Tiden er avgjørende når det skjer en større hendelse.
– En time fra eller til kan faktisk være avgjørende for hvor alvorlige konsekvensene blir, sier ekspert.
Christer Berg Johannesen er leder for teknisk sikkerhetsrådgivning i cybersikkerhetsselskapet Defendable og har vært involvert i håndtering og skadebegrensning etter flere store sikkerhetshendelser og angrep mot norske og utenlandske virksomheter.
Christer Berg Johannesen
Leder for teknisk sikkerhetsrådgivning Defendable
Han sier at det aller viktigste når noe skjer, er å få et dedikert og erfarent team for hendelseshåndtering (IRT) på plass for å kunne bistå organisasjonen med å få oversikt og begrense skade. Disse er eksperter på å håndtere slike situasjoner, og har erfaring med å løse problemer raskt og effektivt.
– Det primære fokuset er alltid å få gjenopprettet normal drift så raskt som mulig, og samtidig sikre systemene slik at ikke disse forblir sårbare overfor nye angrep. Da handler det om å organisere og koordinere arbeidet med å motvirke angrepet og bygge opp systemene solid fra grunnen av. Når bedriften er oppe og står igjen, vil et team som dette i tillegg kunne hjelpe til med oppgaver som reduksjon av risiko, identifikasjon av hvorfor ting har skjedd, samt å forfatte rapport om hendelsene, sier han.
Med dagens avanserte digitale trusler, er det ikke til å komme fra at et angrep i verste fall kan true en bedrifts eksistens. Da hjelper det også å være forberedt.
– Det er klart at håndteringen kan være mer effektiv når vi allerede kjenner bedriftens systemer og infrastruktur. Da har vi på forhånd utarbeidet planer, rutiner og har oversikt over kontaktpersoner – og kan derfor reagere hurtig og optimalt når et angrep skjer.
Bedriften kan bli ansvarlig
Dagens trusselaktører er dessverre både dyktige og kreative. Det gjør at de stadig finner nye måter å utnytte data fra innbrudd på.
– Moderne angrep er delt i flere faser. Først handler det om å påføre skade og få utbetalt løsepenger. De siste årene har vi imidlertid også sett at de i stadig større grad også går etter kunder og persondata, som kan ende opp med å bli solgt på det mørke nettet, sier han.
Angriperne krypterer altså først offerets filer, ofte i så stor grad at maskinen blir ubrukelig. De stjeler også data, som deretter benyttes til utpressing av både offeret selv, men også offerets kunder, ansatte og øvrige kontaktnettverk.
Blir man utsatt for et dataangrep som fører til at kundedata, og særlig persondata, kommer på avveie, risikerer bedriften i verste fall store bøter fra myndighetene – i tillegg til de direkte konsekvensene av at systemene er nede og personopplysninger kan være eksponerte, sier Johannesen.
– Å investere i sikring før et angrep skjer blir dermed enda viktigere enn mange tror, sier senior sikkerhetsanalytiker i Defendable, Håkon Prestvik.
Håkon Prestvik
Senior sikkerhetsanalytiker Defendable
Han ser daglig eksempler på bedrifter som ikke tar sikkerheten på alvor, og mye handler om ganske enkle grep.
– Det kan være utstyr som ikke blir oppdatert, naive passordsystemer som er lette for kriminelle å finne ut av eller brukerkontoer som ikke blir slettet når ansatte slutter. Kriminelle bruker programvare som aktivt leter etter slike svakheter, for å velge seg ut mål og automatisk angripe systemene.
– Ingen hendelser med aktiv overvåkning
Defendable er totalleverandør av sikkerhetstjenester til flere offentlige og private virksomheter. Det innebærer at de også driver 24/7-overvåkning av nettverkene til flere av kundene. Såkalt Managed Detection and Response (MDR) handler om å alltid være i forkant av angrepene og oppdage dem før de utvikler seg til noe alvorlig.
– Vi har faktisk aldri hatt behov for å håndtere større hendelser i miljøer der vi har aktiv overvåkning. De store konsekvensene får man der sikkerheten er for dårlig. Det er mange detaljer som må på plass, men i hovedsak handler det om grundige forberedelser og testing, god sikkerhetshygiene i hele organisasjonen og aller helst kontinuerlig, aktiv overvåkning av alle systemer, avslutter han.
Defendable
Norsk sikkerhetsselskap som er en del av NSMs kvalitetsordning for hendelseshåndtering og medlem av NSMs nasjonale cybersikkerhetssenter.
Hjelper bedrifter med å forsvare seg mot et stadig mer komplisert og økende digitalt trusselbilde.
Tilbyr blant annet rådgivning og risikovurdering, sikkerhets- og penetrasjonstesting, 24/7-overvåkning og hendelseshåndtering.