CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon
Artikel top billede

(Foto: JumpStory)

Ramt af ransomware-angreb? Her er mit bud på en plan

Klumme: Personligt er jeg principielt altid skeptisk, når jeg læser statistikker, men det er svært at lukke øjnene for, at alle statistikker peger på en meget kraftig stigning i antallet af cyberincidents. Så hvad bør en virksomhed gøre før, under og efter et ransomware-angreb?

26. september 2023 kl. 11.53
Carsten Falshøj Carsten Falshøj Selvstændig og uafhængig cyber security-rådgiver

Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.

Selv om mange nok umiddelbart vil tilskrive Mark Twain at stå fader til nedenstående udtryk, bør man i virkeligheden rettere tilskrive det til Arthur James Balfour der menes at have sagt det, som den første tilbage i 1892.

Udtrykket går på, at der er tre typer af løgne.

1) Løgne.

2) Forbandende løgne.

3) Statistik.

Personligt er jeg principielt altid skeptisk, når jeg læser statistikker, men det er svært at lukke øjnene for, at alle statistikker, jeg i hvert fald har set og læst, peger på, at der er en meget kraftig stigning i antallet af cyber-incidents og dermed også antallet af de bekostelige ransomware-angreb.

Ransomware er blevet en meget indbringende forretning for de cyberkriminelle.

Det synes også uomtvisteligt, at det qua den hastigt stigende grad af digitalisering i mange virksomheder også er blevet dyrere at blive udsat for et ransomware-angreb.

Man bør som ansvarlig virksomhed derfor naturligvis sikre sig, at man har et balanceret cyber-forsvar i sin virksomhed.

Balanceret blandt andet ud fra virksomhedens størrelse, hvilken industri, som virksomheden opererer i, og kompleksiteten af virksomhedens it-infrastruktur.

Det er dog ikke muligt helt at gardere sig imod at blive udsat for et succesfuldt ransomware-angreb.

Det er derfor vigtigt, at man også har sin krisestyring på plads sammen med en beredskabsplan – også kaldet en Disaster Recovery Plan.

Disse planer bliver ofte udarbejdet af it, men planerne bør involvere interessenter fra alle dele af virksomheden.

Det kan spare virksomheden for rigtig mange penge (i værste fald undgå konkurs – som det for nyligt skete for CloudNordic - i form af væsentlig kortere nedetid, hvis man har sine krise- og beredskabsplaner på plads og øvet dem.

Jeg vil i nedenstående, baseret på min erfaring, give en række input til, hvad man som virksomhed bør sikre sig hhv. før, under og efter at man har været udsat for et ransomware-angreb.

Det skal siges, at jeg heldigvis endnu aldrig selv har stået i spidsen for at tackle et succesfuldt cyberangreb.

Jeg har været med til at afværge forsøg på cyberangreb, og jeg har været med til at planlægge, udføre og deltage i en række kriseøvelser.

Hvad kan/bør virksomheden gøre før et ransomware angreb?

Udover, som tidligere nævnt at have et balanceret cyber forsvar på plads, i form af at have skabt bruger kendskab til cyber-sikkerhed, at have password-kontroller på plads, patche systemer regelmæssigt, tage backup og teste restore af disse m.v. bør man i min optik gøre følgende:

  1. Udarbejde en krisehåndteringsplan, der som minimum bør beskrive følgende:
  • En definition af hvad der anses for en ”krise”.

  • Hvad er teamets formål og mandat.

  • Hvem er medlemmer af krisehåndterings teamet.

  • Beskrivelse af hvert medlems rolle og ansvar – før, under og efter en krise.

  • Hvordan aktiveres teamet og eventuelt af hvem.

  • Veldefineret struktureret tilgang (playbook/runbook) til håndtering af en krise.

  • Træning/øvelse af planen.

  1. Udarbejde en ”beredskabsplan”, der som minimum bør beskrive følgende:
  • Omfang og formål.

  • Risikovurdering af relevante scenarier.

  • Analyse af forskellige scenariers indvirkning på virksomheden.

  • Gendannelses strategi.

  • Beskrivelse af hvordan planen skal eksekveres.

  • Udarbejdelse af veldefinerede struktureret tilgange (Playbooks/runbooks) for de mest kritiske krise scenarier.

  • Træning/øvelse af planen.

