W sprawach o przejęte konto sama deklaracja, że doszło do hacka, rzadko wystarcza. Amazon zwykle potrzebuje krótkiej, wiarygodnej osi czasu: kiedy pojawił się nieautoryzowany dostęp, co zostało zmienione i jakie działania naprawdę odcięły ryzyko.
Zapisz incydent jak zdarzenie, nie jak opinię
- Ustal pierwszy moment podejrzanej aktywności.
- Zapisz, które dane, użytkownicy albo ustawienia zostały zmienione.
- Oddziel skutki incydentu od wcześniejszych problemów konta.
Dobra oś czasu nie musi być długa. Ma pokazać logiczny ciąg zdarzeń i to, że dostęp został odzyskany oraz uporządkowany.
Hack często tworzy problemy poboczne
Incydent bezpieczeństwa może wygenerować fałszywe powiązania z innym kontem, zmiany w banku lub dziwne działania katalogowe. Warto je opisać jako skutek, a nie jako osobne niewyjaśnione ryzyko.
Dopiero po takiej rekonstrukcji można uczciwie zdecydować, czy sprawa jest czystym przypadkiem przejętego konta, czy miesza się z inną kategorią, którą trzeba oddzielić przed następnym zgłoszeniem.