Upload
alexey-lukatsky
View
5.889
Download
0
Embed Size (px)
DESCRIPTION
Citation preview
1/34© 2005 Cisco Systems, Inc. All rights reserved.InfoSecurity Moscow 2005
Вас взломали!? Как общаться с внешним миром?
Алексей Лукацкий
Security Business Development Manager
© 2005 Cisco Systems, Inc. All rights reserved. 2/34InfoSecurity Moscow 2005
Содержание
• Сообщать об инциденте или нет?
• Кому сообщать?
• Кто должен сообщать?
• Что и в каком объеме сообщать?
• Какова процедура взаимодействия с прессой?
• Примеры из жизни
© 2005 Cisco Systems, Inc. All rights reserved. 3/34InfoSecurity Moscow 2005
Сообщать или нет?
© 2005 Cisco Systems, Inc. All rights reserved. 4/34InfoSecurity Moscow 2005
Почему это важно
• Ущерб от инцидента обычно распадается на 3 основные составляющие
Финансовый урон
Уголовное или административное преследование
Удар по репутации и доверию
© 2005 Cisco Systems, Inc. All rights reserved. 5/34InfoSecurity Moscow 2005
Хороший пример: SANS
• Сайт института SANS был взломан в середине 2001 года
• Для компании, занимающейся безопасностью, хуже ситуации не придумаешь
• Грамотная работа с прессой позволила минимизировать ущерб
© 2005 Cisco Systems, Inc. All rights reserved. 6/34InfoSecurity Moscow 2005
Плохой пример: ChoicePoint
Падение курса акций
ChoicePoint – Зима 2004/2005
• Кража отчета с 145,000 именами клиентов, номеров кредитных карт и т.д.
Воздействие на бизнес
• Администрация штата Нью-Йорка отказалась от контракта с ChoicePoint на сумму 800 миллионов долларов
© 2005 Cisco Systems, Inc. All rights reserved. 7/34InfoSecurity Moscow 2005
Когда не надо сообщать
• Небольшая малоизвестная компания
• Ущерб не коснулся клиентов и иных третьих лиц
• Вы на 100% уверены, что об этом никто не узнает
• Когда у вас нет доказательств
© 2005 Cisco Systems, Inc. All rights reserved. 8/34InfoSecurity Moscow 2005
Сообщать или нет?
• В ряде стран это является требованием законодательства
• Высока вероятность, что об этом все равно станет известно из других источников
Хакерские сайты
Информационные агентства
Собственные сотрудники
© 2005 Cisco Systems, Inc. All rights reserved. 9/34InfoSecurity Moscow 2005
К чему это ведет?
• Пользователей не вынуждают додумывать «что», «когда», «как» и т.д.
Среди пользователей есть и акционеры
• Пресса благосклонно относится к признанию своих ошибок
При правильно построенном процессе
• Может привести к росту лояльности клиентов
Они видят, что их не обманывают
© 2005 Cisco Systems, Inc. All rights reserved. 10/34InfoSecurity Moscow 2005
Кому сообщать?
© 2005 Cisco Systems, Inc. All rights reserved. 11/34InfoSecurity Moscow 2005
Кому сообщать?
• Акционеры
• Сотрудники
• Клиенты
• Регулирующие и правоохранительные органы
• Разным аудиториям нужно предоставить разный объем информации
© 2005 Cisco Systems, Inc. All rights reserved. 12/34InfoSecurity Moscow 2005
Кто должен сообщать?
© 2005 Cisco Systems, Inc. All rights reserved. 13/34InfoSecurity Moscow 2005
Члены CIRT / SIRT / CSIRT
• Ядро CIRT
Департамент ИТ
Отдел информационной безопасности
Служба безопасности
Юридический департамент
• Вспомогательные службы
Public Information Officer / PR
© 2005 Cisco Systems, Inc. All rights reserved. 14/34InfoSecurity Moscow 2005
Кто взаимодействует с внешним миром
• Только не CIRT
Служба безопасности – только с регулирующими органами
Юридический департамент –опосредованно с прессой
• Причины
CIRT и так занята основной работой
Необходимо умение общаться с неквалифицированной аудиторией
© 2005 Cisco Systems, Inc. All rights reserved. 15/34InfoSecurity Moscow 2005
Public Information Officer / PR
• Единая точка контакта с прессой
• Получение совета у юридического департамента перед любым интервью или публикацией пресс-релиза
• Получение разрешения у CIRT на то, что пресс-релиз или интервью не содержат информации, которая может помешать расследованию
• Сообщение всем сотрудникам, что все контакты по поводу инцидента должны вестись только через PIO / PR
© 2005 Cisco Systems, Inc. All rights reserved. 16/34InfoSecurity Moscow 2005
Юридический департамент
• Выступление в качестве спикера или интервьюируемого
• Проверка любого пресс-релиза перед передачей в прессу
© 2005 Cisco Systems, Inc. All rights reserved. 17/34InfoSecurity Moscow 2005
Что сообщать?
