Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.
Planlægning er uomtvisteligt noget af det vigtigste i en krisesituation.
Forestil dig f.eks. en fæstning fyldt med soldater og de mest avancerede våbensystemer, der nogensinde er udviklet. De virker umiddelbart uovervindelige. Men der et bare ét problem – de har aldrig etablereret klare kommandoveje eller processer, der fordeler ansvaret blandt dem.
Når forsvarsværkerne en dag gennembrydes, opstår der øjeblikkeligt kaos. Det er nu underordnet, at soldaterne råder over de mest avancerede våben. Uden en gennemprøvet proces og klart lederskab bliver det næsten umuligt at iværksætte et effektivt forsvar.
Når virksomheder bliver udsat for et cyberangreb, stiger stressniveauet markant, ligesom risikoen for organisatorisk kaos øges på et splitsekund.
Det er selvfølgelig godt at have en teknisk beredskabsplan, men mange virksomheder overser, at det er mindst lige så vigtigt at have defineret, hvem der er ansvarlige for at trykke på den store røde knap, som igangsætter virksomhedens forsvarsmekanismer.
Derfor har jeg samlet fem råd til virksomheder, der vil øge virksomhedens chancer for en succesfuld respons på cyberangreb:
1. Hav styr på planen før det er for sent
Nogle mennesker er fuldstændig upåvirkede, mens andre vil blive voldsomt stresset, hvis de oplever et cyberangreb, og det øger risikoen for fejl.
Derfor er det mere hensigtsmæssigt, hvis medarbejderne i krisesituationer kan følge en klar handlingsplan, som de uden for meget betænkningstid kan følge, og som trinvis forklarer, hvordan de skal forholde sig.
Når først katastrofen rammer og de cyberkriminelle er på opdagelse i netværket, så er det for sent at begynde at planlægge sit forsvar. Det er i fredstid, at man skal definere de forskellige processer og roller, så alt er klart og gennemprøvet før et angreb sættes ind.
2. Etablér en klar kommandovej
Især i store eller multinationale virksomheder kan det være svært at afgøre, hvem, der gør hvad og hvornår under et cyberangreb.
En virksomhed kan bestå af flere koncerner, være til stede i flere lande og have flere afdelinger inden for hvert land. Så hvad gør en virksomhed, når hovedkvarteret ligger i et andet land og måske i en anden tidszone end den afdeling, der er truet?
I sådanne tilfælde er det afgørende, at man tager højde for faktorer som tidszoner, sprogbarriere og lokal lovgivning ift. cybersikkerhed.
Derfor anbefaler vi altid, at virksomheder udarbejder en ansvarsmatrix, der fordeler alle roller og ansvarsområder. Der skal også udvikles forskellige scenarier alt efter om der er tale om angreb, der påvirker en enkelt enhed eller flere lande.
3. Fastlæg eksterne kommunikationslinjer
De fleste husker nok den 4. oktober 2021, da Facebooks moderselskab Meta blev ramt af et stort nedbrud.
Metas medarbejdere var reelt afskåret fra at kunne kontakte hinanden. Alle virksomhedens interne kommunikationsværktøjer var afhængige af den infrastruktur, der var berørt at nedbruddet.
Og her er der en lektie at lære. Hvis en virksomheds beredskabsplan kræver intern kommunikation, skal man sørge for, at man også kan benytte en ekstern platform, som er uafhængig af virksomhedens egen infrastruktur.
En virksomheds Active Directory (AD) er på mange måder virksomhedens ground zero. Det er grundlaget for hele it-infrastrukturen.
Hvis AD’et bliver kompromitteret, trækker det resten med ned. Det gælder også de interne kommunikationskanaler. Mange virksomheder tager det fejlagtigt for givet, at de kan opretholde kommunikationen via e-mail etc.
Der er også en risiko for, at virksomhedens egne kommunikationsværktøjer er blevet kompromitteret – for selvom de måske er online, er det ikke sikkert, at de er sikre at bruge.
4. Forvent, at planerne ikke holder
Ingen cyberhændelse, uanset kompleksitet, forløber på en fuldstændig forudsigelig måde.
Selv med planer for de mest usandsynlige hændelser, så kan det uventede stadig ske og den øverst placerede i kommandovejen skal beslutte det næste skridt.
Trods denne uforudsigelighed er de eksisterende beredskabsplaner en uvurderlig hjælp i beslutningsprocessen.
I forhold til det rent tekniske er det vigtigt, at virksomheden har udarbejdet en liste over potentielle konsekvenser, som hver handling i beredskabsplanen kan medføre. Det gør at beslutningstagerne kan vurdere fordele og ulemper, og løbende justere forsvaret.
5. Forstå, at "ingen beslutning" også er en beslutning
De færreste bryder sig om at skulle træffe beslutninger under pres, og nogle vil være tilbøjelige til at agere passivt i en krisesituation.
Men dét ikke at tage en beslutning er i sig selv et aktivt valg. Det er samtidigt en beslutning, der koster både tid og penge, og som stiller virksomheden værre i forhold til at håndtere en akut cyberhændelse.
Selv de bedst definerede nødprocedurer er ubrugelige, hvis man ikke følger de fastlagte processer.
Proces og teknologi er to sider af samme sag
Ved enhver cyberhændelse er der en todelt respons.
Én del er selve kommandovejen, hvor ledelsen udvikler en matrix, arbejdsgange og en plan for, hvem der er ansvarlig for de forskellige indsatser.
Den anden del er det rent tekniske. Her skal virksomheden klart kunne vejlede it- og sikkerhedsteams om, hvilke handlinger, de skal foretage sig, hvornår.
Det er umuligt at tale om proces uden teknologi og omvendt. Teknologiske løsninger skal understøttes af processer, og processer skal understøttes af teknologiske værktøjer.
Derfor handler Incident Response ikke kun om teknologi. Når noget går galt, skal teknologi og medarbejdere kunne håndtere et angreb, så man hurtigst muligt kan vende tilbage til normal drift.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.
