Cyberangrep: Hva gjør du?

Publisert: 6. desember 2022

Globalisering og digitalisering er to sentrale fenomener som knytter verden sammen og former måten vi samhandler på. Teknologien er i en ekstrem utvikling hvor nærmest alt som går på strøm kan kobles til internett. Dette gir oss fantastiske muligheter og det åpner mange dører. Digitalisering gjør også at angrepsflaten blir mer og mer kompleks, og konsekvensene av cyberangrep øker i samme takt. De strekker seg over alle domener; finansielle, strategiske, operasjonelle, etiske, politiske, miljømessige, lov og reguleringer, liv og helse.

Cyberangrep kan forårsake ringvirkninger ut i verdikjeder og industrier, i tillegg til å ramme enkeltindivider og samfunnskritiske funksjoner. Risikoen for å bli offer for et cyberangrep er stor, og det kreves derfor et kontinuerlig fokus for å minimere sannsynligheten for å bli truffet. Likevel må virksomheter sørge for å ha en plan for å redusere konsekvensene dersom de skulle bli et offer og forhindre at cyberangrepet utvikler seg til en omfattende virksomhetskrise.

Hvordan øke motstandsdyktigheten?

Det kan oppleves overveldende for en bedrift å skulle sette seg inn i hvordan datasikkerheten kan forbedres og iverksette nødvendige tiltak for å beskytte seg mot cyberangrep. Det stilles allerede krav om informasjonssikkerhet til mange virksomheter gjennom ulike lovverk og reguleringer som Sikkerhetsloven, Normen og GDPR. I tillegg trer EUs Digital Opertional Resilience Act (DORA) i kraft i 2024. Hver organisasjon må til enhver tid ha oversikt over hvilke lover og regler som gjelder for dem på de lokasjonene de opererer. Det finnes også flere rammeverk som setter standarden for god praksis når det gjelder cybersikkerhet. Felles for mange er at de definerer anbefalinger for hvilke aktiviteter organisasjoner bør gjøre for å øke sin motstandsdyktighet i fasene før, under og etter hendelser.

Dette bør du gjøre før angrepet

Før hendelser oppstår, bør fokuset ligge på å bygge opp motstandsdyktigheten. For å få til dette må alle virksomheter ha et bevisst forhold til den konteksten som bedriften opererer i og kartlegge sine kritiske prosesser, slik at alle avhengigheter identifiseres. Med en etablert cyberstrategi, vil virksomheten være i stand til å stille tydelige krav internt og eksternt, inkludert sikkerhetskrav til IT-løsninger.

Som neste steg kan virksomheten utarbeide de planer og prosedyrer som er nødvendige for å håndtere hendelsen som kan oppstå. Dette er et tidkrevende arbeid, og prosesseiere kan være uenige i hvilke prosesser eller systemer som er viktigst. Midt i en krise vil det være unødvendig ressurskrevende å finne ut av dette. Motstandsdyktighet krever toppledelsens støtte og kontinuerlig fokus. Dersom bedriften er villig til å gjøre denne investeringen, vil gevinsten være at konsekvensene blir betydelig mindre når en hendelse først skjer.

Når angrepet har skjedd

Når cyberangrepet først har skjedd, går minuttene fort, og for å kunne håndtere krisen raskt og målrettet blir kommunikasjon og samhandling nøkkelfaktor. Kriseteamet må ha en god dialog for å kunne etablere en felles situasjonsforståelse, noe som er helt avgjørende for å arbeide sammen mot et felles mål. Her gjelder det å skape forståelse for hva som hittil har skjedd og hva bedriften står ovenfor. Det kreves et tilpasningsdyktig kriseteam med en situasjonsbetinget ledelse. Situasjonen kan endre seg kjapt, og informasjon må deles fortløpende for å ivareta en dynamisk situasjonsforståelse.

Under et angrep kan virksomheten miste tilgang på alle data, eller risikere at angriperen overvåker samtlige systemer. Man bør derfor unngå å bruke kommunikasjonsverktøy på bedriftens IT-system under en krise, som epost, chat, videokonferanser, intranett og lignende. Før hendelsen er det derfor lurt å implementere alternative kommunikasjonskanaler som er uavhengig bedriftens IT-system. For å skape en mer effektiv krisehåndtering, kan planverket med fordel inneholde retningslinjer og forhåndsbestemte handlingsmønstre.

Gjenoppretting etter angrepet

Planer for gjenoppretting skal sørge for at prosesser blir gjenopprettet i en prioritert rekkefølge, helt ned til IT-infrastruktur og maskinvare. Dette bør koordineres av et team sammen med de ulike prosess- og systemeierne. Når isolering og etterforskning av hendelsen er gjennomført, kan arbeidet med gjenoppretting og returnering til normal tilstand starte. Veien mot dette punktet kan være utfordrende, for når vet du egentlig om du kan stole på systemene dine? Hvor lenge har angriperen hatt tilgang? Noen ganger finner man svaret, mens man andre ganger må leve med usikkerheten. Gjenoppretting etter et stort cyberangrep kan ta lang tid dersom man ikke har utarbeidet en god plan på forhånd.

Etter et cyberangrep er det viktig å gjøre en grundig evaluering av angrepet og håndteringen. Ved å trekke ut læringspunkter fra hendelsen, vil virksomheten kunne avdekke hull eller forbedringer i planverket og gjøre virksomheten bedre forberedt på et eventuelt fremtidig angrep. Gjennomgangen vil også kunne skape forståelse av krisen, håndteringen og skadeomfanget. Samtidig vil det være nyttig for andre virksomheter å lære. Erfaringen kan også tjene som en realitetsvekker for andre bedrifter. Jo mer forberedt man er på et cyberangrep, desto bedre vil man håndtere det.

Skrevet av Anna Lastad og Synne Rostgard