法規合規性：董事會對資訊安全長提出的首要問題

到目前為止，我們已經討論了如何與您的董事會溝通網路風險暴露、網路風險緩解計劃，以及事件發生時的盡職調 查等議題。依邏輯性順序來看，您需要準備回答的下一個問題應與網路安全法規合規性有關。

如同我們所知道的狀況，我們的業務會受到多項產業和政府法規所管控。當您發生事件 (或懷疑遭到威脅) 時，將 會觸發來自許多不同實體的大量問題，其中大部分都會與對於數據和營運的安全性和完整性所造成的衝擊有關。您 必須做好準備以更有效地回應這些問題。現在就讓我們討論該如何做好準備來回答「我們該如何回覆與法規或其他 合規性有關的詢問？」

應思考的隱含問題：

• 是否有哪些系統程序、儲存或傳輸管制數據容易遭到暴露？
• 如果有的話，我們需要通知哪些人？我們是否已經通知他們？
• 我們必須熟知哪些規範？
• 應如何追蹤補救活動？

網路安全法規合規性：我們應該在何時說什麼話？

從發現弱點的那一刻起，監管機構將需要知道您如何評估及緩解您的攻擊範圍弱點。他們會想要知道與您的資產目 錄有關的詳細資訊，包括您是否能找出存在於環境中的弱點；溝通的內容；是否有任何潛在的入侵執行個體，如果 有的話，是否能立即通知適當的監管機構；已執行哪些緩解及補救措施，以及任何學到的經驗等等。

簡單來說，監管機構會需要知道您是否有任何現有的程序以及採取哪些動作來將任何易遭攻擊資產的衝擊降到最 低。通常當監管機構涉入時，代表顧客和/或客戶也已涉入 (例如，他們的個人識別資訊已遭竊)，或者對於您的產 業/部門構成潛在的風險 (例如，以電網為目標進行攻擊)。因此，您不必害怕或閃避這些詢問，他們只是想要得到 審慎且毫無隱瞞的回應。

這將有助於將潛在的進一步損害降到最低 (例如，對品牌或聲譽的損害)。若入侵已經對您的企業 (和您的客戶) 造 成衝擊且您已展現了因應的方式 (阻斷、解決和汲取經驗)，相較於隱瞞事實，對於您的企業聲譽會有較正面的 影響。

事件回應的後續：最重要的是建立深厚的關係

當您正在處理事件時，您會發現與外部顧問和事件回應廠商之間的既有關係將會讓您感覺安心不少。請立即與他們 聯繫並開始建立這些關係。了解他們的分類程序並取得他們的手機號碼。您應該主動與他們聯繫，畢竟當您因為處 理這些事件而感到心煩意亂時，這些良好的關係將會成為您最大的助力。

您可以考慮向事件回應廠商告知您的 事件回應計劃 並徵詢他們的意見。您可以試著將他們導入您的事件中，因此當 這些專家開始介入並執行完整調查時，您就會了解他們做了哪些事，並確定他們能夠判斷到底發生了什麼事。

您應該與您的聘用團隊保持良好的關係 — 確認他們能夠處理與法律及法規合規性義務有關的所有必要活動。您也 應主動聯繫您的法律團隊，以確認您能了解您在不同司法管轄區中的法規義務，尤其當您任職於跨國公司時更應該 這樣做。

此外，您可能會考慮與監管機構建立關係。有時候，這些監管機構會是最了解整個威脅形勢的一群人，他們可以協 助您對於即將發生的事件做好準備。請不要認為您的數據不會遭竊，監管機構對於這樣的事情其實並沒那麼關心。 他們的焦點永遠在於找出新的威脅和入侵。相形之下，他們可能比較關心在您的企業中可能會存取數據的任何潛在 攻擊者，即時沒有任何證據證明這些數據已經從您的企業洩露出去。

您也可以利用這個機會展現您是如何處理這些威脅 (例如，我們將它從事件中抽離、在整個攻擊鏈中向前和向後進 行分析，以了解可能發生哪些事件或者已發生哪些事件)，這將可協助監管機構更清楚了解您的程序和計劃是否確 實，以更為順暢地處理未來的事件。

請觀看這部影片以深入了解如何與您的董事會討論網路安全法規合規性相關議題：

取得聯繫

若您需要事件回應服務，請記得透過您的網路保險公司向 Unit 42 進行洽詢。

若您認為自己可能已遭到 Log4j 弱點或任何其他類型的重大攻擊，請 與 Unit 42 聯繫以洽詢相關團隊成 員。Unit 42 事件回應團隊提供全年無休的服務。您也可以申請主動式評估來採取預防性的步驟。