Cyberangreb udgør en trussel mod os alle. Det Hvide Hus bekræftede i marts i år, at amerikanske forbundsagenter i 2013 gjorde flere end 3.000 amerikanske virksomheder opmærksomme på, at deres it-systemer var blevet hacket, oplyser Washington Post.
Samtidig rapporterer Bloomberg, at USA's børstilsyn, SEC, er i fuld gang med at undersøge den konstante trussel fra cyberangreb mod børser, børsmæglere og andre finansselskaber.
Sådanne angreb kommer til at ske, ligegyldigt hvad du gør.
Derfor får du her fire trin, du som it-chef kan tage for at forberede dig mod cyberangreb og håndtere dem, når de sker.
1 Hav en plan om cyberangreb klar til at offentliggøre
Mange brancher er underlagt regler fra statslige, regionale og kommunale myndigheder blandt andet angående, hvad der skal offentliggøres til forbrugerne i forbindelse med eksempelvis risiko for brud på datasikkerheden.
Det gælder især inden for sundheds- og finanssektorerne, hvor det kan dreje sig personfølsomme oplysninger.
Det kan dog forekomme i kølvandet på et angreb, eller måske endda mens angrebet står på, at usikkerheder ved den specifikke situation resulterer i, at sådanne regler om offentliggørelse bliver brudt - eller i det mindste at processen med offentliggørelse forsinkes eller gennemføres på en rodet facon. Derfor er det vigtigt at udarbejde en handlingsplan forud for en hændelse, der udløser et krav om offentliggørelse.
Her har du nogle vigtige overvejelser i den forbindelse:
Sørg for at kende de gældende regler på området. Alt efter virksomhedstype og branche kan det være forskellige myndigheder, der håndterer det.
Få virksomhedens kommunikationsteam engageret i opgaven. Kommunikationsmedarbejderne har professionelle kontakter blandt medierne og andre eksterne interessenter. De kan hjælpe dig med at styre budskabet i de offentliggørelser, du er nødt til at foretage, og rådgive dig om timing og omfang af udtalelser til for eksempel pressen.
Koordiner med de relevante afdelinger. De fleste it-chefer koordinerer med de individuelle it-teams, som er ansvarlige for de områder, der er under angreb, med eksterne konsulenter og leverandører, der hjælper med at imødegå truslen - samt med relevante myndigheder.
Det er nødvendigt for at holde planen på sporet med hensyn til offentliggørelse. Identificer på forhånd nøglepersonerne, og sørg for, at de kender deres roller og opgaver, når handlingsplanen skal gennemføres.
2 Forudse, hvilke mål hackerne går efter
Spørgsmålet er ikke, hvornår du vil opleve et cyber-angreb. Hackerne opfinder hele tiden nye måder at gøre tingene på, nu hvor alt efterhånden er forbundet til internettet, og det er lettere og billigere end nogensinde at leje et botnet, der virkelig kan gøre skade. Som it-chef kan du godt gå ud fra, at din virksomhed på et eller andet tidspunkt vil opleve et cyberangreb.
Spørgsmålet er derimod, hvor angrebet vil ske. Traditionelt har cyberangreb været mod lavthængende frugter, såsom tyveri af betalingskortoplysninger eller blot med det formål at lave ravage for eksempel i kraft af distributed denial of service (DDoS).
Mange angreb hidtil har haft politiske motiver eller været relativt simple forsøg på elektronisk svindel ved eksempelvis at høste netbank- eller betalingskortoplysninger.
Mange af fremtidens angreb vil dog muligvis vise sig mere alvorlige med forsøg på at stjæle personfølsomme oplysninger som for eksempel personnumre.
I en paneldebat for nylig under Kaspersky CyberSecurity Summit sagde Steve Adegbite, der er senior vice president of enterprise information security oversight and strategy hos den multinationale bank Wells Fargo, at det meget vel kan være, at hackere nu forsøger at trænge ind der, hvor dataene opbevares - hvilket antyder, at cloud-løsninger, datawarehouses og andre nye teknologier, som store virksomheder har taget til sig, bliver fremtidens hackermål.
Også din virksomheds geografiske placering har dog noget at sige med hensyn til, hvor hackerne slår til. Trusselsprofilen er anderledes i USA end i Europa.
Sæt derfor tid af til sammen med dit team at evaluere, hvor på tværs af hele virksomheden, det er mest sandsynligt, at et cyberangreb rettes mod. Hav fokus på, hvilke områder der på nuværende tidspunkt kan være i forhøjet risiko for angreb, især i forhold til tidligere.
Bed om hjælp
3 Kæmp for at få budget til forsvar mod cyberangreb
It-budgetter er ikke noget tag selv-bord. It-chefer har længe været vant til at gøre mere med mindre. Hvis du efterhånden har fået overbevist den øverste ledelse om, at du kan spare penge eksempelvis ved at flytte ud i skyen eller ved at konsolidere og virtualisere en masse servere, står du måske med reducerede budgetter og mindre mandskab, netop som truslen fra cyberangreb dukker op i horisonten. Det er selvfølgelig ikke just optimalt.
Desværre er cyberangreb ikke alene skadelige, de er også dyre. Ikke kun hvad angår omkostningerne ved at have tjenester, der er ude af drift, men også hvad angår de helt direkte omkostninger til forsvar mod og oprydning efter angreb.
Produkter og ydelser fra leverandører, der har erfaring med at handle resolut og konstruktivt for at imødegå cyberangreb og deres effekter, er afsindigt dyre både under en hændelse og i perioder uden hændelser, hvor man også har brug for dem, så man er forberedt til, når det sker. Det er dyrt at købe den hardware og software, der er nødvendig for at sikre ens systemer.
Dette er en meget vigtig del af budgettet, som det er helt afgørende at tage sig af. Se på det som en forsikring, du næsten med garanti kommer til at få brug for.
Sørg for at gå efter teknologier, der er evalueret til minimum EAL 6+ (evaluation assurance level), hvilket er en international standard til sikkerhedsmæssig evaluering af it-systemer, der bruges af stater til beskyttelse af efterretningsoplysninger og andre data af høj værdi.
Pointen er, at du ikke skal kannibalisere dit eksisterende budget til proaktive it-forbedringer og den regelmæssige vedligeholdelse, fordi du har forsømt at planlægge, hvad der skal ske i tilfælde af et fuldkommen uundgåeligt cyberangreb.
4 Bed om hjælp, når du står midt i et angreb
Når du er ude for et angreb, har du brug for oplysninger, du kan stole på. Det er som regel oplysninger, som andre ligger inde med. Følgende råd fortæller dig, hvor du kan hente hjælp:
- Bliv medlem af videndelingsorienterede sammenslutninger, der kan hjælpe dig til at holde øje med både det generelle trusselsniveau og med de forskellige advarselstegn, som tidligere ofre for cyberangreb kan beskrive. Amerikanske National Retail Federation har for eksempel for nylig offentliggjort en ny platform til udveksling af oplysninger med hensyn til it-sikkerhed. Der findes lignende netværk for eksempelvis finansselskaber. For stærkt lovregulerede brancher er der ofte en afdeling af den relevante regulerende myndighed, der fungerer som kontaktpunkt, og som kan hjælpe i forbindelse med brud på datasikkerheden.
- Indgå en relation til leverandører med ekspertise inden for cyberangreb. Måske er du fristet til at nøjes med at sætte din lid til interne ressourcer både for at holde omkostningerne nede og for at værne om oplysninger om din infrastruktur, men mange leverandører og rådgivende virksomheder har erfaringer med cyberangreb og kan derfor give værdifuld indsigt. At hente hjælp fra sådan et selskab kan være afgørende for at stoppe et cyberangreb, før det gør alvorlig skade.
- Sørg for, at du kan skelne mellem, hvilke målinger fra dine sikkerhedsløsninger der er advarselssignaler, og hvilke der sandsynligvis bare er støj. For at imponere potentielle kunder og fremstå komplette overvåger mange sikkerhedssoftwareløsninger hver eneste lille ting, men alle disse målinger kan uforvarende forvirre billedet, så det bliver svært at gennemskue, hvad der er en advarsel om et alvorligt sikkerhedsproblem. Brug løsningerne fornuftigt, og få styr på hvilke meddelelser der drejer sig om kritiske emner, så du kan nå at handle i tide, når din virksomhed står over for et hackerangreb.
Oversat af Thomas Bøndergaard
