Comment, quand, où, quoi et qui traiter les violations de données

Les violations de données et l’exfiltration de données qui en découle sont une dure réalité de notre monde numérique. Les entreprises averties prennent toutes les mesures disponibles pour protéger les informations sensibles et confidentielles contre l’exfiltration et l’utilisation abusive, mais les pirates sont sophistiqués et n’abandonnent pas facilement.

Les mauvais acteurs recherchent un certain nombre d’éléments lorsqu’ils infiltrent les bases de données ou les magasins de messagerie d’une organisation. Souvent, le modus operandi est plus un smash and grab qu’une exfiltration soigneusement calculée de données spécifiques de « haute valeur ». En un clin d’œil, les pirates accèdent à une large bande de données d’une organisation, saisissent tout ce qu’ils peuvent et disparaissent dans le cyberespace.

La plupart d’entre nous connaissent le qui, quoi, quand, où, pourquoi et comment d’une enquête journalistique. Les violations de données et les cyberincidents nécessitent une analyse différente, qui commence par comment, où et lorsque avant le quoi et qui sont établis. La tâche de déterminer exactement Quel des informations personnelles ou confidentielles sont contenues dans l’ensemble des données collectées et qui l’information appartient peut être une tâche ardue, en particulier lorsque de grands volumes de données sont impliqués.

Ce blog explorera les équipes et les technologies qui peuvent être utilisées pour optimiser toutes les phases de la réponse aux violations – des équipes multidisciplinaires qui se spécialisent dans la détermination du comment, du quand et du où, à une équipe de frappe spécialisée appliquant une approche analytique pour découvrir le quoi et qui.

Déterminer comment, quand et où

La première étape pour toute organisation confrontée à une violation de données ou à un incident de cybersécurité consiste à évaluer comment, où et quand les pirates sont entrés ; il s’agit d’une première étape essentielle pour que l’organisation puisse prendre des mesures proactives pour prévenir de futurs incidents. En règle générale, l’organisation ciblée retiendra immédiatement l’assistance médico-légale des données d’experts, tout en avertissant également ses assureurs et en retenant un avocat externe pour l’aider à évaluer l’étendue de la violation et à gérer les risques.

L’étape suivante consiste généralement à demander à des experts légistes de déterminer l’étendue de la violation. Contrairement à une enquête journalistique traditionnelle, il ne s’agit pas encore d’une enquête sur les données qui ont été piratées, mais plutôt d’une détermination de la portée ou des grandes lignes des données piratées. Si l’incident est un smash and grab, une grande quantité de données peut être exfiltrée. Dans ces circonstances, l’identification du corpus total de données compromises n’est que le début du processus. L’organisation connaît les grandes lignes des données exposées.

Il est maintenant temps de découvrir Quel a été violé et qui est impacté (à qui appartiennent les informations personnelles).

Déterminer quoi et qui

Une fois que l’équipe médico-légale initiale a identifié le contour du corps de données qui a été compromis, l’organisation aura alors besoin d’une compréhension plus approfondie des données qui ont été prises et qui a été identifié dans ces données pour comprendre le risque potentiel et les dommages associés à la violation, si les obligations législatives en matière de déclaration ont été déclenchées et, en fin de compte, pour remplir les obligations de déclaration des données, le cas échéant.

Le défi dans la plupart des cas est que de grandes quantités de données auront été compromises. Bien que les objectifs et les flux de travail associés à l’analyse et au signalement des violations de données soient distincts d’un examen de la découverte électronique de litiges pour le scénario de production certains de la même outils et analyses avancés créé pour eDiscovery peut être utilisé pour maximiser l’efficacité. L’efficacité est essentielle car dans l’analyse des violations de données, plus encore que dans eDiscovery, le temps presse et les budgets sont serrés. L’organisation est souvent obligée par la loi d’informer les personnes dont les données personnelles peuvent avoir été compromises dans un délai spécifié.

Les organisations sont également soucieuses de contenir les risques et les atteintes à la réputation en identifiant le plus rapidement possible les données piratées. Effectuer un examen linéaire de chaque document dans un ensemble de données compromis serait coûteux et lent. Lancer des corps sur l’ensemble du corpus de données donne des résultats inégaux et augmente inutilement les coûts.

