[KRÖNIKA] Även med de bästa säkerhetslösningarna på plats, kan man aldrig helt eliminera risken för en cyberattack.
Men de som är väl förberedda kan agera snabbt och effektivt när olyckan väl är framme.
Oavsett bransch eller storlek på organisationen – en cyberattack kan hända alla.
Så vad ska man göra i en sådan situation? Nedan beskriver jag steg-för-steg vad man som företag behöver tänka på för att skapa de bästa förutsättningarna för att hantera en cyberattack.
Sök snabbt professionell hjälp
När kritiska system plötsligt får problem och säkerhetsfiltren slår larm är risken stor att organisationen har utsatts för en allvarlig cyberattack. Det första steget är att koppla ifrån nätverket så snabbt som möjligt för att förhindra att attacken sprider sig. Det som inte går att koppla ifrån med hjälp av mjukvara bör kopplas ur fysiskt – dra ut sladdarna.
Att stänga ner en server är däremot inte att rekommendera eftersom det riskerar att viktiga filer som kan vara avgörande för kriminaltekniker i ett senare skede kan gå förlorade. Dessutom bör professionella incidenthanterare anlitas omgående för att undersöka och begränsa attacken och återställa systemen på ett säkert sätt.
Den psykiska påfrestningen en cyberattack innebär underskattas ofta. När ett företags existens plötsligt står på spel är det svårt att behålla lugnet och agera rationellt. Det är ytterligare en anledning till att ta in externa experter som kan hantera situationen på ett säkert och metodiskt sätt.
Behåll lugnet
Incidenthanteringsexperter har erfarenhet av cyberattacker och vet exakt vad de ska göra. Ett koordinerat agerande är avgörande och processen fungerar endast när incidenthanteringsgruppen har en strukturerad uppgiftsfördelning och tydliga instruktioner för var och ens ansvarsområde. Att leda detta arbete är en uppgift bäst lämpad för någon som inte är personligt eller emotionellt påverkad av attacken.
Utöver detta behövs personal. När en attack har inträffat behöver man övervaka systemet och fortsätta säkerhetsarbetet 24/7 under en period, någonting som enbart kan lösas genom att arbeta i skift. Denna personal behöver täcka in flera olika kunskapsområden, utöver praktisk kunskap inom IT-säkerhet innebär arbetet ofta även att kommunicera med de som attackerat verksamheten. Även om jag inte rekommenderar att man betalar en lösensumma då det sällan leder till en permanent lösning, kan förhandling och kommunikation vara värdefullt. Det kan både köpa mer tid och ge mer information om attacken, något som kan bli avgörande för arbetets framgång.
Säkerställ assistans som en del av det proaktiva arbetet
Jean Diarbakerli, Säkerhetsrådgivare, Trend Micro Sverige
När en cyberattack har inträffat är varje sekund avgörande. Det finns inte tid att leta efter kunniga säkerhetsexperter, utan detta måste finnas på plats som en del av verksamhetens proaktiva säkerhetsarbete. Dessutom är underskottet av säkerhetsexperter stort. Därför rekommenderar jag alla att skriva ett löpande avtal med en incidenthanteringsleverantör som kan hjälpa till när attacken inträffar under ett bestämt antal dagar. Detta för att säkerställa att attackens konsekvenser blir så minimala som möjligt.
Bygg grunden för en säker datahantering
En incidenthanteringsgrupp analyserar exakt vad som har hänt vid en cyberattack. För att snabbt kunna begränsa en attack behöver de analysera vilka system som påverkats, och för det krävs en bra datauppbyggnad. För detta behövs telemetridata från säkerhetssystem samt övervakningsaktiviteter på ändpunkter och i nätverket för att incidentgruppen ska kunna göra en grundad och korrekt analys. Dessa data bör stråla samman i en central XDR-plattform. Ju bättre och mer meningsfull dessa data är, desto snabbare och mer precist kan de utsatta systemen avskärmas från det övriga nätverket.
Genom att identifiera ”patient noll” och därifrån spåra attackvägen kan verksamheter få stora insikter om sina misstag och adressera sårbarheter i systemet. Även efter att nätverket är återställt och säkrat är det viktigt att ständigt övervaka miljöerna. Det finns aldrig en 100-procentig garanti att de cyberkriminella är helt utraderade ur nätverket.
Förbered hela verksamheten
För att hantera en cyberattack effektivt krävs noggrant förarbete och planering för hur verksamheten ska agera. En detaljerad cybersäkerhetsplan är avgörande och bör självklart involvera en extern incidenthanteringsgrupp samt innehålla instruktioner till den interna IT-avdelningen, men övriga avdelningar får inte ignoreras. Vem informerar påverkade kunder, partners och inte minst de anställda om attacken? Vem informerar den relevanta tillsynsmyndigheten om det behövs? Detta är frågor som behöver besvaras i en säkerhetsplan för att fördela ansvarsområden och se till att attacken kan hanteras på ett koordinerat och kontrollerat sätt.
Utvärdera, testa och uppdatera säkerhetsplanen
Många verksamheter har någon form av säkerhetsplan, men i många fall utvärderas eller uppdateras den aldrig, och i många fall vet anställda inte ens om dess existens. Att ständigt träna verksamheten utifrån en bestämd plan är viktigt för att säkerställa att planen är optimerad och uppdaterad, men även så att anställda vet vad de ska göra om en attack inträffar.
För att hantera en cyberattack framgångsrikt behöver man vara förberedd, och övning ger färdighet. Varje sekund är avgörande när attacken väl inträffar, och ju snabbare arbetet med att stoppa attacken kan påbörjas, desto bättre kommer verksamheten att klara sig.
