Grunnprinsipper for IKT-sikkerhet 2.0
Kontroller og håndter hendelser
Målet med prinsippet: Virksomheten håndterer hendelser korrekt og med riktige ressurser slik at spredning og konsekvenser minimeres og normaltilstand opprettholdes eller gjenopprettes effektivt.
Hvorfor er dette viktig?
Når en hendelse inntreffer er det fort gjort å slå full alarm. Man bør beholde roen og samtidig varsle og involvere de riktige personene hurtig. Dersom virksomheten ikke forstår omfanget av et dataangrep, hvilke deler av IKT-infrastrukturen som er rammet og ikke håndterer dette riktig, kan konsekvensene bli katastrofale.
Følg fastsatte prosedyrer basert på klassifisering av hendelsen og involver personell med spesialkompetanse på IKT-systemet og den daglige driften. Uansett type hendelse vil det være en del felles prinsipper som skal gjelde. Undersøk utbredelse og skadepotensiale. Hendelsesdata og situasjonsbildet bør holdes så oppdatert som mulig gjennom hele håndteringen. Man må være forberedt på eventuell eskalering og nye, samtidige hendelser og sørge for god kommunikasjonsflyt mellom involverte parter.
Reaktive tiltak bør settes i gang så snart man har nok informasjon. Alle aktiviteter og avgjørelser bør logges slik at man i etterkant kan vurdere hendelsesforløpet. Interne og eksterne som er berørt av hendelsen bør, så langt det lar seg gjøre, holdes oppdatert om situasjonen. Når en hendelse har oppstått vil tillit til tjenester, systemer og IKT-infrastruktur naturlig nok svekkes. Effektiv hendelseshåndtering vil bidra til å gjenopprette denne.
Anbefalte tiltak: Kontroller og håndter hendelser
| ID | Beskrivelse |
|---|---|
| 4.3.1 | Kartlegg omfang og påvirkning på forretningsprosesser. Kartlegg hendelsens påvirkning på underliggende IKT-funksjoner, IKT-tjenester og IKT-systemer. Se 4.1.2. |
| 4.3.2 | Undersøk om hendelsen er under kontroll og gjennomfør nødvendige reaktive tiltak. Dersom omfanget øker og ser ut til å få alvorlige konsekvenser for virksomhetens forretningsprosesser bør kriseresponsaktiviteter iverksettes ved å eskalere til krisehåndteringsfunksjonen. Eksempler på reaktive tiltak er: a) Allokering av internt og eksternt personell for å håndtere hendelsen. b) Innkapsling og blokkering av inntrenger for å hindre spredning. c) Terminering av truende eller kompromitterende aktiviteter i systemer, for eksempel ved å stenge ned kompromitterte, interne servere som kan benyttes for videre angrep. |
| 4.3.3 | Loggfør alle aktiviteter, resultater og relevante avgjørelser for senere analyse. a) Etabler en tidslinje for egne og trusselaktørens aktiviteter. b) Oppdater hendelsesdata og situasjonsbilde underveis for best håndtering av hendelsen. c) Sikre elektroniske bevis for skadevareanalyse og eventuelle rettslige prosesser, se også prinsipp 3.2 - Etabler sikkerhetsovervåkning |
| 4.3.4 | Iverksett gjenopprettingsplan i løpet av, eller i etterkant av hendelsen. Tiltakene vil variere avhengig av type hendelse, men kan inkludere: a) Reaktivere redundante ressurser som ble tapt eller skadet under hendelsesforløpet. b) Reinstallere maskin- og programvare på rammede komponenter. c) Gjenopprette konfigurasjonsinnstillinger, med eventuelle tilpasninger. d) Gjenopprette tjenester som ble stoppet under hendelsesforløpet. IKT-systemene bør bygges opp til en bedre forfatning enn de var i før hendelsen inntraff («build back better»). |
| 4.3.5 | Koordiner og kommuniser med interne og eksterne interessenter underveis i hendelseshåndteringen. Dette kan være intern drift, ledelsen, interne avdelinger og andre virksomheter som kan bli påvirket av hendelsen. Virksomheten bør også ha en klar mediestrategi ved hendelser som kan ha en interesse for medier og allmenheten. |
| 4.3.6 | Gjennomfør nødvendige aktiviteter i etterkant av hendelsen. Alvorlighetsgrad av hendelsen og virksomhetens kompetanse og kapasitet vil være styrende for hva som gjennomføres og om det skal gjøres av internt eller eksternt personell. Det kan være aktiviteter som: a) Etterforsking for å finne rotårsak til hendelsen, inkludert: i Type skadevare, ii) Trusselaktør, iii) Angrepsvektor, iv) Verktøy v) Hvordan hendelsesforløpet utviklet seg og hvordan trusselaktøren handlet. b) Oppsummerende rapport som ledelsen kan forstå og ta stilling til. c) Kommunikasjon med relevante parter, inkludert sektorvise responsmiljøer og/eller NSM NCSC. |
Utdypende informasjon
Handlingsmønsteret ditt vil avhenge av type hendelse. Det er for eksempel forskjell på om en hendelse akkurat har oppstått og eskalerer i omfang eller om en hendelse har pågått over lengre tid, og er i en «stabil» fase:
- Scenario 1: Ved omfattende spredning av skadevare som selvspredende kryptovirus – kast deg rundt og stopp angrepet!
- Scenario 2: Dersom «noen» har fått fotfeste i virksomheten over en lengre periode – vent, observer, forstå, handle. Er virksomheten utsatt for en avansert trusselaktør med godt fotfeste kan feil handling føre til at aktøren går i dvale eller benytter mindre synlige angrepsmetoder. Dette vil gjøre det vanskeligere å avklare skadeomfang, sikre bevis og fjerne aktøren.
En tommelfingerregel er at man har 2 timer fra «noe» skjer i Europa til man må ta en beslutning i egen virksomhet på hvordan man skal agere.
Lenker
NSM: Sikkerhetstiltak mot digital utpressing og andre angrep (spesielt tiltaksgruppe 2 og 7)