Må kunne analysere cyberrommet
Virksomhetene bør ha en dedikert analysegruppe som kan støtte responsteamet og ledelsen under hendelse og krise i cyberrommet
av Tommy Skaug
Innlegget har tidligere stått på trykk i Finansavisen.
Krisen har meldt seg og virksomheten er kompromittert. Hendelser der systemene går i svart eller at konkurrenten plutselig har et identisk produkt på markedet forekommer med jevne mellomrom. I slike situasjoner melder en rekke spørsmål seg: Hvem står bak? Hva er de ute etter? Hva er omfanget? Hvordan kom de seg inn? Hvorfor oss? Kunne hendelsen vært forhindret?
På dette tidspunktet må informasjon som rapporteres og vurderes gjengi fakta på en nyansert, tidsriktig, korrekt og presis måte. Resultatet av arbeidet er grunnlaget som virksomhetens beslutningstakere vil basere sine valg på. I noen tilfeller er det et spørsmål om å være eller ikke være, knyttet til verdier man ikke var klar over på forhånd.
Mange virksomheter som i dag håndterer store verdier for samfunnet har etablert en responsevne i cyberrommet for de alvorlige hendelsene. På tross av stadig bedre responsevne er det én annen egenevne som ofte mangler, og som får for lite fokus: evnen til å gjøre en analyse av de tekniske funnene og omsette de til noe virksomheten forstår og kan basere handling på. Det er her cyberanalyse kommer inn i bildet. Cyberanalyse er en prosess som gjennomføres parallelt med hendelseshåndteringen. Prosessen benyttes under hendelsen, men også i et risikoperspektiv pro- og retroaktivt.
En firestegs analyseprosess benyttes i dag for å beskrive det som gjøres i en cyberanalyse: 1) Definer problem og informasjonsbehov i dialog med interessenter, 2) finn kilder og innhent informasjon, 3) gjennomfør objektiv analyse og 4) distribuer produkter til relevante beslutningstakere og partnere.
Nå høres kanskje analyseprosessen enkel ut, men ikke la deg lure, det ligger et omfattende og objektivt metodeverk bak. Det er også et eget fagområde som krever personell med spesiell kompetanse. Analytikere som jobber med denne typen analyser forstår både de menneskelige, prosessuelle og teknologiske faktorene i hendelsen og virksomheten.
Nasjonal sikkerhetsmyndighet eller andre tredjeparter kan ikke kompensere for manglende innsikt og cyberanalyse i virksomhetene. Årsaken er knyttet til at virksomhetsforståelse er tidkrevende å bygge. Forståelsen må knyttes til den enkelte virksomhets forretning- og operasjonsmåte. I en cyberanalyse realiseres som oftest virksomhetsforståelse i form av detaljert kunnskap om trusler, sårbarheter og verdier. For å kunne støtte virksomheten i en krise i cyberrommet er derfor NSM avhengig av virksomhetenes egne analysemiljøer
Virksomhetene bør altså ha en dedikert analysegruppe som kan støtte responsteamet og ledelsen under hendelse og krise i cyberrommet. Mestrer virksomheten det vil den ikke bare ha gode forutsetninger for å lykkes med hendelseshåndteringen, men også en evne til å forebygge den neste.