Vad ska företagsledningen göra när hackern slår till?

Riskerna för att drabbas av cyberattacker kan minskas, bland annat med hjälp av rätt tekniklösningar och utbildning. Men hur och var börjar man? Och vad gör man om företaget utsätts för en attack?

Mycket av det viktigaste arbetet handlar om arbetet man gör innan man drabbas av en attack. Ett första steg för företagsledningen är att genom till exempel riskanalyser säkerställa att man gjort vad som är rimligt ur ett risk/kostnadsperspektiv för att minska risken att hackern slår till. Det kan handla om att rutiner och tekniska lösningar är på plats för att skydda information och system i tillräcklig grad och att de rutiner och processer som ska gå igång vid en incident är tränade och verkligen fungerar.

Steg två är att säkerställa förmågan att upptäcka intrång och incidenter. Enligt IT-säkerhetsföretaget Mandiant tar det i genomsnitt 146 dagar innan intrång uppdagas. Och ibland kan sådana gå oupptäckta i flera år. Att se till att möjligheterna att upptäcka dem stämmer överens med riskerna man är beredd att ta borde alltså ha hög prio hos företagsledningen. 

En central förmåga för att korta ned tiden till upptäckt är en säkerhetsövervakning för att kontinuerligt övervaka, analysera och reagera på händelser i IT-miljön.

Nyttorna av en sådan övervakning kan sammanfattas i:

  • att upptäcka att något kan vara på väg att hända innan det händer
  • att upptäcka eventuella intrång innan konsekvenserna eskalerar
  • att utreda intrång med större effektivitet och precision
  • att återgå till normal drift efter ett intrång, tidigare och med tillräcklig trygghet.

Men vad händer när olyckan är framme och en angripare slår till? Då är det knappast rätt läge att börja gå igenom vad som borde ha gjorts och varför det inte blivit av. De funderingarna ska sparas till utvärderingarna som bör göras efter att incidenthanteringen är avklarad.

Företagsledningen måste säkerställa att man följer de rutiner och processer man tidigare övat på.

När man anlitar incidentutredare får företaget hjälp med bland annat insamling, filtrering och analys av data, nulägesbild samt fortsatta analyser under händelseförloppet, menbedömningar (om incidenten orsakar långsiktiga men) och åtgärdsplaner. Var noga med att låta rätt personer göra jobbet – och se till att ge dem de förutsättningar som behövs:

  • Arbetsro. Ständiga frågor och önskemål om statusrapporter kommer inte påskynda incidenthanteringen
  • Förtroende. Visa tillit till de som utför jobbet.
  • Trygghet. Börja inte analysera varför något gått fel under pågående utredningsarbete
  • Avlastning. Fundera tidigt på om det finns en risk att utredningarbetet kommer bli långvarigt och säkerställ att rätt avlastning finns för de centrala resurserna.

Vad tror du?

Hans Danielsson, Engagement Manager Cyber Security.