Grupul Toll încă elimină după atacurile ransomware – Securitate


Grupul Toll continuă să curgă mai mult de nouă luni după o întâlnire cu ransomware la sfârșitul lunii ianuarie, executivul de securitate însărcinat cu recuperarea descriind „coada foarte, foarte lungă dintr-un incident cibernetic” în care victimele sunt prinse.

Șeful global al datelor, securității și guvernanței IT, Diana Peh, a declarat că 2020 „a fost un an foarte uitat”, deși ea și Toll au scăpat din plin de două infecții separate de ransomware cu experiență la câteva luni distanță.

Gigantul logistic a fost primul lovit de ransomware-ul Mailto la sfârșitul lunii ianuarie, care a durat șase săptămâni pentru a-și reveni.

A suferit apoi o al doilea atac la începutul lunii mai care a folosit malware-ul Nefilim și a fost în mod similar devastator.

„În urmă cu 265 de zile și cu o zi înainte de a-mi începe efectiv noul rol în securitatea IT, m-am confruntat cu un atac de ransomware la scară largă, care a afectat compania mea, care este o organizație foarte globală”, a declarat Peh, cu sediul în Melbourne, pentru summitul Privacon 2020 al Privasec ieri.

„Și 94 de zile mai târziu, am trecut printr-un al doilea atac cibernetic, din nou la scară globală și, probabil, mai sofisticat”.

La sfârșitul lunii iulie, Peh a condus anunțul unui un an „program accelerat de reziliență cibernetică” condus de o echipă de securitate reconstruită împărțită în două țări.

În luna următoare, Toll a aterizat serviciile fostul Telstra Asia Pacific CISO Berin Lautenbach, care va rula acum funcția de securitate a informațiilor la nivel global.

Peh a declarat la summitul Privasec că ambele incidente cibernetice au condus la o „coadă lungă” de acțiuni care au continuat.

"Dacă cineva a trecut printr-un incident cibernetic major, este un fapt faptul că impactul multor incidente trăiește dincolo de izolare și remediere", a spus Peh.

„Există de fapt o coadă foarte lungă dintr-un incident cibernetic, indiferent dacă este vorba de gestionarea preocupărilor continue ale clienților, a obligațiilor de reglementare și multe altele.

„Chiar și pentru mine nouă luni în urmă, simțim în continuare impactul. Încă lucrăm și facem câteva mop-up-uri. ”

Factorii care contribuie

Spre deosebire de prezentările anterioare ale conferinței din victime ale atacuri substanțiale, Peh nu a furnizat un post-mortem detaliat cu privire la modul în care Toll a fost infectat.

Cu toate acestea, ea a indicat o serie de factori care pot contribui, printre care pandemia.

„2020 a fost un an foarte unic definit de Covid-19, în care forța noastră de muncă lucrează de la distanță de acasă și modurile noastre normale de lucru, modalitățile noastre normale de angajament, [and] instrumentele noastre au fost întrerupte grosolan ”, a spus ea.

De asemenea, Peh a făcut referire la planul de răspuns la incidente al lui Toll, în special cât de bine a fost înțeles.

„Într-o perioadă de criză, poate deveni confuz. Toată lumea vrea să ajute, dar trebuie să știi cine este la conducere, ai nevoie de un lider ”, a spus ea.

„Experiența mea cu ambele incidente cibernetice a fost foarte diferită. Mi s-a părut foarte greu pentru primul incident, [but] al doilea [was] mult mai bine decât primul.

„În primul rând, în special, au existat multe întrebări în legătură cu cine este responsabil și care sunt rolurile și responsabilitățile.

„Este foarte important să aveți în vedere clar rolurile și responsabilitățile care intră și că sunteți gata, deoarece într-o perioadă de criză, doriți cu adevărat să vă asigurați că încercați să eliminați cât mai mult haos posibil”.

Peh a spus că un plan de răspuns la incidente ar trebui să prevadă clar „următorii 20 de pași”, cu o mulțime de practici.

„Trebuie să te asiguri că alergi multe și multe antrenamente cu echipele tale, astfel încât toată lumea să fie clară”, a spus ea.

„O facem trimestrial în acest moment, nu doar cu echipele executive de gestionare a crizelor, ci cu echipele de pe teren, iar reflecția mea este că acest lucru este de fapt mult mai greu decât pare, mai ales dacă aveți echipe care sunt răspândit pe tot globul și lucrând în diferite fusuri orare.

„Experiența mea personală este că, după ce am condus câteva dintre ele până acum, găsim încă o mulțime de oportunități de îmbunătățire și ne asigurăm că echipele noastre înțeleg cu adevărat exercițiul”.

Apelarea la experți

Abordarea lui Toll cu privire la tehnologia de securitate a jucat, de asemenea, un rol și Peh a spus că a organizat o mică bandă de experți externi în securitate cibernetică pentru a ajuta la recuperarea companiei și pentru a ajuta la urmărirea penală a cazului pentru schimbare.

Peh a spus că a intrat în criză „neavând o mare experiență cibernetică dintr-o perspectivă foarte tehnică”.

„Pe multe fronturi, am fost provocată de colegi și de colegi”, a spus ea.

„De exemplu, eram un AV [anti-virus] magazin. Ne-am târât în ​​EDR [endpoint detection and response] tehnologie în termen de două săptămâni de la al doilea incident.

„[There was] o mulțime de dezbateri solide și o mulțime de decizii luate, dar experții mei externi au fost de fapt cei care de fapt m-au ajutat să înțeleg cu adevărat ce trebuie să fac pentru a-mi consolida gândirea și apoi să mă angajez într-o dezbatere și discuții foarte bogate cu echipa de conducere.

