1/34© 2005 Cisco Systems, Inc. All rights reserved.InfoSecurity Moscow 2005

Вас взломали!? Как общаться с внешним миром?

Алексей Лукацкий

Security Business Development Manager

© 2005 Cisco Systems, Inc. All rights reserved. 2/34InfoSecurity Moscow 2005

Содержание

• Сообщать об инциденте или нет?

• Кому сообщать?

• Кто должен сообщать?

• Что и в каком объеме сообщать?

• Какова процедура взаимодействия с прессой?

• Примеры из жизни

© 2005 Cisco Systems, Inc. All rights reserved. 3/34InfoSecurity Moscow 2005

Сообщать или нет?

© 2005 Cisco Systems, Inc. All rights reserved. 4/34InfoSecurity Moscow 2005

Почему это важно

• Ущерб от инцидента обычно распадается на 3 основные составляющие

Финансовый урон

Уголовное или административное преследование

Удар по репутации и доверию

© 2005 Cisco Systems, Inc. All rights reserved. 5/34InfoSecurity Moscow 2005

Хороший пример: SANS

• Сайт института SANS был взломан в середине 2001 года

• Для компании, занимающейся безопасностью, хуже ситуации не придумаешь

• Грамотная работа с прессой позволила минимизировать ущерб

© 2005 Cisco Systems, Inc. All rights reserved. 6/34InfoSecurity Moscow 2005

Плохой пример: ChoicePoint

Падение курса акций

ChoicePoint – Зима 2004/2005

• Кража отчета с 145,000 именами клиентов, номеров кредитных карт и т.д.

Воздействие на бизнес

• Администрация штата Нью-Йорка отказалась от контракта с ChoicePoint на сумму 800 миллионов долларов

© 2005 Cisco Systems, Inc. All rights reserved. 7/34InfoSecurity Moscow 2005

Когда не надо сообщать

• Небольшая малоизвестная компания

• Ущерб не коснулся клиентов и иных третьих лиц

• Вы на 100% уверены, что об этом никто не узнает

• Когда у вас нет доказательств

© 2005 Cisco Systems, Inc. All rights reserved. 8/34InfoSecurity Moscow 2005

Сообщать или нет?

• В ряде стран это является требованием законодательства

• Высока вероятность, что об этом все равно станет известно из других источников

Хакерские сайты

Информационные агентства

Собственные сотрудники

© 2005 Cisco Systems, Inc. All rights reserved. 9/34InfoSecurity Moscow 2005

К чему это ведет?

• Пользователей не вынуждают додумывать «что», «когда», «как» и т.д.

Среди пользователей есть и акционеры

• Пресса благосклонно относится к признанию своих ошибок

При правильно построенном процессе

• Может привести к росту лояльности клиентов

Они видят, что их не обманывают

© 2005 Cisco Systems, Inc. All rights reserved. 10/34InfoSecurity Moscow 2005

Кому сообщать?

© 2005 Cisco Systems, Inc. All rights reserved. 11/34InfoSecurity Moscow 2005

Кому сообщать?

• Акционеры

• Сотрудники

• Клиенты

• Регулирующие и правоохранительные органы

• Разным аудиториям нужно предоставить разный объем информации

© 2005 Cisco Systems, Inc. All rights reserved. 12/34InfoSecurity Moscow 2005

Кто должен сообщать?

© 2005 Cisco Systems, Inc. All rights reserved. 13/34InfoSecurity Moscow 2005

Члены CIRT / SIRT / CSIRT

• Ядро CIRT

Департамент ИТ

Отдел информационной безопасности

Служба безопасности

Юридический департамент

• Вспомогательные службы

Public Information Officer / PR

© 2005 Cisco Systems, Inc. All rights reserved. 14/34InfoSecurity Moscow 2005

Кто взаимодействует с внешним миром

• Только не CIRT

Служба безопасности – только с регулирующими органами

Юридический департамент –опосредованно с прессой

• Причины

CIRT и так занята основной работой

Необходимо умение общаться с неквалифицированной аудиторией

© 2005 Cisco Systems, Inc. All rights reserved. 15/34InfoSecurity Moscow 2005

Public Information Officer / PR

• Единая точка контакта с прессой

• Получение совета у юридического департамента перед любым интервью или публикацией пресс-релиза

• Получение разрешения у CIRT на то, что пресс-релиз или интервью не содержат информации, которая может помешать расследованию

• Сообщение всем сотрудникам, что все контакты по поводу инцидента должны вестись только через PIO / PR

© 2005 Cisco Systems, Inc. All rights reserved. 16/34InfoSecurity Moscow 2005

Юридический департамент

• Выступление в качестве спикера или интервьюируемого

• Проверка любого пресс-релиза перед передачей в прессу

© 2005 Cisco Systems, Inc. All rights reserved. 17/34InfoSecurity Moscow 2005

Что сообщать?

