2019-12-13

Beredskap og trening, sa du?!

Som trebarnsfar med en jobb som krever både reise og rask responstid på sikkerhetshendelser, kreves det god planlegging for å få dagene til å gå opp.

Vegard Kjerstad
Vegard Kjerstad Leder Atea Incident Response Team (IRT)
Vegard kjerstad

Det handler om å forutse, ta høyde for hva hverdagen kan bringe, hvor det kan gå galt og ikke minst hvordan håndtere humørendringer eller kriser som barna kan oppleve i sin hverdag. Dette krever godt samarbeid med mor til barna, gode rutiner, kontroll på åpningstider i barnehagen og fortløpende vurderinger av det daglige påvirkninger.

Lære av andre

I midten av september deltok jeg på Næringslivets Sikkerhetsråds sikkerhetskonferanse.
Jeg innrømmer gjerne at hovedgrunnen til at jeg reiste til Oslo var for å høre Jo De Vliegher, Chief Information Officer (CIO) i Hydro som fortalte om deres dataangrep tidligere i år. Spisskompetansen jeg representerer er smal, og utenom NSM-samarbeidet der de virksomhetene som har bestått godkjennelsesordningen er med, er slike førstehåndserfaringer fra en utsatt virksomhet sjelden vare.

På spørsmål om hva som er den viktigste læringen fra Hydros hackerangrep for andre virksomheter, svarte De Vliegher at det er viktig å forstå at en cyberhendelse ikke er en IT-krise men en selskapskrise. Krisen kan lamme hele selskapet.

Vet du hva som skjer rundt deg?

På konferansen var det også mange andre gode presentasjoner, blant annet om Krisino rapporten 2019 som forteller om hvor få bedrifter som tar i bruk rapportene og veilederne som utarbeides. Det er faktisk bare 10 % av de spurte som har lest risikovurderingen til NSM. Det kan være flere grunner til at dette tallet er så lavt, men jeg tror oppriktig at mange flere ville ha lest både denne og andre publiseringer fra myndighetene om de hadde blitt flinkere til å markedsføre det. I dag er dessverre brorparten av lesergruppen oss som har en genuin interesse for faget.

Det å holde seg oppdatert på hvilke trusler vi står overfor og hvem som står bak, er viktig kunnskap for å kunne beskytte egen virksomhet og verdier. Mange små og mellomstore bedrifter sliter med dette; De har få ansatte og derfor begrenset kapasitet og kompetanse. Dette kan føre til at de blir mer utsatt for hendelser, men det kan også utgjøre en risiko for å bli en «mellommann» for angrep mot andre større virksomheter.

Sikkerhet krever kontinuitet; det er ikke tilstrekkelig å gå gjennom en enkel sjekkliste en gang eller å anskaffe et fantastisk produkt som løser alt. En virksomhets sikkerhet krever ressurser som kan faget og som holder seg oppdatert. Med tanke på tilgangen til ressurser og virksomhetenes økonomi, er det fordelaktig for virksomheter å kjøpe sikkerhet som en tjeneste. Likevel krever det at virksomheten involverer seg og kjenner til sitt ansvar når det kommer til IT sikkerhet.

Når trente du sist?

Så tilbake til Hydro-caset: De Vliegher la flere ganger trykk på hvor viktig det er med beredskap, noe som også var et tema i Ateas sikkerhetsundersøkelse. Her spurte vi 332 virksomhetsledere og resultatene var kanskje ikke så oppløftende: små virksomheter er ikke gode nok på beredskap, de større er noe bedre, men de aller fleste har potensiale for å bli bedre.

En av de tingene jeg personlig vil fremheve er at en stor andel av de som faktisk har beredskapsplaner ikke har trent de sist 3 årene. Da sier det seg selv at planene ikke sitter i fingrene når krisen inntreffer, kanskje vet man ikke engang hvor planene er når de trengs.

Se for deg følgende scenario

Du oppdager at alt av filer på serverne er kryptert og ingen får tilgang til dem. Temperaturen stiger, og alle kontakter IT-avdelingen. Frykten sprer seg og alle skjønner at dette vil få betydelig innvirkning på hvordan virksomheten skal fungere fremover. Vil du da vite hvor du skal starte? Hvor skal du ringe? Hvem er det som kan ditt system og kan hjelpe til ved en akutt hendelse? Hvem skal gjøre hva? Hvem tar de krevende beslutningene?

Oppfordring

Få på plass en beredskapsplan eller oppdater den du allerede har. Sett av tid og ressurser til å gå igjennom denne for å være kjent med prosessen, og sørge for at de som inngår i planen er kjent med sin rolle og hva som forventes i en krisesituasjon. Gjennomfør øvelser på samme måte som ved en brannøvelse. Man trenger ikke være toppidrettsutøver for å vite at trening hjelper.

Å trene er både viktig og nyttig. Du vil spare virksomheten din for både tid, penger og dårlig «omdømme», samtidig som det gir verdifull input til å forbedre både planene, verktøyene og den generelle sikkerheten i virksomheten.

Jeg avslutter som jeg begynte. Nå tar jeg helg, gjør unna ukas oppsummering med min bedre halvdel, og samtidig planlegger helgens aktiviteter med barna - men først etter å ha gjort en risikoanalyse av vær og vind 😉

Snart ringer julen inn og de fleste logger av, men vårt responsteam er på jobb for å håndtere hendelser som måtte oppstå.

Hør podkastepisoden om Hydro-angrepet: