Slik håndterer Atea cyberangrep og hjelper bedriften tilbake i full drift
Å få systemer raskt opp igjen etter en sikkerhetshendelse kan være avgjørende for en bedrifts fremtid. Ateas hendelseshåndteringsteam (IRT) hjelper bedrifter med å redusere nedetid og minimere tap når uhellet først er ute.
En undersøkelse utført av NHO i 2021 viser at hver femte medlemsbedrift har vært utsatt for dataangrep. For bedrifter med over 50 ansatte er andelen én av tre bedrifter. I tillegg viser NSM-rapporten Nasjonalt digitalt risikobilde 2022 at antall angrep mot norske virksomheter økte i årets første halvdel.
– Vi opplever stadig flere angrep, men heldigvis er vi blitt flinkere til å både avverge og håndtere sikkerhetshendelser. Dermed klarer vi å begrense konsekvensene dette får for kundene våre, sier Vegard Kjerstad, leder for Ateas IRT (Incident Response Team).
Han og teamet jobber tett med Ateas Security Operations Center (SOC+), som leverer døgnkontinuerlig overvåking for kundene. Som oftest blir angrep avverget før noen har kommet seg inn i bedriftens systemer, men i noen tilfeller må teamet for hendelseshåndtering kobles på.
Døgnkontinuerlig overvåkning gir umiddelbar respons
– Når dette skjer slipper vi alt vi har i hendene og setter inn alle nødvendige ressurser for å løse situasjonen. Vi har gode rutiner for å sette oss inn i trusselbildet og får god hjelp fra SOC-teamet, som har fulgt situasjonen frem til da. Det første vi gjør er å få bekreftet at situasjonen er reell, og så starter skadebegrensningen, forteller Kjerstad.
Umiddelbare tiltak kan være å isolere en enkelt PC, sperre en konto eller i verste fall å ta ned hele nettverket til situasjonen er under kontroll. For å kunne jobbe effektivt i en sånn situasjon, er det viktig at Ateas IRT kjenner kunden godt og har fullmakt til å gjøre det som er nødvendig for å redusere nedetid og begrense økonomiske tap.
– Teamet vårt går døgnvakter og vi er alltid tilgjengelig for kunden når en situasjon oppstår. Vi sitter spredt over hele Norge, fra Tromsø og nedover langs kysten helt til Oslo. Dette betyr at vi kan stille fysisk hos kunden i løpet av kort tid, noe vi har erfart er svært viktig i de mest krevende situasjonene. Dette gjør at vi kommuniserer bedre med kundene og kan ta effektive beslutninger, sier han.
Sørg for å være bedre beskyttet enn konkurrentene
De fleste angrep Atea avdekker er ikke målrettede. Det vil si at avsender ikke er ute etter din bedrift, men at de har funnet en svakhet som de kan utnytte. Dette kan være sikkerhetshull grunnet manglende oppdateringer, ansatte som ikke følger sikkerhetsrutiner eller at en partner er kompromittert og dermed fungerer som en inngang til din bedrifts IT-systemer.
– Vår IRT har rykket ut på alt fra e-poster med ulike former for phishingforsøk og passord som er på avveie, til større ting som digital utpressing der uvedkommende har vært på innsiden i dagevis eller ukesvis før angrepet iverksettes. Felles for dem alle er at det trolig ikke var akkurat denne bedriften de var ute etter, men at det åpnet seg en mulighet, sier Kjerstad.
Han minner om at alle bedrifter sitter på kritisk informasjon som det er verdt å beskytte. Dette vet angriperne, og derfor hamrer de løs på sårbare bedrifter – helt til de får hull på byllen. Da gjelder det å sørge for at din bedrift ikke er den mest sårbare. Dersom informasjonen ikke er nyttig for den som bryter seg inn, blir informasjonen ofte solgt videre til noen andre som ønsker å benytte seg av den, ofte i form av utpressinger som løsepengevirus eller til å manipulere betalinger.
– Men det er også viktig å forstå at dette bildet ikke er helsvart. Det er ganske enkle grep skal til for å sikre at din bedrift ikke er det svakeste punktet, sier Kjerstad.
Gode beredskapsplaner gir overtak
For å forebygge angrep og kunne jobbe effektivt om situasjoner oppstår, må Ateas IRT ha god kontroll på kundens systemer og ha en plan for hvilke tiltak som kan og bør gjøres. Et forprosjekt ved starten av et nytt samarbeid gir mange svar, men vel så viktig er regelmessige møter og øvelser.
– I et worst-case-scenario må vi ta ned hele nettverket til en bedrift og isolere alle enheter. Dette er ofte ensbetydende med at vi tar ned virksomhetens operative drift, og kan selvsagt være svært kritisk for bedriften, forteller Kjerstad.
