Incidenthantering: Snabbfixarens lagning spricker snart i sömmen

2017-07-06

Det sårbara samhället är i fokus lite mer än vanligt just nu. Tänk vad det skrivs mycket om stora sjukhus, fraktbolag, resebolag och myndigheter som råkar illa ut. Deras verksamheter står stilla i flera dagar på grund av cyberattacker, som t.ex. WannaCry och Petya. De sistnämnda är exempel på skadlig kod som kidnappar och ”låser in” företagens digitala information. Tekniskt sett görs detta genom olika typer av kryptering och resultatet blir att de anställda inte kan komma åt sina dokument, kalkyler, bilder, källkod, ritningar, etc. De drabbade uppmanas att betala en lösensumma för att (i bästa fall) få tillbaka informationen.

Skadlig kod som effektivt stoppar en verksamhet får mycket uppmärksamhet idag. Det är svårt för företagen att dölja skadans konsekvens, även om de säkert skulle vilja att kunder och massmedia inte uppmärksammar det. Resultatet efter många intensiva timmar för personalen och inhyrd expertis blir oftast att IT-miljön fungerar igen och fokus blir då på att arbeta in förlorad tid. Det finns inte utrymme för att summera situationen, reflektera över hur det kunde ske och förhindra att det händer igen. Nu är det ”business as usual” som gäller. I bästa fall reagerar någon ekonomiansvarig över att leverantörsfakturorna är större än vanligt, men det är ju klart att en sån här händelse kostar pengar…

Kommer denna typ av incident att kunna hända igen? Ja, troligtvis. Vet det drabbade företaget hur de ska undvika att det inträffar igen och att faran är över? Troligtvis inte. För om en säkerhetsincident endast löses genom ominstallation och återställning av backup, så har man missat värdefull erfarenhet. För de företag som parallellt med incidenthanteringen utför bevissäkring och analys ges en möjlighet att kunna se på vilket sätt skadan kan begränsas och hur IT-miljön kan förbättras efter incidenten. Varje månad kommer det i snitt mellan 7-11 miljoner nya publikt kända varianter av skadlig kod. Det är förlegat att endast förlita sig på att ett uppdaterat antivirusprogram eller brandvägg kommer att skydda organisationen! Det krävs mer av både de anställda och IT-miljön.

Säkerhetsarbete handlar om att känna till vilka säkerhetsrisker som finns och hantera dem på ett sätt som är relevant för verksamheten. Omedvetet risktagande är inte bra för någon verksamhet. Det brukar för eller senare resultera i oplanerade utgifter, förlorade intäkter, minskat förtroende och många sömnlösa nätter.

Vårt tips är att satsa på förebyggande åtgärder och ett aktivt säkerhetsarbete.

  1. Fundera över hur mycket det skulle kosta er verksamhet att ofrivilligt stå still i ett dygn.
  2. Vad skulle det innebära om ni inte kan få tillbaka det senaste dygnets producerade digitala information?
  3. Gör en lägesbild över er incidentberedskap. Har ni en incidenthanteringsplan och kommer den att fungera i praktiken?
  4. Simulera och utvärdera hur ni skulle hantera ett antal rimliga angreppssituationer om de hände idag. Vilken kompetens har ni själva och vilken typ av kompetens behöver kontaktas?
  5. Vem kommer att ta ansvaret som incidentledare och säkerställa att rätt beslut fattas på det underlag som finns?
  6. Öka medvetenheten hos personalen för vanliga hot på Internet.
  7. Komplettera era interna rutiner och IT-miljö för att förebygga allvarliga och kostsamma säkerhetsincidenter.

Även om det i media berättas om stora organisationer som drabbas, så kan vi intyga att det är ännu fler små och medelstora företag som råkar illa ut.

Att effektivt upptäcka och inom 72h rapportera säkerhetsincidenter som omfattar personuppgifter kommer dessutom att bli en skyldighet genom lag nästa år. Det gäller alla typer av bolag, oavsett storlek. Lagen är EU:s nya dataskyddsförordning, som oftast benämns GDPR. Mer om vad det innebär kommer vi att behandla i framtida artiklar.

Det vi skriver om kan verka avskräckande, men vi hoppas att ni inte slutat läsa på grund av det! Det kommer mycket positivt ur ett förebyggande säkerhetsarbete och vi anser att det är bättre att känna till vilka säkerhetsrisker som finns och hantera dem istället för att bli överraskad. Er verksamhet kan få många fördelar av ett aktivt säkerhetsarbete. Det har vi sett hos flera kunder redan.

- DinGard