1. Вас взломали!? Как общаться с
внешним миром?
Алексей Лукацкий
Security Business Development Manager
InfoSecurity Moscow 2005 © 2005 Cisco Systems, Inc. All rights reserved. 1/34

2. Содержание
• Сообщать об инциденте или нет?
• Кому сообщать?
• Кто должен сообщать?
• Что и в каком объеме сообщать?
• Какова процедура взаимодействия с прессой?
• Примеры из жизни
InfoSecurity Moscow 2005 © 2005 Cisco Systems, Inc. All rights reserved. 2/34

3. Сообщать или нет?
InfoSecurity Moscow 2005 © 2005 Cisco Systems, Inc. All rights reserved. 3/34

4. Почему это важно
• Ущерб от инцидента обычно распадается на 3
основные составляющие
Финансовый урон
Уголовное или административное преследование
Удар по репутации и доверию
InfoSecurity Moscow 2005 © 2005 Cisco Systems, Inc. All rights reserved. 4/34

5. Хороший пример: SANS
• Сайт института SANS был взломан в середине
2001 года
• Для компании, занимающейся безопасностью,
хуже ситуации не придумаешь
• Грамотная работа с прессой позволила
минимизировать ущерб
InfoSecurity Moscow 2005 © 2005 Cisco Systems, Inc. All rights reserved. 5/34

6. Плохой пример: ChoicePoint
ChoicePoint – Зима 2004/2005
Падение курса
• Кража отчета с 145,000 акций
именами клиентов, номеров
кредитных карт и т.д.
Воздействие на бизнес
• Администрация штата Нью-
Йорка отказалась от
контракта с ChoicePoint на
сумму 800 миллионов
долларов
InfoSecurity Moscow 2005 © 2005 Cisco Systems, Inc. All rights reserved. 6/34

7. Когда не надо сообщать
• Небольшая малоизвестная компания
• Ущерб не коснулся клиентов и иных третьих лиц
• Вы на 100% уверены, что об этом никто не узнает
• Когда у вас нет доказательств
InfoSecurity Moscow 2005 © 2005 Cisco Systems, Inc. All rights reserved. 7/34

8. Сообщать или нет?
• В ряде стран это является требованием
законодательства
• Высока вероятность, что об этом все равно
станет известно из других источников
Хакерские сайты
Информационные агентства
Собственные сотрудники
InfoSecurity Moscow 2005 © 2005 Cisco Systems, Inc. All rights reserved. 8/34

9. К чему это ведет?
• Пользователей не вынуждают додумывать «что»,
«когда», «как» и т.д.
Среди пользователей есть и акционеры
• Пресса благосклонно относится к признанию
своих ошибок
При правильно построенном процессе
• Может привести к росту лояльности клиентов
Они видят, что их не обманывают
InfoSecurity Moscow 2005 © 2005 Cisco Systems, Inc. All rights reserved. 9/34

10. Кому сообщать?
InfoSecurity Moscow 2005 © 2005 Cisco Systems, Inc. All rights reserved. 10/34

11. Кому сообщать?
• Акционеры
• Сотрудники
• Клиенты
• Регулирующие и правоохранительные органы
• Разным аудиториям нужно предоставить разный
объем информации
InfoSecurity Moscow 2005 © 2005 Cisco Systems, Inc. All rights reserved. 11/34

12. Кто должен сообщать?
InfoSecurity Moscow 2005 © 2005 Cisco Systems, Inc. All rights reserved. 12/34

13. Члены CIRT / SIRT / CSIRT
• Ядро CIRT
Департамент ИТ
Отдел информационной
безопасности
Служба безопасности
Юридический департамент
• Вспомогательные службы
Public Information Officer / PR
InfoSecurity Moscow 2005 © 2005 Cisco Systems, Inc. All rights reserved. 13/34

14. Кто взаимодействует с внешним миром
• Только не CIRT
Служба безопасности – только с
регулирующими органами
Юридический департамент –
опосредованно с прессой
• Причины
CIRT и так занята основной
работой
Необходимо умение общаться с
неквалифицированной
аудиторией
InfoSecurity Moscow 2005 © 2005 Cisco Systems, Inc. All rights reserved. 14/34

15. Public Information Officer / PR
• Единая точка контакта с прессой
• Получение совета у юридического департамента
перед любым интервью или публикацией пресс-
релиза
• Получение разрешения у CIRT на то, что пресс-
релиз или интервью не содержат информации,
которая может помешать расследованию
• Сообщение всем сотрудникам, что все контакты
по поводу инцидента должны вестись только
через PIO / PR
InfoSecurity Moscow 2005 © 2005 Cisco Systems, Inc. All rights reserved. 15/34