© 2005 Cisco Systems, Inc. All rights reserved. 18/34InfoSecurity Moscow 2005
Что обычно спрашивают?
• Что произошло?
• Каков ущерб/результат?
• Что было причиной?
• Это может повториться?
• Что надо сделать, чтобы избежать этого впредь?
© 2005 Cisco Systems, Inc. All rights reserved. 19/34InfoSecurity Moscow 2005
Как общаться со СМИ?
© 2005 Cisco Systems, Inc. All rights reserved. 20/34InfoSecurity Moscow 2005
Как готовиться к интервью?
• Узнайте как можно раньше об интервью
• Определитесь с основными тезисами
• Поставьте себя на место интервьюера,предугадайте «сложные» вопросы и подготовьте на них ответы
© 2005 Cisco Systems, Inc. All rights reserved. 21/34InfoSecurity Moscow 2005
Как проводить интервью?
• Установите взаимопонимание с интервьюером
• Обеспечьте простые объяснения сложных технических подробностей
• Ведите интервьюера к поставленной вами цели и не давайте вести себя
© 2005 Cisco Systems, Inc. All rights reserved. 22/34InfoSecurity Moscow 2005
Как проводить интервью?
• Старайтесь уйти от темы виноватого или будьте скупы в ответе на такие вопросы
• Обещайте все исправить в кратчайшие сроки
И не удивляйтесь, если в обещанное время вам позвонят и спросят: «Ну как?»
© 2005 Cisco Systems, Inc. All rights reserved. 23/34InfoSecurity Moscow 2005
Как проводить интервью?
• Используйте предложения, короткие «как выстрел»
• Не знаете что-то, так и скажите и пообещайте найти ответ (и не забудьте найти его)
• Не запугивайте и не угрожайте
© 2005 Cisco Systems, Inc. All rights reserved. 24/34InfoSecurity Moscow 2005
Как проводить интервью?
• Устраните весь негатив. А еще лучше превратите его в позитив
• Будьте дипломатичны и всегда говорите правду
• Оденьтесь соответственно
© 2005 Cisco Systems, Inc. All rights reserved. 25/34InfoSecurity Moscow 2005
Как проводить интервью?
• Избегайте психологического дискомфорта – не виляйте взглядом, не сутультесь…
• Обязательно попросите прислать готовый материал для просмотра
• Не забывайте, что вы интервьюируемый – вы можете прекратить интервью в любое время
© 2005 Cisco Systems, Inc. All rights reserved. 26/34InfoSecurity Moscow 2005
Несколько примеров
© 2005 Cisco Systems, Inc. All rights reserved. 27/34InfoSecurity Moscow 2005
Пресс-релиз Microsoft
© 2005 Cisco Systems, Inc. All rights reserved. 28/34InfoSecurity Moscow 2005
Пресс-релиз «Северной Казны»
© 2005 Cisco Systems, Inc. All rights reserved. 29/34InfoSecurity Moscow 2005
Пресс-релиз Cisco Systems
© 2005 Cisco Systems, Inc. All rights reserved. 30/34InfoSecurity Moscow 2005
Пресс-релиз Лаборатории Касперского
© 2005 Cisco Systems, Inc. All rights reserved. 31/34InfoSecurity Moscow 2005
Пресс-релиз ChoicePoint
© 2005 Cisco Systems, Inc. All rights reserved. 32/34InfoSecurity Moscow 2005
Вопросы
© 2005 Cisco Systems, Inc. All rights reserved. 33/34InfoSecurity Moscow 2005
Дополнительные вопросы можно задать по электронной почте[email protected]
© 2005 Cisco Systems, Inc. All rights reserved. 34/34InfoSecurity Moscow 2005