  1. Etablere relevante ”sub teams” (IT, Kommunikation, Finans, Salg, Marketing, Logistik, HR m.fl.), hvor det giver mening

Hvad kan/bør virksomheden gøre under et ransomware angreb?

Hvor det i den omtalte krisehåndteringsplan under punkt 1 mest går på at tage beslutninger på højeste niveau, med CEO’en for bordenden, i virksomheden omkring håndtering af ransomware-angrebet er vi her mere på det operationelle niveau, når først man er under angreb.

Det er her, at man får brug for sine udarbejdede planer og erfaring fra øvelser.

Det vil her være en være en afgørende forskel og fordel at have beskrevet, hvem der er med i it-krise-teamet – det vil som oftest i dette team være den it/it-sikkerhedsansvarlige, der sidder for bordenden.

Hvis man er en mindre eller mellemstor virksomhed, har man med stor sandsynlighed behov for at trække på eksterne eksperter.

Ja, selv de største virksomheder vil have behov for at få assistance fra eksperter, som kan hjælpe med at inddæmme og stoppe skaden, men også eksperter der kan hjælpe med at forhandle og købe tid i forhold til dem der har angrebet.

Under selve angrebet er følgende vigtigt og hurtig handling er fuldstændig essentielt:

  • Indkalde sine eksterne eksperter.

  • Inddæmme og isolere berørte systemer – hvilket ofte er for sent, når et angreb opdages.

  • Kommunikere jf. sine udarbejdede krisehåndteringsplaner – husk at rapportere til relevante myndigheder såsom Datatilsynet, Center for Cyber Sikkerhed (hvis man er underlagt NIS) m.v.

  • Afbryde sin forbindelse til internettet.

  • Identificere hvilken type ransomware man er udsat for.

  • Rense sine miljøer for ransomware.

  • Gendanne sine systemer ud fra sine backups og beredskabsplan.

Hvad kan/bør virksomheden gøre efter et ransomware angreb?

  • Der bør afholdes et post-incident debriefing af krise teamet.

  • Relevant dokumentation og data fra gendannelsesprocessen skal sikres og arkiveres.

  • Sikre, at man får fulgt op og med relevante interessenter såsom myndigheder, kunder og leverandører.

  • Justere sine krise-og beredskabsplaner.

  • Sikre, at man får implementeret yderligere relevante sikkerhedsforanstaltninger.

Min opfordring til virksomhedernes ledere og bestyrelser

Sørg for, som tidligere nævnt, at jeres virksomhed har de basale sikkerhedsforanstaltninger på plads – for i første omgang at undgå et ransomware angreb.

Hvis I tror, at det er dyrt at implementere sikkerhedsforanstaltninger, så forestil jer hvad det vil koste jeres virksomhed i penge og prestige, at blive udsat for et ransomware angreb og være ude af drift i dage eller ugevis.

Summa summarum

  • Sørg for, at virksomhedens basale sikkerhedsforanstaltninger inkl. Krisehåndterings- og beredskabsplan er beskrevet og gerne trænet/øvet.

  • Sørg for at have klare aftaler med eksterne eksperter, som I påtænker at skulle benytte i fald af et ransomware angreb.

  • Sørg for løbende at opdatere og teste jeres krisehåndterings- og beredskabsplaner.

  • Og noget nogen måske ikke får tænkt over – i tilfælde af et ransomware angreb, så sørg for at have udskrevet jeres planer så de er fysisk tilgængelige, da I ikke kan regne med at kunne tilgå dem digitalt.

Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.

Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?

Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.



Computerworld ... grobund for markante meninger om it
Har du en holdning? Del din viden på Computerworld »
Mogens Nørgaard
Mogens Nørgaard
Erik David Johnson
Erik David Johnson
Annette Vendelbo
Annette Vendelbo
Mikael Johansson
Mikael Johansson
Candid Wüest
Candid Wüest
Mogens Nørgaard
Mogens Nørgaard
Martin Schramm
Martin Schramm
Andreas Kiær
Andreas Kiær
opinion
Mogens Nørgaard
Mogens Nørgaard
Nørgaard: Jeg kunne have været ejer af KMD, hvis ikke nogle pengedrenge havde kontaktet KMD's chefer
Læs indlæg
Artikel teaser billede

Erik David Johnson

Generativ AI i praksis: Store sprogmodeller ændrer fuldstændig spillereglerne for klassisk anvendelse af machine learning

Artikel teaser billede

Annette Vendelbo

Skal der spilles agilt teater eller skabes robuste resultater og målbare forbedringer?