Tirer parti des spécialistes de l’analyse et de l’interrogation des données

Lorsque les enjeux sont élevés, le temps est court et les budgets sont faibles, le moyen le plus efficace et le plus efficient de déterminer le « Quel et qui » de l’analyse et du signalement post-infraction consiste à engager une équipe d’enquête qui peut appliquer des techniques d’interrogation des données et tirer parti de tous les outils de haute technologie de la boîte à outils pour séparer les données inutiles des pépites d’informations confidentielles personnelles et professionnelles que les pirates peuvent avoir trouvé. La meilleure façon de découvrir quoi et qui est touché est de faire appel à une équipe spécialisée d’experts en interrogation de données capables de tirer parti des analyses pour séparer rapidement les données en deux grandes catégories – celles qui ne contiennent probablement pas de données personnelles, sensibles ou confidentielles et celles qui nécessitent plus examen minutieux. L’équipe OpenText fait référence à cette méthodologie comme examen d’investigation analytique rapide ou RAIR.

Tirez la citation : « Nous savons qu’une très grande quantité de données a potentiellement été exfiltrée, mais lorsque nous entrons pour analyser ce qui a été pris, nous n’allons pas simplement jeter des corps sur le projet pour examiner l’ensemble du corpus de données » Tracy Drynan, consultante principale, OpenText Recon Service des enquêtes

La phase 1:

Lors de la phase initiale, RAIR implique un expert hautement qualifié en interrogation de données qui passe un certain temps à s’immerger dans les données. L’expert RAIR est formé pour acquérir rapidement une compréhension de la structure sous-jacente et des modèles au sein de l’ensemble de données afin de découper efficacement de larges pans de données, en séparant les données qui contiennent probablement des informations personnelles de celles qui peuvent être ignorées. Les communications professionnelles banales, par exemple, sont peu susceptibles d’être préoccupantes.

L’analyse est importante

L’expert RAIR utilise tous les outils analytiques disponibles et les connaissances de l’organisation, y compris les outils d’analyse de communication, l’analyse de domaine et la connaissance de la structure de l’organisation et des modèles de communication, pour isoler un ensemble de données beaucoup plus petit pour examen par l’équipe d’analyse et de rapport.

Phase 2:

Dans la phase secondaire, une petite équipe d’analyse et de rapport des données effectue un examen ciblé et extrait les détails critiques – le quoi et le qui – aux fins de créer le rapport de violation de données. Ici aussi, l’équipe exploite toutes les analyses textuelles et de reconnaissance de formes disponibles pour identifier et extraire des informations personnelles avec une vitesse et une précision maximales.

La clé est que des personnes intelligentes utilisent une technologie intelligente pour résoudre des énigmes et repérer des motifs, mais il n’y a pas de bouton facile. La technologie et la jurisprudence dans ce domaine complexe en sont à leurs balbutiements.

Qu’en est-il de l’examen assisté par la technologie ?

Contrairement aux litiges liés à la découverte électronique (examen sortant ou entrant pour la production), même les formes avancées d’examen assisté par la technologie (TAR) qui s’appuient sur des protocoles d’apprentissage automatique continu ou actif continu sont d’une utilité limitée dans l’analyse et le signalement des violations de données. Voici pourquoi.

Qu’est-ce qui est « raisonnable » pour l’analyse des violations ?

L’acceptation du TAR dans la profession juridique repose sur ce qui est maintenant une norme largement acceptée de caractère raisonnable pour l’examen des documents à produire dans le cadre de litiges ou d’enquêtes réglementaires. Cependant, en matière d’analyse et de signalement des violations de données, il n’existe pas encore de directives (des tribunaux ou des groupes de réflexion tels que le Conférence de Sedona) sur ce qui constitue une norme raisonnable.

Bien qu’être correct à 98 % soit plus que raisonnable et diligent dans un examen eDiscovery pour le paradigme de production, dans le contexte d’une réponse à une violation, est-il acceptable que 2 % de toutes les informations personnellement identifiables (informations sur la santé, numéros de carte de crédit, numéros d’assurance sociale) non déclaré ?

La voie à suivre

Jusqu’à ce que la technologie et la loi sur l’analyse et le signalement des violations de données soient mieux établies, il y a plus de questions que de réponses. Ce qu’une approche RAIR fait dans ce paysage évolutif et complexe, c’est de fournir un moyen défendable et pratique de répondre à quoi et qui se questionne sur l’analyse et le signalement des violations de données.

Pour en savoir plus sur OpenText eDiscovery & Investigations Services, y compris l’analyse des réponses aux violations et les rapports, cliquez sur ici.