© 2005 Cisco Systems, Inc. All rights reserved. 18/34InfoSecurity Moscow 2005

Что обычно спрашивают?

• Что произошло?

• Каков ущерб/результат?

• Что было причиной?

• Это может повториться?

• Что надо сделать, чтобы избежать этого впредь?

© 2005 Cisco Systems, Inc. All rights reserved. 19/34InfoSecurity Moscow 2005

Как общаться со СМИ?

© 2005 Cisco Systems, Inc. All rights reserved. 20/34InfoSecurity Moscow 2005

Как готовиться к интервью?

• Узнайте как можно раньше об интервью

• Определитесь с основными тезисами

• Поставьте себя на место интервьюера,предугадайте «сложные» вопросы и подготовьте на них ответы

© 2005 Cisco Systems, Inc. All rights reserved. 21/34InfoSecurity Moscow 2005

Как проводить интервью?

• Установите взаимопонимание с интервьюером

• Обеспечьте простые объяснения сложных технических подробностей

• Ведите интервьюера к поставленной вами цели и не давайте вести себя

© 2005 Cisco Systems, Inc. All rights reserved. 22/34InfoSecurity Moscow 2005

Как проводить интервью?

• Старайтесь уйти от темы виноватого или будьте скупы в ответе на такие вопросы

• Обещайте все исправить в кратчайшие сроки

И не удивляйтесь, если в обещанное время вам позвонят и спросят: «Ну как?»

© 2005 Cisco Systems, Inc. All rights reserved. 23/34InfoSecurity Moscow 2005

Как проводить интервью?

• Используйте предложения, короткие «как выстрел»

• Не знаете что-то, так и скажите и пообещайте найти ответ (и не забудьте найти его)

• Не запугивайте и не угрожайте

© 2005 Cisco Systems, Inc. All rights reserved. 24/34InfoSecurity Moscow 2005

Как проводить интервью?

• Устраните весь негатив. А еще лучше превратите его в позитив

• Будьте дипломатичны и всегда говорите правду

• Оденьтесь соответственно

© 2005 Cisco Systems, Inc. All rights reserved. 25/34InfoSecurity Moscow 2005

Как проводить интервью?

• Избегайте психологического дискомфорта – не виляйте взглядом, не сутультесь…

• Обязательно попросите прислать готовый материал для просмотра

• Не забывайте, что вы интервьюируемый – вы можете прекратить интервью в любое время

© 2005 Cisco Systems, Inc. All rights reserved. 26/34InfoSecurity Moscow 2005

Несколько примеров

© 2005 Cisco Systems, Inc. All rights reserved. 27/34InfoSecurity Moscow 2005

Пресс-релиз Microsoft

© 2005 Cisco Systems, Inc. All rights reserved. 28/34InfoSecurity Moscow 2005

Пресс-релиз «Северной Казны»

© 2005 Cisco Systems, Inc. All rights reserved. 29/34InfoSecurity Moscow 2005

Пресс-релиз Cisco Systems

© 2005 Cisco Systems, Inc. All rights reserved. 30/34InfoSecurity Moscow 2005

Пресс-релиз Лаборатории Касперского

© 2005 Cisco Systems, Inc. All rights reserved. 31/34InfoSecurity Moscow 2005

Пресс-релиз ChoicePoint

© 2005 Cisco Systems, Inc. All rights reserved. 32/34InfoSecurity Moscow 2005

Вопросы

© 2005 Cisco Systems, Inc. All rights reserved. 33/34InfoSecurity Moscow 2005

Дополнительные вопросы можно задать по электронной почтеsecurity-request@cisco.com

© 2005 Cisco Systems, Inc. All rights reserved. 34/34InfoSecurity Moscow 2005