Fem steg mot bättre IT-beredskap

De förödande hackerattackerna mot flera kända börsföretag borde bli en väckarklocka för svenska företag och myndigheter. Många behöver skärpa sin beredskap mot utpressare och sabotörer.

Fem steg mot bättre IT-beredskap 1
Anders Stinger, Nordenchef på Commvault

Att centrala IT-system slås ut i flera veckor är oacceptabelt, men med goda katastrofrutiner på plats går det att återställa verksamheten betydligt snabbare efter ett angrepp. Det säger Anders Stinger, Nordenchef på Commvault.

Informationsläckor, utpressningsvirus och sofistikerade cyberattacker har vi länge kunnat läsa om, men några färska händelser borde bli en väckarklocka för svenska företag och myndigheter: nu är angriparna verkligen ute efter oss. Tre färska händelser sticker särskilt ut i nyhetsflödet:

  • Mars 2019. Hackare angriper Norsk Hydro, Norges största industriföretag, och orsakar kraftiga störningar i produktionen under upp till åtta veckor. Kostnad: 650–750 miljoner norska kronor.
  • 30 oktober 2019: Teknikhandelskoncernen Addtech drabbas av en ransomware-attack. 80 av de 130 dotterbolagen påverkas. Kostnad: kvartalsresultatet påverkas negativt med 150 Mkr.
  • 28 mars 2020: En angripare stänger ned hemsidan för Mekonomen och slår ut kassasystem och verkstadsbokning. Under över en vecka får verksamheten hållas igång med papper och penna.

De aktuella fallen ovan har (minst) två saker gemensamt: Angreppen hade ekonomiska motiv, dessutom det tog mycket lång tid att återställa normal drift.

Vi vet att god IT-säkerhet börjar med ett digitalt skalskydd i form av brandväggar, antivirus och aktiv övervakning. Men vi vet också att det inte räcker. Alla behöver en plan för att hantera ett fullbordat intrång. I dessa Coronatider lyfts betydelsen av god beredskap i samhället, och beredskap är ett lämpligt begrepp även när vi pratar informationssäkerhet och riskhantering i näringsliv och förvaltning.

Beredskap och katastrofplanering är något som it-beroende organisationer har ägnat sig åt i decennier, så hur svårt kan det vara? Bra mycket svårare än det brukade vara, är mitt svar. Utmaningen växer med graden av digitalisering: det blir allt fler system och uppkopplade användare inom varje gren av verksamheten. Samtidigt som datamängderna exploderar. Vidare blir miljöerna mer komplexa med blandningar av driftsformer – intern leverans, outsourcing, publika molnet och blandningar av dessa. Allt detta ökar sårbarheten och skapar nya öppningar för resursstarka brottslingar som hela tiden utvecklar sin ”kompetens”.

Men även mot denna bakgrund ska det inte ta så lång tid som två veckor att få igång verksamheten efter en svår ransomware-attack. För att lyckas bättre om det värsta skulle inträffa krävs dock en god beredskap i form av en kompetent och välövad organisation som använder rätt verktyg. Här följer fem punkter som ger vägledning för detta arbete:

  1. Planera.
    Just när det gäller ransomware-attacker ligger det ovanligt mycket i den gamla managementklyschan ”planer är ingenting, planering är allt”. Värdet av planeringen ligger mycket i att skapa engagemang, att göra organisationen så förberedd och trygg som det är möjligt för att sedan kunna agera snabbt och resolut i ett skarpt läge.
  2. Skaffa koll på data och system.
    Att ha gjort en detaljerad kartläggning av organisationens data är guld värt i ett krisläge och gör jobbet med återställningen så mycket enklare. Det gäller att veta vilket data ni har, var det lagras, vem som äger det och sist men kanske viktigast: att klassificera data efter dess och de relaterade systemens betydelse eller värde för organisationen: Hur viktigt, värdefullt eller verksamhetskritiskt är det? En dialog med systemägare och verksamhetsansvariga ger vägledning. Den högsta nivån för tillgänglighet varken kan eller behöver tillämpas överallt.

  3. För att minimera skador och kostnader för ett omfattande IT-avbrott gäller det att göra återställningen i rätt ordning. Hela driften kan inte komma tillbaka samtidigt. Det är nödvändigt att prioritera baserat dels på en god förståelse för verksamheten och det IT-stöd den är beroende av, dels de tekniska förutsättningar som kan vara styrande för tågordningen vid återställning.
  4. ”Kassaskåpssäker” backup
    Vid en ransomware-attack kan även backuper bli sårbara eftersom angriparen försöker kryptera allt data. I värsta fall blir även backuperna obrukbara. Som en extra trygghet för återställning behövs ytterligare en säkerhetskopia utöver ordinarie backup. Och den måste isoleras helt för att inte vara åtkomlig via Internet eller ett lokalt nätverk.
  5. Testa, testa, testa.
    Att öva på krisscenarion och att testa sina rutiner för återställning efter ett omfattande IT-avbrott är en central del av beredskapen. Tyvärr har många organisationer dåliga möjligheter att testa katastrofrutiner och återställning från backup. Ett vanligt hinder är att viktiga tester inte går att genomföra eftersom produktionsmiljön sätter stopp. Det kan handla om system som stödjer kärnverksamheten där den nedtid som testerna kräver inte är acceptabel. Men med bra verktyg som möjliggör test och planering går det att komma runt även sådana begränsningar.