Målet er alltid å finne løsninger som rammer driften i minst mulig grad, men av og til må man ta vanskelige valg for å stoppe enda mer alvorlige konsekvenser. Da er det viktig at virksomheten har en plan for hvem som kan beslutte hva og hvilke mandater Ateas IRT har til å løse situasjonen.
- Hvilke systemer kan vi greie oss uten og samtidig opprettholde tilnærmet normal drift?
- Hvilke systemer kan tas ned, og kan erstattes av for eksempel manuelle prosedyrer?
- Hvilke systemer er virksomhetskritiske og bør kun tas ned når det er absolutt nødvendig?
- Hvilke tiltak kan vi iverksette for å minimere tap og negative konsekvenser for bedriftens ansatte og kunder?
- Hvor lenge kan bedriften kjøre uten kritiske systemer? Hva er akseptabel nedetid?
- Hvilke tiltak må iverksettes for å få systemene på plass igjen?
- Hva kan vi få til uten teknologi?
- Når går vi til backup? Hvordan skal backupen fungere?
– Vi gjennomfører regelmessige møter med våre kunder, helst hver måned. Da går vi gjennom mandater og rutiner, oppdaterer hverandre på hva som skjer i markedet og deler erfaringer. Dette gjør at vi blir godt kjent, kan kommunisere godt og ta gode, veloverveide valg når vi står midt i en situasjon, sier Kjerstad.
Øvelse gjør mester
Atea anbefaler sine kunder å øve regelmessig. Løsepengevirus er et realistisk scenario som det ofte øves på. Da er ikke fokus på de tekniske løsningene, men på kommunikasjonsflyt, situasjonsforståelse, prioriteringer og beslutninger. Det er krevende å være leder i en krise.
– Formålet med øvelsene er at alle forstår sin rolle under et cyberangrep, og at alle er kompetente til å ta gode beslutninger. Dette krever forståelse fra toppledelsen, og derfor ønsker vi at også de er med på øvelsen. Satt på spissen kan vi risikere å havne i en situasjon der vårt IRT må sitte og se på en situasjon utspille seg klokken tre om natten, fordi vi ikke får de nødvendige svarene eller beslutningen fra ledelsen i en bedrift. Øvelsene er derfor en god metode for å vise frem alvoret i og konsekvensene av et cyberangrep, sier han.
Håpet er at ledelsen etter en slik øvelse følger opp og stiller krav til egen organisasjon. En øvelse avdekker alltid et forbedringspotensial.
”De som øver blir bedre. Vi opplever ofte at kundene får en aha-opplevelse etter øvelser. Dette gjelder også de som er godt forberedt. De kan føle på en avmakt underveis i øvelsen, og kan lettere avdekke hva som mangler i organisasjonens kriseplaner. Vi ser ofte en stor forbedring fra øvelse til øvelse.”
Krisen er avverget - hva nå?
Etter et cyberangrep følger Ateas IRT kunden helt tilbake til normal drift. Dette er selvsagt viktig for kunden som så raskt som mulig må komme tilbake til effektiv, operativ drift, men også for Atea som skal analysere hendelsen, forstå de bakenforliggende årsakene og unngå at noe lignende skjer igjen.
– Vi leverer alltid en konkret og faktabasert hendelsesrapport etter et cyberangrep. Der går vi gjennom bevismateriale, analyserer om tiltakene vi gjorde var det de riktige og kommer med anbefalinger til forbedringer. Vi trekker oss ikke ut før vi er helt sikre på at virksomheten er tilbake i normal drift, forklarer Kjerstad.
Han erfarer at alle som har vært gjennom en alvorlig sikkerhetshendelse blir bedre av det. Ofte innser man at bedriften har mye å gå på administrativt. Mange har allerede investert i gode tekniske løsninger, men har ikke klart å følge opp med gode nok rutiner og etterlevelse av disse. Ofte får beredskapsplaner en helt annen oppmerksomhet etter et angrep sammenlignet med før.
– Samtidig er det en kjensgjerning at slike hendelser sliter ut folk. Dessverre ser vi ofte at IT-folk bytter jobb etter å ha vært gjennom et cyberangrep. Kanskje ble belastningen for stor, eller følelsen av avmakt henger igjen, sier han.
– Her mener jeg at vårt spesialiserte team har en stor verdi for virksomheten. Ikke bare får kundene flere hoder og hender som kan hjelpe til i en kaotisk og ressurskrevende situasjon, men de drar også nytte av erfaringen og metodikken vi har, som håndterer slike situasjoner jevnlig. Sammen klarer vi kanskje å gjøre situasjonen litt mindre krevende for de ansatte, samtidig som vi reduserer nedetid og minimerer tap når uhellet først er ute, avslutter Kjerstad.
