunden.

Sandy Silk:

Ja. Tu es. Verwenden Sie die Tools des nativen Cloud-Sicherheitsanbieters, um Konfigurationen zu überwachen?

Scott Warren:

Das waren 23 Sekunden, weit zu gehen, Sandy.

Jose Belo:

Würden Sie Unternehmen ermutigen, regelmäßig Simulacrums durchzuführen, um Pläne zur Reaktion auf Datenschutzverletzungen zu testen? Sie haben darüber gesprochen. Ja.

Caro Robson:

Ja. Definitiv.

Jose Belo:

Und letzte Frage in Bezug auf Data Governance und den Grad der unternehmensweiten Datenkompetenz: Würden Sie einen Einblick in die Auswirkungen auf die Richtlinien zum Management von Datenschutzverletzungen geben? Und das ist das letzte.

Caro Robson:

Ja. Es ist riesig und es ist sehr, sehr wichtig. Die Leute müssen wissen, welche Daten Sie haben, Sie müssen sie abbilden. Die Menschen müssen wissen, was personenbezogene Daten sind, und sie müssen wissen, was zu tun ist, wenn diese verloren gehen oder darauf zugegriffen wird.

Sandy Silk:

Stellen Sie sicher, dass die Benutzer wissen, wo sie es ablegen müssen, wo der richtige Ort zum Speichern ist und wo die Orte sind, an denen Sie es nicht speichern dürfen.

Jose Belo:

Und ich entschuldige mich für die Frage, weil der Chat nach oben verschoben wurde und ich sie nicht gesehen habe. Aber sie sind da, die Fragen wurden beantwortet. Ich denke, wenn wir uns die Fragen ansehen, die wir gestellt haben, decken wir viele davon ab. Ich möchte Ihnen allen dafür danken, dass Sie im Panel sind. Es war ein sehr lehrreiches Panel für mich, und ich bin mir ziemlich sicher, für das Publikum. Und ich hoffe, Sie alle in einem anderen Panel bei BritSec und hoffentlich stattdessen vor Ort wiederzusehen …