av Bjørn T. Tveiten

Innlegget har tidligere vært publisert som kronikk i Finansavisen.

Nasjonalt cybersikkerhetssenter (NCSC) får ofte henvendelser som gjelder digitale angrep og hvordan håndtere disse. – Kan dere sende oss en oppskrift eller tipsliste for hva vi gjør hvis vi blir rammet? er et eksempel på forespørsler til senteret. Utfordringen er at det ikke finnes noen enkel oppskrift på digital hendelseshåndtering.

Mange som oppdager at de befinner seg i en kritisk situasjon, har ingen anelse om hva de skal gjøre. Hva kan da bedrifter gjøre for å håndtere slike potensielt skadelige hendelser bedre? Hva kan man gjøre etter at man har blitt hacket?

Når først uhellet er ute og bedriften har blitt hacket, finnes det få enkle råd for å rydde opp eller redusere skaden. Digital hendelseshåndtering er både et eget fag og en prosess som må planlegges og settes i verk. Det eneste kjappe tipset vi kan gi er:

Vær forberedt!

Og forberedt her betyr at man har foretatt vurderinger og gått til anskaffelse av tre komponenter: Personell, Teknologi og Prosess. Personell med riktig kompetanse er helt avgjørende for at man 1) skal definere de to andre komponentene godt og 2) kunne utføre prosessen når hendelsen oppstår. Teknologi her betyr verktøy for både preventive tiltak (brannmur, sandkasse, monitorering osv), og for deteksjon og rapportering/alarmering. Når sikkerhetsdesign og verktøy er på plass, bør man definere rutiner, det betyr her en hendelseshåndteringsprosess med tilhørende roller for de som skal trå til når hendelser oppstår. Prosessen skal lede sikkerhetsgruppen gjennom de vanligste fasene av hendelseshåndteringen. 

Disse fasene oppdeles forskjellig av ulike eksperter og organer.  En forenklet modell er som følger:

  • Forberedelser (som nevnt over)
  • Identifisering og analyse (Hendelsens hva, hvor, når, hvordan)
  • Respons (Begrensing/isolering, fjerning og tilbakestilling til sikker/forbedret tilstand)
  • Etterarbeid (læringspunkter fra hendelsen, skadevurdering, informasjonsarbeid)

De to midterste fasene utgjør den aktive håndteringen.  Hver av disse aktive fasene og underfasene krever gode vurderinger, beslutninger og gjennomtenkte handlinger. Alle faser må også dokumenteres grundig, både for å kunne lære av hendelsen, og for en eventuell anmeldelse.

Logger er viktig

En viktig forutsetning for at prosessen skal være effektiv er god tilgang på metadata og logger. Det krever at man monitorerer der det gir mening, sørger for detaljerte, sentraliserte logger på alle tjenester og funksjoner et godt stykke bakover i tid, samt har utarbeidet nettverks- og tjenestekart som identifiserer lokasjon, type utstyr, versjon, funksjon m.m. Alle disse datakildetypene vil være av uvurderlig betydning når sikkerhetsteamet skal avklare angrepspunkt, metode og omfang.

De gangene NCSC må avslutte håndteringen med konklusjonen ”Full klarhet oppnås ikke – mangler datagrunnlag,” er det som oftest nettopp fordi virksomheten ikke har tilstrekkelige data i form av logger og detaljerte tjenesteoversikter.

Uaktuelt med egen sikkerhetskompetanse

Men så møter vi naturlig nok argumenter som disse:

”Min bedrift er for liten til å kunne anskaffe teknologi og sikkerhetskompetanse. Hva da?”

”Vi ønsker ikke å bygge kompetanse på dette, men heller fokusere på vår kjernevirksomhet.”

Det er høyst forståelige argumenter. Derfor er det bra at det finnes private firmaer som tilbyr tjenester innenfor digital hendelseshåndtering. Det finnes også profesjonelle drifts- og hostingleverandører som tilbyr omfattende og profesjonelle sikkerhetsløsninger og -tjenester.

NSM har etablert en godkjenningsordning for private leverandører av digital hendelseshåndtering, og det er i skrivende stund tre godkjente leverandører.

Har man ikke økonomi verken til å leie inn eksternt, eller skaffe sikkerhetskompetanse og –teknologi selv, vil risikoen være stor for betydelig skade dersom man blir hacket.

For å være best mulig forberedt er vårt råd til alle bedrifter er å følge NSMs Grunnprinsipper for IKT-sikkerhet og jeg vil legge til: Sørg for hyppig backup, med dataene plassert offline slik at ikke angriper kan nå disse også via nettverket. Det vil gi deg mulighet til å komme raskt på bena igjen etter for eksempel kryptering av data ved løsepengevirus.