16. Юридический департамент
• Выступление в качестве
спикера или
интервьюируемого
• Проверка любого пресс-
релиза перед передачей
в прессу
InfoSecurity Moscow 2005 © 2005 Cisco Systems, Inc. All rights reserved. 16/34

17. Что сообщать?
InfoSecurity Moscow 2005 © 2005 Cisco Systems, Inc. All rights reserved. 17/34

18. Что обычно спрашивают?
• Что произошло?
• Каков ущерб/результат?
• Что было причиной?
• Это может повториться?
• Что надо сделать, чтобы
избежать этого впредь?
InfoSecurity Moscow 2005 © 2005 Cisco Systems, Inc. All rights reserved. 18/34

19. Как общаться со СМИ?
InfoSecurity Moscow 2005 © 2005 Cisco Systems, Inc. All rights reserved. 19/34

20. Как готовиться к интервью?
• Узнайте как можно
раньше об интервью
• Определитесь с
основными тезисами
• Поставьте себя на место
интервьюера,
предугадайте
«сложные» вопросы и
подготовьте на них
ответы
InfoSecurity Moscow 2005 © 2005 Cisco Systems, Inc. All rights reserved. 20/34

21. Как проводить интервью?
• Установите
взаимопонимание с
интервьюером
• Обеспечьте простые
объяснения сложных
технических
подробностей
• Ведите интервьюера к
поставленной вами цели
и не давайте вести себя
InfoSecurity Moscow 2005 © 2005 Cisco Systems, Inc. All rights reserved. 21/34

22. Как проводить интервью?
• Старайтесь уйти от темы
виноватого или будьте
скупы в ответе на такие
вопросы
• Обещайте все исправить
в кратчайшие сроки
И не удивляйтесь, если в
обещанное время вам
позвонят и спросят: «Ну
как?»
InfoSecurity Moscow 2005 © 2005 Cisco Systems, Inc. All rights reserved. 22/34

23. Как проводить интервью?
• Используйте
предложения, короткие
«как выстрел»
• Не знаете что-то, так и
скажите и пообещайте
найти ответ (и не
забудьте найти его)
• Не запугивайте и не
угрожайте
InfoSecurity Moscow 2005 © 2005 Cisco Systems, Inc. All rights reserved. 23/34

24. Как проводить интервью?
• Устраните весь негатив.
А еще лучше превратите
его в позитив
• Будьте дипломатичны и
всегда говорите правду
• Оденьтесь
соответственно
InfoSecurity Moscow 2005 © 2005 Cisco Systems, Inc. All rights reserved. 24/34

25. Как проводить интервью?
• Избегайте
психологического
дискомфорта – не виляйте
взглядом, не сутультесь…
• Обязательно попросите
прислать готовый
материал для просмотра
• Не забывайте, что вы
интервьюируемый – вы
можете прекратить
интервью в любое время
InfoSecurity Moscow 2005 © 2005 Cisco Systems, Inc. All rights reserved. 25/34

26. Несколько примеров
InfoSecurity Moscow 2005 © 2005 Cisco Systems, Inc. All rights reserved. 26/34

27. Пресс-релиз Microsoft
InfoSecurity Moscow 2005 © 2005 Cisco Systems, Inc. All rights reserved. 27/34

28. Пресс-релиз «Северной Казны»
InfoSecurity Moscow 2005 © 2005 Cisco Systems, Inc. All rights reserved. 28/34

29. Пресс-релиз Cisco Systems
InfoSecurity Moscow 2005 © 2005 Cisco Systems, Inc. All rights reserved. 29/34

30. Пресс-релиз Лаборатории Касперского
InfoSecurity Moscow 2005 © 2005 Cisco Systems, Inc. All rights reserved. 30/34

31. Пресс-релиз ChoicePoint
InfoSecurity Moscow 2005 © 2005 Cisco Systems, Inc. All rights reserved. 31/34

32. Вопросы
InfoSecurity Moscow 2005 © 2005 Cisco Systems, Inc. All rights reserved. 32/34

33. Дополнительные вопросы можно задать
по электронной почте
security-request@cisco.com
InfoSecurity Moscow 2005 © 2005 Cisco Systems, Inc. All rights reserved. 33/34

34. InfoSecurity Moscow 2005 © 2005 Cisco Systems, Inc. All rights reserved. 34/34