Cosa devo fare quando le informazioni riservate sono rimaste su un laptop non autorizzato?

Per un po 'di tempo ero solito lavorare all'IT Airforce Base e in realtà abbiamo avuto un paio di incidenti come questo.

Prima di tutto, assicurati di informare le autorità competenti dell'incidente. Saranno in grado di istruirti ulteriormente sulla base delle loro attuali politiche di sicurezza.

1. È necessario isolare l'accesso al laptop. Spegnilo completamente, avviare il BIOS e disabilitare i dispositivi di rete. Se ce ne sono wireless, assicurati che siano disattivati.

2. Assicurati che la proprietà identifichi il materiale classificato e il portata di dove potrebbe risiedere sul tuo sistema. E prendi il giusto passi per rimuoverlo.

3. Quindi deframmentare il disco rigido e trovare un'utilità per spingere tutto il file esistenti sul disco rigido nella parte anteriore dell'unità. Allora lei può tranquillamente eseguire un'utilità per cancellare in modo sicuro lo spazio rimanente sul disco.

Questa è una tecnica comune utilizzata per ripulire un sistema, ma non tentare di farlo senza prima riportare l'incidente e verificare di disporre dell'autorizzazione per eseguire queste azioni. Diversi tipi di incidenti richiedono risposte diverse ed è imperativo identificare correttamente il problema in modo da poter intraprendere le azioni corrette. I passaggi sopra non sono una soluzione per ogni incidente. Sono solo un buon punto di partenza generico.

Questo è un incidente che devi gestire e suppongo che una risposta standard non sia stata dettagliata nella documentazione.

Comprendi che il tuo sistema non funziona correttamente. Non funziona come previsto.

1. Isolare il sistema [che indica la (e) rete (i) e la struttura fisica, se possibile] per impedire che i dati lascino il sistema. Abbiate cura di causare il minimo cambiamento possibile delle singole risorse. Vuoi che lo stato delle risorse rimanga costante finché non puoi valutarle.
2. Identifica la fonte o le fonti della perdita di dati.
3. Isolare la fonte di perdita o le fonti per prevenire ulteriori contaminazioni nel sistema. Di nuovo, cerca di conservare lo stato attuale il più possibile. Ciò ti aiuterà a identificare i beni contaminati dalla fonte.
4. Identifica tutte le risorse che potrebbero essere state contaminate dalla fonte o dai sorgenti.
5. Isolare le risorse potenzialmente contaminate. So che sta diventando ripetitivo, ma preservare il più possibile lo stato di ogni risorsa. Queste risorse ti aiuteranno a valutare l'entità della contaminazione.
6. Tratta tutte le risorse potenzialmente contaminate a livello di contaminazione. In questo caso TS.
7. Verifica che le risorse rimanenti non siano contaminate.
8. Respirare, avere qualcosa da mangiare o da bere, fare una breve pausa, perché il resto della giornata / settimana / mese sarà doloroso.
9. Discutere e pianificare la bonifica delle risorse contaminate. Pianificare bene qui ti consentirà di capire la portata del problema, chi è interessato e quanto tempo ti aspetti che prenda.
10. Esegui il piano di riparazione e segnala periodicamente sullo stato di avanzamento.
11. Il dolore
12. vacanze

Has anyone ever had to deal with an unauthorized laptop accidentally getting Top Secret level data on it?

Non l'ho fatto. Sono stato coinvolto nel contenimento e nella risoluzione dei dati sensibili.

How did you quarantine the system?

Non sono stato coinvolto con il sistema contaminato primario, solo con sistemi secondari.

Per i sistemi sospettati di contaminazione:

• Segnale di avviso dell'area riservata pubblicata sulla porta.
• Chiuso a chiave la porta.
• Rimosse le comunicazioni di rete.
• Spegni il sistema per preservare il più possibile lo stato corrente.
• Analizzato il sistema per verificare la presenza di dati in questione.
• Se rilevato, sposta il sistema in un'area sicura per la disinfezione.

Were you required to turn in the entire laptop or were you able to destroy/format the HDD?

L'agenzia coinvolta determinerà l'azione da intraprendere e le politiche e le pratiche potrebbero variare da un'agenzia all'altra.

Non ho esperienza personale, ma dato che TS è descritto come "Tale materiale potrebbe causare" eccezionalmente grave danno "alla sicurezza nazionale, se reso pubblicamente disponibile." Mi aspetto che ogni componente fisico dell'oggetto precedentemente noto come laptop sarà schiacciato, fracassato, fuso, sciolto, estruso, triturato e usato come bersaglio in una gamma di artiglieria.

La conseguenza del rilascio delle informazioni rispetto al valore del laptop, dell'altro software e dei dati sul laptop, e qualsiasi altro adiacente valore aggiunto, rende chiaro che impedire il rilascio dei dati vale il costo di distruzione totale del laptop.

Se l'informazione è di quel livello elevato, dopo che le parti di isolamento e di medicina legale sono state eseguite, non lascia mai l'organizzazione funzionale e in un unico pezzo. Si può cancellare e riutilizzare in modo sicuro a scopo di utilizzo con la stessa alta classificazione, se necessario, ma ancora una volta - rimane all'interno dell'organizzazione. Quando il laptop è pronto per il ritiro, viene cancellato in modo sicuro e distrutto fisicamente.

E se la tua organizzazione ha a che fare con informazioni Top Secret , allora l'informazione è ciò che è valutato di più ed è di massima priorità. In tal caso, il costo di un laptop non viene scambiato per il costo delle informazioni.

I due problemi principali nella giurisdizione qualsiasi dovrebbero essere:

• notifica all'organismo competente
• proteggere la risorsa (in questo caso sono i dati - non il laptop)

L'organismo notificato ti dirà esattamente cosa fare con il dispositivo, quindi non dovresti aver bisogno di capire cosa devi fare da quel momento in poi, ma a seconda del tuo ambiente dovrai decidere una linea d'azione prima di ricevere una guida.

Se sei un'organizzazione che generalmente gestisce le informazioni di TS dovresti avere un documento di procedura - seguilo!

Ho avuto un problema simile quando stavo consultando l'NSA. Avevano alcuni dati classificati che dovevano essere analizzati sul nostro hardware specializzato. Hanno insistito sulla distruzione fisica del disco rigido e della RAM.

Sono ancora piuttosto sconcertato perché la RAM debba essere distrutta fisicamente. Hanno detto che la regola era tutto ciò che può memorizzare i dati. Ma la CPU può immagazzinare dati - ha cache e registri che memorizzano anche i dati. E la RAM è volatile come la CPU.

Ma quella era la regola, quindi è quello che abbiamo fatto.

Comprendi che la domanda rilevante non è "come disinfettiamo i dati" (un avvio rapido a DBAN lo farebbe) ma "come possiamo rimediare a questo errore in modo da ripristinare la fiducia nel sistema". Ecco perché le procedure appaiono così dannatamente stupide a volte: soprattutto a seconda dei dati coinvolti, la fiducia nel sistema potrebbe essere più preziosa dei dati stessi.

Notifica al responsabile della sicurezza e isola il sistema. Non tentare di riparare da soli. Lascia che puliscano l'unità, ma, cosa più importante, lascia che agitino la loro bacchetta magica sul sistema e restituisca tutto allo status quo. Molto probabilmente, la cerimonia è ancora più importante dei dati.