Artikel teaser billede

Mikael Johansson

AI vil ikke slå os alle sammen ihjel – men hvor bliver internettet dog et utrolig irriterende sted på grund af AI

Artikel teaser billede

Candid Wüest

Har I taget jeres egen iltmaske på, før I hjælper jeres kunder med it-sikkerhed?

Mest læste klummer og blogs
AI vil ikke slå os alle sammen ihjel – men hvor bliver internettet dog et utrolig irriterende sted på grund af AI
Klumme: Halvandet år er gået efter den skæbnesvangre dag, hvor openAI lancerede ChatGPT – og de fleste af os har stadig vores job. Robotterne tog ikke alle vores arbejdsopgaver, men imens mange kommer til at elske det, så spår jeg store frustrationer på nettet – på grund af AI.
Af: Mikael Johansson
Nørgaard: Gør som de andre: Tag ingen beslutninger og gør intet
Klumme: Vi har fortalt Forsvaret, at de skal opruste og give den gas for 200 milliarder, men samtidig skal stoppe alle reparationer af bygninger m.m. og fyre nogle folk for at spare et par hundrede millioner her og nu.
Af: Mogens Nørgaard
Generativ AI i praksis: Store sprogmodeller ændrer fuldstændig spillereglerne for klassisk anvendelse af machine learning
Klumme: Hvad er sammenhængen mellem klassisk machine learning (ML), som vi har haft i mange år, og så de helt nye store sprogmodeller inden for Generativ AI? Få svaret her.
Af: Erik David Johnson
Mogens Nørgaard
opinion
Mogens Nørgaard
Nørgaard: Jeg kunne have været ejer af KMD, hvis ikke nogle pengedrenge havde kontaktet KMD's chefer
opinion Mogens Nørgaard
Nørgaard: Gør som de andre: Tag ingen beslutninger og gør intet
Læs indlæg

Premium
Teaser billede
Så mange af de statslige it-projekter er gået over budget siden 2018: Se hele listen her
Læs mere »
Efter kæmpe-nedbrud i april: Statens It vil for første gang bygge testmiljø
GlobalConnect lander kæmpe-underskud - omsætningen runder fem milliarder kroner
Sådan har Topsoe rullet AI ud til 2.700 medarbejdere: Fik 158 forslag til konkrete AI-projekter - udvalgte 15 pilotprojekter
Se alle »
Computerworld
Teaser billede
Apotekskæde lukker alle butikker efter "cybersikkerhedshændelse"
Læs mere »
Test: Vi vil altså virkeligt gerne beholde HP's nye pc - men den koster 360.000 kroner
Hypet browser bliver nu lanceret til Windows: Skal blive til et styresystem for internettet
Test: Disse små højttalere til 44.000 kroner per sæt vil blæse dig bagover - både visuelt og lydmæssigt
Se alle »
CIO
Teaser billede
Top-CIO Anne Nørklit færdig hos Tryg: “Jeg vil bruge sommeren på at overveje, hvad fremtiden skal bringe”
Læs mere »
Her er Trygs nye CIO - afløser Anne Nørklit Lønborg
Her er Danmarks fem bedste CIO’er lige nu: Se de fem nominerede til prisen som Årets CIO 2024
Tre måneder efter exit fra Scandiavian Tobacco: Top-CIO Kenneth Messerschmidt har landet nyt job
Se alle »
Job & Karriere
Teaser billede
Her er Danmarks fem bedste CIO’er lige nu: Se de fem nominerede til prisen som Årets CIO 2024
Læs mere »
Knap 40 procent af disse it-folk tjener tjener mindst 57.000 kroner om måneden
Medarbejderne fik udleveret badetøfler ved indflytningen: Kom med inden for i IBM Danmarks nye topmoderne hovedkontor
Så meget tjener dine kollegaer: Her er alle data fra Computerworlds store it-lønstatistik for 2024
Se alle »
White paper
Teaser billede
Sådan høster du forretningsfordelene ved Internet of Things
Læs mere »
Sæt turbo på din cloudperformance og minimér risikoen for DDoS-angreb
Unbreakable - sådan sikrer du dig vedvarende og uafbrudt adgang til dine data
Opdag fordelene ved cloud-baseret backup og recovery
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »