Der bliver sagt og skrevet helt utroligt meget om hackere, trusselsbilleder, fjendemotiver angrebsmetoder og alle de andre cyberrelaterede emner, der er forbundet med at drive virksomhed. Men hvad ved vi egentlig om, hvad der sker, når et cyberangreb ruller, og en virksomhed bliver lagt ned i dage, uger eller måneder? Kun en lille smule, fordi det i sagens natur er sårbart at dele ud af sine erfaringer, når man lige er blevet ramt på omdømme og omsætning.
Derfor har jeg teamet op med min kollega Morten von Seelen, som er Senior Manager for cybersikkerhed i Deloitte og leder af vores Incident Response Team. Morten én af dem, der rykker akut ud, når en virksomhed oplever et cyberangreb.
Jeg har stillet Morten fire spørgsmål. Fire spørgsmål, der skal gøre jer klogere på, hvilke scenarier der udspiller sig bag linjerne, når tæppet pludselig bliver revet væk under en forretning. Og fire spørgsmål, der måske kan være med til at reducere sandsynligheden for, at I bliver ramt – eller som kan minimere jeres omkostninger, hvis I bliver ramt. Det sidste er mindst lige så vigtigt som det første.
Brug jeres eksisterende sikkerhedsroadmap
Baseret på de mange oprydningsopgaver, du har været involveret i, hvad er så det overordnede mønster, når vi skal forstå, hvorfor virksomheder bliver ramt af cyberangreb?
“Når vi rykker ud, har alle virksomheder uden undtagelse et fint roadmap over de sikkerhedstiltag, de gerne vil have implementeret. Men de er for det første ikke kommet så langt med deres planer, som de ønskede. Og for det andet mangler de at implementere nogle grundlæggende sikkerhedstiltag, som gør dem til nemme ofre for hackere. Så mønsteret er, at virksomhederne faktisk godt ved, hvad de skal gøre, og de har lagt de rigtige planer. Men de er ikke langt nok i eksekveringen, og derfor går det tit galt. Hvis et ideelt sikkerhedsprojekt tager to år at gennemføre, er det bedre at tage hul på det og kun komme halvvejs i mål, end det er at blive ved med at skyde det. For det kan betyde forskellen på, om det er hele eller kun dele af forretningen, der bliver lagt ned under et angreb.”
Det gør ondt, men tempoet kan godt sættes op
Hvordan skal samspillet mellem it og forretningen være, så virksomheden kan prioritere de rigtige sikkerhedstiltag?
“I forbindelse med et angreb har jeg været med til at implementere tofaktor-godkendelse på under 24 timer, selvom det var et projekt, virksomheden havde sat et halvt år af til. Jeg har også været med til at migrere et ældre ERP-system op i skyen på en weekend, selvom projektet var planlagt til at tage tre år. Det kunne lade sig gøre, fordi vi ikke havde andre muligheder. Der er jo ingen, der ønsker at lave en ERP-migrering på to dage. Ingen. Men det viser bare, at når platformen virkelig brænder, kan projekter gennemføres meget hurtigt. Det kræver, at forretningen, som har risikoejerskabet, og it, som skal implementere tiltagene, er afstemt, så der er enighed om at prioritere opgaver, afsætte ressourcer og så videre. Meget kan lade sig gøre, hvis man virkelig vil det. Og det behøver ikke at blive dyrere af den grund, tværtimod.”
Genopretning er en holdindsats
Er der noget, virksomheder som oftest undervurderer, når de bliver ramt?
“Den tid, det tager, og det samarbejde, det kræver. I den klassiske tilgang til Incident Response fokuserer man meget på det tekniske aspekt af et angreb, hvor man får serverne op at køre igen, genopretter data og så videre. Det kan være udmærket, men problemet er, at det ofte tager lang tid. Når vi rykker ud, går ét hold i gang med at efterforske og stoppe angrebet på det tekniske niveau, mens andre hold arbejder på eksempelvis det juridiske, finansielle og kommunikative niveau samtidig. Alle discipliner er i gang, fordi niveauerne er dybt afhængige af hinanden. Ofte prioriterer vi faktisk sådan noget som juridiske forhold og intern og ekstern kommunikation over det tekniske, fordi vi gerne vil komme i kontrol hurtigst muligt, sende de rigtige signaler til omverdenen og få forretningen i gang igen.”
Styr på backupprocessen
Hvad kommer mest bag på de virksomheder, der bliver ramt?
“Noget af det, der kommer bag på alle, er, hvor lang tid det tager at gendanne data fra backup. Man tror, at bare fordi man har backuppen, kan man hurtigt komme op at køre igen. Men for hvert system, man har, går der x antal timer, før det er oppe at køre igen. Det vil sige, at man skal gange x antal timer med x antal systemer. Hele øvelsen kan sagtens tage uger, hvis man ikke har forberedt sig ordentligt. Omvendt kan man også barbere backupprocessen ned til to dage, hvis man har bygget det rigtigt i infrastrukturen. Det er blandt andet sådan noget, man bør træne på forhånd.
Værdien af at simulere et angreb, der lægger alle virksomhedens servere ned, og eksempelvis finde ud af, at backupstrategien ikke virker, er enorm. Det er langt dyrere og kræver langt flere ressourcer at finde ud af det, når stormen raser.
Og det skal altså trænes; man kan ikke tænke sig frem til det. Jeg har eksempelvis arbejdet med en virksomhed, som havde deres backupdata liggende hos en professionel leverandør. Da virksomheden blev ramt af et angreb, og de havde brug for at trække alle deres forretningsdata ud nu og her, viste det sig, at den linje, leverandøren skulle uploade til, slet ikke var dimensioneret til den mængde data. Det tog mere end 14 dage at få deres data ud, og imens lå forretningen helt stille. Det gør ondt.”