Застосування принципів кібербезпеки

"Особи, яких торкнувся інцидент з кібербезпекою YRDSB 8 листопада, будуть незабаром повідомлені"

Окружна шкільна рада Йоркського регіону (YRDSB) зазнала кібератаки 8 листопада 2023 року, що призвело до збою в роботі мережі. У цій статті йдеться про те, як постраждалі особи будуть повідомлені про цей інцидент з кібербезпекою, при цьому рада підтверджує, що доступ до фінансової інформації не був здійснений, і заявляє, що ризик неправомірного використання даних є низьким.

Читати статтю
інцидент з кібербезпеки в освіті з розчарованою жінкою перед ноутбуком

Аналіз заголовків: "Особи, які постраждали від інциденту з кібербезпекою YRDSB 8 листопада, будуть незабаром повідомлені"

Ось кілька варіантів, як можна було б змінити назву, щоб включити в неї принципи кібербезпеки, створивши більш прозорий і всебічний текст для користувачів.

Такому заголовку бракує конкретики і він не деталізує атаку на кібербезпеку, що потенційно може викликати непотрібний страх і невпевненість. Зосереджуючись на процесі та термінах повідомлення, а не на серйозності інциденту, вона відволікає увагу від повного впливу інциденту.

Підзаголовок "Доступ до фінансової інформації про сім'ї та студентів не здійснювався; повідомлення будуть надіслані з 7 по 28 червня" має на меті заспокоїти читачів, підкреслюючи, які дані не були скомпрометовані, але припускає, що доступ до іншої конфіденційної інформації міг бути здійснений.

Хоча рада мала мінімальні фінансові дані про сім'ї та студентів, вона все ж володіла значною особистою інформацією, особливо про персонал. Більш інформативний заголовок міг би зосередитися на фактах, таких як "YRDSB повідомить фізичних осіб про наслідки витоку даних: Фінансова інформація не постраждала". Ця переглянута назва відповідає на ключові питання і зменшує занепокоєння, підкреслюючи, що доступ до фінансових даних не був наданий.

Нинішній назві бракує емпатії та не передає серйозності ситуації для постраждалих осіб. Більш збалансована назва могла б бути такою "YRDSB розпочинає процес повідомлення про витік даних: Забезпечення безпеки та прозорості для постраждалих осіб". Такий підхід демонструє турботу про тих, хто постраждав внаслідок інциденту з кібербезпекою, а також про зусилля ради директорів щодо відповідального реагування на порушення кібербезпеки.

Назва не кидає виклик будь-якому хибному почуттю безпеки, яке може існувати. Вона може вказувати на заходи, що вживаються для запобігання майбутнім інцидентам, наприклад "YRDSB вживає заходів після інциденту з кібербезпекою: Повідомлення та превентивні заходи тривають". Це інформує читачів про те, що вживаються заходи для усунення прогалин у безпеці.

Назва має бути спрямована на інформування та навчання, а не на створення відчуття таємничості. "Проактивне реагування YRDSB на кіберінциденти: Детальні повідомлення, яких слід дотримуватися" може внести ясність і запевнити аудиторію в прозорості процесу. Більш привабливою назвою також може бути "Порушення кібербезпеки YRDSB підкреслює важливість захисту даних: Розпочато процес повідомлення". Це підкреслює критичну природу кібербезпеки та її реальний вплив, не роблячи подію сенсацією.

Аналіз тіла інциденту з кібербезпеки

Нижче наведені різні способи перегляду змісту цієї статті з урахуванням принципів кібербезпеки.

Основна частина статті робить гідну роботу, надаючи фактичну інформацію, не вдаючись до залякування, але її можна було б покращити, чітко пояснивши, що саме призвело до порушення і як воно сталося. Було б корисно додати розділ про те, як це може вплинути на аудиторію і які кроки вона може зробити, щоб захистити себе.

Звіт зосереджується переважно на точці зору шкільної ради і не містить співчуття до людей, які постраждали від цього інциденту кібербезпеки. Він може включати цитати або заяви тих, хто постраждав, з детальним описом їхніх занепокоєнь і реальних наслідків, з якими вони стикаються. Крім того, у ньому можна розповісти про те, як інцидент вплинув на довіру до навчального закладу та які заходи вживаються для відновлення довіри до шкільної ради.

У статті коротко викладено факти про дати та подальші кроки шкільної ради. Однак вона може поставити під сумнів адекватність заходів кібербезпеки школи та дослідити кроки, зроблені до і після порушення. Він може включати експертні висновки щодо того, чи є ці заходи достатніми і що ще можна зробити на різних рівнях (індивідуальному та регіональному), щоб запобігти цим інцидентам кібербезпеки.

Орган може провести більш детальне розслідування вразливостей, які були використані. Він повинен створити переконливий наратив, який пояснює інцидент, не додаючи зайвої інтриги. Пропонування висновків та уроків на основі цього інциденту допоможе читачам зрозуміти та застосувати інформацію у власній практиці.

Нарешті, у статті можна було б підкреслити довгострокові наслідки цього інциденту з кібербезпеки. У ній можна було б уникнути применшення значення інциденту, а натомість підкреслити його серйозність. Включення статистики або реальних прикладів подібних порушень допомогло б донести важливість надійних заходів кібербезпеки та потенційний вплив нехтування ними.

Ресурси

Переглянути ресурси для ЗМІ

KnowledgeFlow надає медіа-професіоналам експертні знання, ресурси та рекомендації для проведення глибоких інтерв'ю та досліджень на кібер-тематику. Наша кураторська сторінка допомагає журналістам створювати переконливі статті на такі важливі теми, як витоки даних, кібератаки та нові тенденції у сфері кібербезпеки. Ми зв'язуємо журналістів з досвідченими експертами та надаємо актуальну інформацію, щоб забезпечити точне та ефективне висвітлення подій, сприяючи підвищенню рівня обізнаності громадськості з питань кібербезпеки.

Переглянути ресурси

Умови використання

Ми вітаємо обмін нашими ресурсами і запрошуємо вас переглянути наші Умови використання. Ці правила покликані забезпечити чесний, відповідальний та ефективний обмін нашими матеріалами для підтримки вашої спільноти. 

Прочитайте Умови використання