Hvorfor hendelseshåndtering mislykkes: Hva mangler norske virksomheter?

Når virksomheter ikke klarer å fastslå hva som faktisk førte til et dataangrep, står de i praksis vidåpne for neste runde. Ressursknapphet, konstant brannslukking, mangelfull planlegging og sviktende oppfølging etter en hendelse gjør at mange norske organisasjoner aldri får avdekket det reelle problemet.

Dette er særlig relevant i Norge, hvor flere alvorlige angrep de siste årene – mot kommuner, helseaktører og leverandører – har vist at manglende innsikt i angrepsvektorer gjør at samme feil gjentas gang på gang.

De fleste virksomheter sliter med etteranalysen

En fersk internasjonal studie fra Foundry viser at 57 % av sikkerhetsledere hadde problemer med å finne den bakenforliggende årsaken til sikkerhets­hendelser det siste året. Norske sikkerhetseksperter peker på at tallene stemmer godt med situasjonen i Norge.

Den umiddelbare krisehåndteringen tar hele fokuset, og etteranalysen – selve læringsfasen – blir ofte nedprioritert. I praksis flyttes virksomheter raskt videre til neste hasteoppgave uten å forstå hvordan angriperen kom inn.

«Mange organisasjoner havner i en reaktiv spiral der de kun fokuserer på å stoppe det akutte angrepet. Det går på bekostning av forensics og rotårsaksanalyse, og gjør virksomheten ekstremt sårbar for nye angrep», sier Dray Agha, seniorleder i Huntress.

Uten rotårsaksanalyse forsvarer virksomheten seg med “bind for øynene” og risikerer å gjenta samme feil.

Motstandskraft bygges gjennom grunnleggende analyse – ikke bare gjennom brannslukking

Flere sikkerhetseksperter understreker at incident response ikke må behandles som en ren driftsøvelse. Altfor mange norske virksomheter – særlig innen offentlig sektor og kritisk infrastruktur – har gode rutiner for begrensning og gjenoppretting, men mangelfull kapasitet for forensics og etteranalyse.

«Robust hendelseshåndtering handler ikke bare om å få systemene opp igjen – men om å bruke dataene til å forbedre deteksjon, forebygging og risikostyring», sier Tom Moore, leder for digital forensics hos Blue Voyant.

Kriser består av tre faser:

1. Oppdagelse

2. Respons (akuttfasen)

3. Etteranalyse

Det er fase tre som bygger motstandskraft. Norske kommuner og småbedrifter hopper ofte over nettopp denne fasen – og blir dermed “sittende med samme sårbarhet” til neste gang.

Angriperne skjules i loggmangel – VPN og brannmurer overskriver data etter få timer

En av de største utfordringene i Norge er manglende loggdybde. Store deler av offentlig sektor mangler SIEM eller har svært begrenset kapasitet til logglagring. Mange VPN- og gateway-enheter overskriver lokalt lagrede logger i løpet av få timer.

Huntress anslår at rundt 70 % av sofistikerte angrep starter via VPN. Uten SIEM eller sentralisert logglagring forsvinner kritiske spor før forensics-teamet rekker å starte.

«Hvis en angriper er inne via VPN i et døgn før de beveger seg videre, er loggene allerede utslettet hvis du ikke har sentralisert lagring», sier Agha.

Dette er en betydelig utfordring for norske virksomheter som nå må møte kravene i NIS2, hvor nettopp logghåndtering, sporbarhet og hendelseshåndtering står sentralt.

Tjenester som MDR og XDR kan bidra med kontinuerlig forensisk datainnsamling og tettere samarbeid med etterforskere – noe som er kritisk for virksomheter som ikke har egne ressurser.

Uten forberedelser mister man beviser – og dermed innsikt i selve angrepet

Eksperter peker på at altfor mange virksomheter ødelegger bevis ubevisst:

• Servere reinstalleres for tidlig

• Midlertidige logger slettes

• Forensiske spor overskrives

• Angriperens bevegelsesmønster går tapt

Dette resulterer ofte i en gjentagende “intrång → lapping → nytt intrång”-syklus, som også flere norske virksomheter har opplevd de siste årene.

Planmessig hendelseshåndtering – ikke ad hoc

Et velfungerende hendelseshåndteringsteam bør være tydelig forankret hos CISO eller sikkerhetsansvarlig. Planen må definere roller på tvers av IT, drift, ledelse, jus og kommunikasjon.

Et godt rammeverk består typisk av:

1. Forberedelse

• Oppdatert incident response-plan

• Definerte roller og eskaleringsveier

• Testede scenarioer og tabletop-øvelser

2. Oppdagelse og analyse

• Sentralisert overvåking (SIEM/MDR/XDR)

• Forensic readiness

• Bruk av relevant trusselintelligens

3. Begrensning og gjenoppretting

• Hurtig tiltak uten å ødelegge bevis

• Validere systemer før gjenoppretting

4. Etteranalyse

• Strukturerte reviews

• Dokumentasjon av rotårsak

• Oppdatering av sikkerhetsarkitektur

5. Kontinuerlig forbedring

• Scenario-testing

• Trusselmodellering

• Kompetanseutvikling

Mange norske virksomheter baserer seg på NSM’s Grunnprinsipper, ISO 27035 og NIST CSF for å sikre helhetlig struktur.

Hvordan bryte angrepssyklusen

For å forhindre gjentatte innbrudd må virksomheter gjøre forensics til en naturlig del av hendelseshåndteringen – ikke en ettertanke.

Det innebærer:
🔹 Bevaring av bevis
🔹 Strukturert rotårsaksanalyse
🔹 Oppdatering av sikkerhetsdesign basert på læring
🔹 Ekstern bistand når intern kapasitet mangler

Særlig i Norge, hvor IT-miljøer ofte er små og presset stort, må virksomheter satse mer på forensic readiness som del av sin NIS2-modenhet.

«Når rotårsaksanalysen droppes, behandler man bare symptomene. Virksomheten står igjen med samme sårbarhet – og samme risiko», sier Bharat Mistry, fagleder i Trend Micro.

Norske virksomheter må bevege seg fra “slukk brannen først”-mentaliteten til en mer moden, datadrevet og kontinuerlig sikkerhetsprosess. Det er etter krisen at motstandskraften bygges.
Uten rotårsaksanalyse vil samme angrep kunne skje igjen – og i et norsk trusselbilde som blir stadig mer aggressivt, er det en risiko få har råd til å ignorere.

Klar for et proaktivt digitalt forsvar? Cyberon hjelper deg

Cyberon Security er din solide sikkerhetspartner og styrker din cybersikkerhet. Fyll ut skjema under eller kontakt oss på support@cyberon.no