cyberangrep

Artikkel

Cyberangrep: Hva gjør du?

Dette bør du gjøre før, under og etter et cyberangrep

Publisert: 6. desember 2022
Oppdatert: 7. november 2023

Av: Anna Lastad og Synne Rostgard

 

Globalisering og digitalisering er to sentrale fenomener som knytter verden sammen og former måten vi samhandler på. Teknologien er i en ekstrem utvikling hvor nærmest alt som går på strøm kan kobles til internett. Dette gir oss fantastiske muligheter og det åpner mange dører. Digitalisering gjør også at angrepsflaten blir mer og mer kompleks, og konsekvensene av cyberangrep øker i samme takt. De strekker seg over alle domener; finansielle, strategiske, operasjonelle, etiske, politiske, miljømessige, lov og reguleringer, liv og helse.

Cyberangrep kan forårsake ringvirkninger ut i verdikjeder og industrier, i tillegg til å ramme enkeltindivider og samfunnskritiske funksjoner. Risikoen for å bli offer for et cyberangrep er stor, og det kreves derfor et kontinuerlig fokus for å minimere sannsynligheten for å bli truffet. Likevel må virksomheter sørge for å ha en plan for å redusere konsekvensene dersom de skulle bli et offer og forhindre at cyberangrepet utvikler seg til en omfattende virksomhetskrise.

Hold deg oppdatert på teknologi og andre områder

Meld deg på vårt nyhetsbrev

Hvordan øke motstandsdyktigheten?

Det kan oppleves overveldende for en bedrift å sette seg inn i hvordan datasikkerheten kan forbedres, i tillegg til å finne ut av hvilke tiltak som er nødvendige for å beskytte seg mot cyberangrep. Det stilles allerede krav til informasjonssikkerhet for mange virksomheter gjennom ulike lovverk og reguleringer som Sikkerhetsloven, Normen, personopplysningsloven (GDPR) og EUs Digital Opertional Resilience Act (DORA). I tillegg ble NIS2-direktivet formelt godkjent i januar 2023, så forutsatt at NIS2 tas inn i EØS-avtalen, vil Norge og norske virksomheter forventes å være innrettet etter direktivet og en oppdatert nasjonal lov som bygger på direktivet innen 18. oktober 2024.

Hver organisasjon må til enhver tid ha oversikt over hvilke lover og regler som gjelder for dem på de lokasjonene de opererer. Det finnes også flere rammeverk som setter standarden for god praksis når det gjelder cybersikkerhet. Felles for mange er at de definerer anbefalinger om hvilke aktiviteter virksomheter bør gjøre for å øke sin motstandsdyktighet i fasene før, under og etter hendelser.
 

Dette bør du gjøre før cyberangrepet

Før hendelser oppstår, bør fokuset ligge på å bygge opp motstandsdyktigheten. For å få til dette må alle virksomheter ha et bevisst forhold til den konteksten som bedriften opererer i og kartlegge sine kritiske prosesser, slik at alle avhengigheter identifiseres. Med en etablert cyberstrategi, vil virksomheten være i stand til å stille tydelige krav internt og eksternt, inkludert sikkerhetskrav til IT-løsninger.

Som neste steg kan virksomheten utarbeide de planer og prosedyrer som er nødvendige for å håndtere hendelsen som kan oppstå. Dette er et tidkrevende arbeid, og prosesseiere kan være uenige i hvilke prosesser eller systemer som er viktigst. Midt i en krise vil det være unødvendig ressurskrevende å finne ut av dette. Motstandsdyktighet krever toppledelsens støtte og kontinuerlig fokus. Dersom bedriften er villig til å gjøre denne investeringen, vil gevinsten være at konsekvensene blir betydelig mindre når en hendelse først skjer.

Når cyberangrepet har skjedd

Når cyberangrepet først har skjedd, går minuttene fort, og for å kunne håndtere krisen raskt og målrettet blir kommunikasjon og samhandling nøkkelfaktor. Kriseteamet må ha en god dialog for å kunne etablere en felles situasjonsforståelse, noe som er helt avgjørende for å arbeide sammen mot et felles mål. Her gjelder det å skape forståelse for hva som hittil har skjedd og hva bedriften står ovenfor. Det kreves et tilpasningsdyktig kriseteam med en situasjonsbetinget ledelse. Situasjonen kan endre seg kjapt, og informasjon må deles fortløpende for å ivareta en dynamisk situasjonsforståelse.

Under et angrep kan virksomheten miste tilgang på alle data, eller risikere at angriperen overvåker samtlige systemer. Man bør derfor unngå å bruke kommunikasjonsverktøy på bedriftens IT-system under en krise, som epost, chat, videokonferanser, intranett og lignende. Før hendelsen er det derfor lurt å implementere alternative kommunikasjonskanaler som er uavhengig bedriftens IT-system. For å skape en mer effektiv krisehåndtering, kan planverket med fordel inneholde retningslinjer og forhåndsbestemte handlingsmønstre.

Gjenoppretting etter cyberangrepet

Planer for gjenoppretting skal sørge for at prosesser blir gjenopprettet i en prioritert rekkefølge, helt ned til IT-infrastruktur og maskinvare. Dette bør koordineres av et team sammen med de ulike prosess- og systemeierne. Når isolering og etterforskning av hendelsen er gjennomført, kan arbeidet med gjenoppretting og returnering til normal tilstand starte. Veien mot dette punktet kan være utfordrende, for når vet du egentlig om du kan stole på systemene dine? Hvor lenge har angriperen hatt tilgang? Noen ganger finner man svaret, mens man andre ganger må leve med usikkerheten. Gjenoppretting etter et stort cyberangrep kan ta lang tid dersom man ikke har utarbeidet en god plan på forhånd.

Etter et cyberangrep er det viktig å gjøre en grundig evaluering av angrepet og håndteringen. Ved å trekke ut læringspunkter fra hendelsen, vil virksomheten kunne avdekke hull eller forbedringer i planverket og gjøre virksomheten bedre forberedt på et eventuelt fremtidig angrep. Gjennomgangen vil også kunne skape forståelse av krisen, håndteringen og skadeomfanget. Samtidig vil det være nyttig for andre virksomheter å lære. Erfaringen kan også tjene som en realitetsvekker for andre bedrifter. Jo mer forberedt man er på et cyberangrep, desto bedre vil man håndtere det.

 

Utforsk våre CIR3-tjenester.

Var denne siden nyttig?