„Odată ce am luat o decizie, am ajuns în spatele ei”.

Peh a spus că a fost ușor să fie copleșit de oferte de asistență, în special după ce a suferit un atac.

„Când se întâmplă ceva, toată lumea te va suna pentru a oferi ajutor, dar realitatea nu este că toată lumea va fi de ajutor”, a spus ea.

„Nu vrei cu adevărat o distribuție de mii în mix. Trebuie să ai de fapt câțiva vitali care să te ajute, așa că, din nou, nu este teribil de haotic. ”

Peh a spus că unul dintre cele mai „profunde” rezultate din „trăirea a două incidente majore a fost [the realisation] că securitatea nu este neapărat doar să te bazezi pe capacități interne. ”

„Vorbim adesea despre faptul că este nevoie de un sat pentru a crește un copil și de a reflecta la cele două experiențe, care sunt diferite, o învățare cheie pentru mine este că trebuie să te înconjori cu experți care trăiesc și respiră acest lucru pe un zilnic cu ceilalți clienți și să se asocieze cu ei pentru a vă gestiona incidentele ”, a spus Peh.

„Există un pic de lucru în avans în ceea ce privește identificarea celor care sunt foarte devreme în această piesă și aici va da cu adevărat valoarea rețelei dvs. în spațiul de securitate cibernetică.”

Rămânând concentrat pe client

Peh a spus că Toll și-a dat prioritate clienților de la începutul incidentelor de securitate.

„Sunt mândră să spun că am adoptat o abordare de comunicare foarte proactivă și directă cu clienții noștri pentru a minimiza impactul asupra operațiunilor comerciale”, a spus ea.

Ea a spus că comunicările deschise și directe sunt cheia „minimizării impactului operațiunilor comerciale pentru clienții dvs., dar și … asigurându-ne că împărtășim ce informații putem pentru a ne asigura, de asemenea, că ele însele sunt protejate în mod adecvat”.

„Când aveți un incident, este cu adevărat momentul să faceți un serviciu excesiv de linii de asistență pentru clienți și să faceți check-in-uri zilnice cu clienții dvs. prin telefon”, a spus Peh.

„Am fost de cealaltă parte a acestor tipuri de situații în care partenerii și furnizorii mei au fost compromise și, sincer, am vrut doar să am acel telefon care să-mi spună ce se întâmplă, care sunt riscurile mele reale și ce trebuie să facem pentru a ne proteja de fapt. "

O mare parte din aceasta este capacitatea de a comunica, a spus Peh, menționând importanța planificării soluțiilor canalelor de comunicații în cazul în care metodele primare, cum ar fi e-mailul, sunt scoase sau văzute de clienți ca fiind prea riscante.

"Experiența mea este că unii dintre clienții noștri au optat de fapt pentru a înceta comunicările prin e-mail ca măsură preventivă, astfel încât, practic, înseamnă doar că trebuie să aveți un plan", a spus Peh.

„Fii gata să-ți folosești canalele WhatsApp sau Microsoft Teams.”

Bunăstarea personalului într-o criză

O parte din prezentarea lui Peh s-a ocupat și de mentalitatea ei în timpul crizelor gemene, precum și de cea a personalului și de modul în care Toll a încercat să se asigure că personalul este suficient de odihnit pentru a participa la activitățile de recuperare.

„Mantra mea preferată este să„ păstrez calmul și să continui ”, a spus ea.

„La nouă luni de la jocul de securitate, cred că multe dintre învățăturile și reflecțiile mele au fost faptul că într-o perioadă de criză, este de fapt foarte important să faci o pauză, să faci bilanț și să respiri; să mă gândesc „OK, ce trebuie să fac pentru a face mai departe?”; și să aveți un sistem și o structură în jurul modului în care abordați efectiv unele dintre aceste incidente. ”

Peh a spus că Toll a recunoscut devreme implicațiile de lungă durată cu care s-au confruntat personalul în timp ce au răspuns la incidente.

„Este incredibil de stresant”, a spus ea.

„Echipele lucrează non-stop. Presiunea este cu adevărat intensă.

„Cred că este important să strigi: nu fi prea greu cu tine însuți, nu fi prea greu cu echipele tale când lucrurile merg prost. Lucrurile vor merge prost, ar trebui să planifici ca lucrurile să meargă prost.

„Când se vor întâmpla atât de multe, oamenilor le va fi dor de lucruri. Probabil că îți va lipsi singur lucrurile – nimeni nu este infailibil ”.

Peh a spus că Toll Group a creat rapid un sistem de listare a personalului pentru a se asigura că personalul se poate odihni.

„Am fost atât de conștienți de presiunea din criză în câteva ore după criză, unul dintre lucrurile pe care le-am făcut foarte repede a fost să construim efectiv o listă pentru echipele noastre, astfel încât oamenii să fi putut planifica pauze”, a spus ea.

„De fapt, a fost o decizie foarte conștientă să ne asigurăm că am participat la listă, astfel încât oamenii să poată face pauze, să se odihnească și [then] să funcționeze corespunzător în timpul unei crize – poate nu neapărat la vârf, dar ar putea funcționa bine și au fost odihniți.

„Gestionarea crizelor poate dura zile și săptămâni pentru a se rezolva și cred că înștiințarea aici este faptul că va trebui să vă asigurați că luați câțiva pași pentru a vă asigura că volumul de muncă este durabil.

„Oamenii vor lucra mai mult de 100% [of their capacity] în multe, multe cazuri, dar restul este incredibil de important. ”



Source link

Lasă un răspuns