Cyber Incident Response - 5 punkter til din digitale beredskapsplan
Hva er Cyber Incident Response
Cyber Incident Response (beredskap for IT-sikkerhet) er et sett med retningslinjer og prosedyrer for informasjonssikkerhet. Digitale angrep har ikke bare økt, men også blitt mer skadelige og ødeleggende. Hensikten med Incident Response er å gjøre en organisasjon i stand til raskt å oppdage og stoppe angrep, minimere skader og forhindre fremtidige angrep av samme type.
Hvorfor må du ha en Incident Response-plan (beredskapsplan)
Forebyggende IT-sikkerhet i virksomheten kan redusere antall sikkerhetsbrudd, men dessverre kan ikke alle forebygges. En krise kan føre til stor fare for en bedrift som kan vare i dager, men også måneder. Dette kan ende opp med store økonomiske tap, skade av omdømme eller ansatte. God hendelseshåndtering vil føre til at sikkerhetstruende situasjoner blir håndtert effektivt og korrekt. Derfor er det viktig med en beredskapsplan som tar for seg hvordan du raskt skal oppdage hendelser, minimere tap, redusere svakhetene som ble utnyttet og gjenopprette systemene dine.
5 punkter din Incident Response-plan bør inneholde
Bedrifter som kommer best ut av en krise er de med en beredskapsplan som de har trent på. Det er viktig å ha en ledelse av krisehåndtering som har god kunnskap om egen bedrift, hvem som er har de forskjellige roller, og hvem som trengs å kontaktes for å være best mulig forberedt.
1. Rolleavklaring - hvem gjør hva
Dette må defineres på forhånd, og gjerne planlegg en stedfortreder ved eventuell sykdom. De fleste større bedrifter har et kriseteam som trener på nødsituasjoner, men dette er ikke alltid tilfelle for mindre og mellomstore virksomheter. Viktige roller er IT-ansvarlig og kommunikasjonsansvarlig. IT-ansvarlig tar ansvar for det tekniske, og er hovedkontaktpersonen til Incident Response-teamet hos et IT-sikkerhetsfirma. Kommunikasjonsansvarlig håndterer informasjonsflyt med de ansatte og kunder. Større bedrifter har gjerne også en egen person som tar ansvar for GDPR/personvern, en som tar hånd om logistikk og en som dokumenterer underveis.
Hvem som gjør hva, og hvor mange som skal ha kriseansvar kommer an på størrelsen på virksomheten din. Du bør uansett ha dette planlagt og dokumentert i forkant, og trene på sikkerhetsscenarioer med jevne mellomrom.
2. Kontinuitetsplan - drift under en sikkerhetshendelse
Under ett angrep kan programmer, prosesser og systemer være utilgjengelig. Man trenger derfor en plan som begrenser stans i driften ved å ha andre løsninger på plass. Det sørger for at bedriften kan fortsette å levere produkter eller tjenester på et akseptabelt nivå fram til dere er tilbake til vanlig drift. Lag flere planer basert på ulike hendelser bedriften er spesielt sårbar mot. Dette kan for eksempel være å ha et lager med klarete maskiner som ansatte kan bruke til å koble seg opp til bedriftens nettverk, hvis det er kun maskinene som ble skadet under ett type angrepet de er sårbare mot. Det kan også være en idé å gå til innkjøp av egne sim-kort til datamaskinene som kun brukes i en nødssituasjon.
3. Kommunikasjon under et sikkerhetsbrudd
Opplever virksomheten din et sikkerhetsbrudd eller angrep, så har angriperen mest sannsynlig kommet inn gjennom en phishing-epost. Det betyr at epost mest sannsynlig er kompromittert som kommunikasjonskanal, og dere må ta en avgjørelse på hvordan dere da skal snakke sammen under sikkerhetsbruddet. Det kan være Signal eller andre kanaler som tilbyr kryptert dialog. Har du en IT-sikkerhetspartner, så snakk med dem i forkant om de tilbyr klarerte datamaskiner, telefoner og nettverk dere kan benytte til internt og eksternt bruk mens de håndterer sikkerhetshendelsen.
4. Oversikt over kritisk infrastruktur
For at bedriften din skal best mulig klare å håndtere en alvorlig uforutsett hendelse, handler det om at man har god kunnskap om egen virksomhet. Få en oversikt over hva som er mest kritisk å ta vare på for at bedriften skal komme fortest mulig tilbake til normaltilstand. Lag derfor en liste over bedriftens mest kritiske infrastruktur som systemer, nettverk og data. Prioriter deres backup (sikkerhetskopiering). Ha en god rutine og dokumentasjon på hvordan gjenopprette disse systemene. Dokumentasjonen skal også inkludere lokasjonen av sikkerhetskopiene, slik at det går raskt og enkelt få de opp igjen. Les mer om backup-plan. Vi anbefaler også en sentrallogg-tjeneste som en SOC, slik at loggene blir tatt vare om du skulle bli utsatt for større sikkerhetsbrudd som for eksempel Ransomware.
Har din virksomhet behov for en gjennomgang av IT-sikkerhetssystemer og nettverk?
Les mer om Cyberon IT-sikkerhetsgjennomgang
5. Hvem kontakter du under et digitalt angrep
Beredskapsplanen bør inneholde kontaktpunkter som Datatilsynet, Kripos og sikkerhetspartner. Del også gjerne vårt skjema for ansatte under en sikkerhetsbrudd med alle i bedriften din.
Med en dedikert incident response-avtale fra Cyberon Security får du umiddelbar hjelp fra våre sikkerhetseksperter. Vår prioritet er å få deg tilbake i drift raskest mulig på sikrest mulig måte. Avtalen inkluderer et eget beredskapssett med klarerte datamaskiner, mobiltelefoner, nettverk og lagringsenheter, slik at du kan kommunisere trygt med oss og dine kunder mens vi håndterer dataangrepet. Uavhengig om du har avtale med Cyberon, så kan du alltid ringe vår døgnåpne vakttelefon.
Snakk med Cyberon om Incident Response-avtale
Ønsker du å høre mer om en Incident Response-avtale med Cyberon
Security? Fyll ut skjemaet under: