Før NotPetya i 2017 lagde bl.a. den globale Maersk-organisation ned, var cybersikkerhed et lidt uhåndgribeligt emne, der mest blev diskuteret blandt IT-sikkerhedsspecialister.
Siden har cyberangreb lammet talrige andre koncerner i milliardklassen, et ukendt antal SMB’er og endda energi- og forsyningsvirksomheder samt – dog heldigvis sjældnere – IT-infrastruktur i sundhedsvæsenet. Det har gjort cybersikkerhed til et varmt emne i såvel regeringskredse som på direktionsgangene. Men vi har kun set begyndelsen.
Analysehuset Gartner vurderer således, at cyberkriminelle indenfor tre år vil have udviklet effektive angrebsmetodikker, der har til formål at ramme samfundskritisk IT-infrastruktur med henblik på at skabe omfattende materiel ødelæggelse og endda dødsfald.
”Alligevel er det min opfattelse, at man på ledelsesniveau nogle steder, stadig primært opfatter cybersikkerhed som et middel til at hindre angreb i langt højere grad end til at håndtere angrebet effektivt, når det er gået ind. Det er en potentielt farlig tankegang. For så er man ikke tilstrækkeligt forberedt, hvis angrebet alligevel rammer. Og det sker jo desværre undertiden – alle gode tiltag til trods,” vurderer Jimmy B. Hansen, Delivery Leader hos Kyndryl.
Læs mere om Kyndryl Incident Recovery Services
Høje forventninger til cloudleverandører kan være farligt
Jimmy B. Hansen, Delivery Leader hos Kyndryl.
Jimmy B. Hansen har 35 års erfaring med blandt andet at sikre og håndtere angreb mod kritisk infrastruktur og forklarer, at udfordringen tidligere – lidt forenklet – primært var at tackle risikoen for strømnedbrud i egne datacentre.
Derfor havde større virksomheder og forsyningsorganisationer tidligere en række procedurer for at håndtere netop dét. Men i dag har de fleste store organisationer en hybrid infrastruktur, hvor en stor del af driften er udliciteret til et antal eksterne cloudleverandører.
”Den hybride virkelighed har – hvis man skal skære situationen lidt skarpt ud – gjort, at kunderne ganske vist investerer mere i sikkerhed, men primært med fokus på forebyggelse. Blandt andet fordi der hersker en uudtalt forventning om, at cloudleverandørerne kan løfte den primære del af genopretningsopgaven i tilfælde af nedbrud eller angreb,” siger Jimmy B. Hansen.
”Men man skal langtfra regne med, at cloudleverandørerne løfter den samlede opgave, da de naturligt nok primært har fokus på de dele af infrastrukturen, som er deres. Derfor er mange organisationer helt basalt ikke forberedt godt nok til at genoprette driften i en fart, hvis uheldet er ude. Ofte tester de ikke beredskabet for cloudbaserede systemer – eller har en kopi af de data, der ligger i skyen,” forklarer Jimmy B. Hansen.
Læs mere om Kyndryl Incident Recovery Services
Beredskab og failover-miljøer minimerer skaden
Jimmy B. Hansen har omfattende erfaring fra håndtering af nedbrud og cyberangreb, både på internationalt niveau og hands-on i forbindelse med angrebene mod bl.a. Maersk og Norsk Hydro. I den forbindelse konstaterer han, at man som organisation er langt bedre hjulpet ved både at sikre og segmentere infrastrukturen – samt ved at designe, teste og kontinuerligt øve beredskabet i tilfælde af et angreb.
”Hos Kyndryl har vi hjulpet en del virksomheder med både at designe og øve beredskab, samt med at bygge og vedligeholde separate minimiljøer, de i tilfælde af en krisesituation kan skifte over til indenfor et døgn og derved videreføre de mest kritiske funktioner,” siger Jimmy B. Hansen.
”Men skal man gøre det rigtigt, kræver det både indsigt og viden samt et erfaringsgrundlag, som de fleste virksomheder naturligt nok ikke besidder alene. For selv om de ansatte er fagligt dygtige, så har de aldrig stået i en situation, der kan sammenlignes med et ødelæggende angreb. Det er blandt andet her, vi kan yde et bidrag,” uddyber han.
Skarp træning: IT kan lære af luftfartsindustrien
Med risikoen for stadig mere ødelæggende cyberangreb in mente fremhæver Jimmy B. Hansen luftfartsindustrien som eksempel på en branche, hvor man konstant arbejder med henblik på at håndtere og minimere skaden, når et system fejler.
”Indenfor luftfart har du procedurer og tjeklister for alt. Det sidder på rygraden, at man igen og igen tester, at alt fungerer. Samt at man hele tiden træner og genopfrisker, så alle i organisationen ved præcis, hvordan de skal agere i en skarp situation. Alt sammen med henblik på at minimere skade og begrænse risikoen for, at en situation eskalerer. Det kunne IT-branchen lære en del af. Også selv om situationen forhåbentlig aldrig opstår. For et godt beredskab er billigere end at stå med håret i postkassen den dag, uheldet er ude,” siger han.
Kommende EU-regler skærper cyberkravene på flere punkter
Desuden skærper de kommende EU-regulativer DORA og NIS2 – en opdatering af det gældende NIS-direktiv – markant kravene til cybersikkerhed indenfor henholdsvis finansielle virksomheder samt organisationer med samfundskritiske funktioner indenfor bl.a. energi, forsyning og fødevareproduktion.
Direktiverne omfatter dels øgede krav til at identificere og håndtere cyberrisici, dels til risikostyring og robusthed. Dertil kommer krav om at indføre procedurer, der minimerer skader og sikrer forretningskontinuitet i tilfælde af et angreb – samt om at dokumentere indsats og forberedelser i detaljen.
”Der er ingen tvivl om, at DORA og NIS2 hæver barren på en række felter, hvilket helt sikkert vil opleves som en øget byrde i organisationerne. Desuden vil det kunne medføre bøder i multimillionklassen, hvis man ikke lever op til dem. Men i sidste ende er kravene til gavn for både virksomheder, kunder og samfund. Helt enkelt fordi de definerer en række fornuftige minimumskrav til cybersikkerhed og kontinuitet, som det under alle omstændigheder er klogt at implementere i sin forretning,” vurderer Jimmy B. Hansen.
”Fremover bliver det blot – som amerikanerne ville sige – not just a good idea; it’s the law. Her har vi hos Kyndryl i al beskedenhed både viden og erfaring høstet over mange år og fra talrige hændelser, der kan ruste virksomhederne med at leve op til de nye regelsæt,” bemærker han.