Styrk cybersikkerheden med en hændelses- og responsplan

Styrk cybersikkerheden med en hændelses- og responsplan

5 minutters læsning. Udgivet den 25-04-2022 under kategorien: cybersikkerhed.

Hændelses- og responsplanlægning er en vigtig ressource hos virksomheder, der fokuserer på deres cybersikkerhed. Dette skyldes, at de er klar over den store trussel, som cyberangreb udgør, og de er klar over, at de før eller siden vil blive ofre for et cyberangreb.

Følsomme data og fortrolige oplysninger er meget værdifulde i den moderne digitale tidsalder, og cyberkriminelle forsøger konstant at få fat i disse. Og da det kun er et spørgsmål om tid, før en virksomhed bliver angrebet, er det relevant for alle virksomheder at have en solid hændelses- og responsplan. Men hvad består en hændelses- og responsplan konkret af, og hvad er de vigtigste syv responsfaser?

I dette blogindlæg diskuterer vi de syv faser af responsprocessen for hændelser inden for cybersikkerhed, og hvordan I som virksomhed kan skabe jeres egen effektive og overbevisende hændelses- og responsplan.

Hvad er en hændelses- og responsplan?

Alle virksomheder bør sætte sig grundigt ind i, hvad en hændelses- og responsplan indebærer, og hvordan den udformes.

En hændelses- og responsplan er en handlingsplan, som jeres virksomhed kan implementere, når en sikkerhedshændelse, som et cyberangreb, indtræffer. Planen bør ideelt set være et skarpt, kortfattet dokument, der beskriver de responstrin, der skal udføres af hændelses- og responsteamet og informationssikkerhedsteamet.

Planen bør også inddrage roller og ansvar for alle i direktionen og ledelsen, som kan være involveret i hændelseshåndteringsprocessen.

Planen skal svare på spørgsmål som: Hvad skal der gøres med de berørte brugerkonti og de berørte systemer? Hvilken kommunikationskæde skal følges? Hvem skal informeres hvornår, hvordan og af hvem? Skal de retshåndhævende myndigheder kontaktes, og hvis ja, hvornår?

Alle disse spørgsmål, der vedrører den umiddelbare eftervirkning af den periode, hvor hændelsen opstår, bør ideelt set dækkes i hændelses- og responsplanen.

Hvad er de syv responsfaser efter en sikkerhedshændelse?

Ifølge det amerikanske National Institute of Standards and Technology eller NIST har en hændelses- og responsplan fire hovedfaser. Imidlertid opdeler mange cybersikkerhedseksperter disse i en mere omfattende liste med syv responsfaser. Vi vil beskrive alle syv faser her.

1. Forberedelse på fremtidige hændelser

Som navnet antyder, kommer denne fase af hændelses- og responsplanen før hændelsen overhovedet finder sted. Det er en meget vigtig fase, der er afgørende for, hvordan din virksomhed kan reagere på en sikkerhedshændelse.

Forberedelsesfasen af en hændelses- og responsplan tager højde for, at virksomheden med stor sandsynlighed vil blive ramt af et angreb før eller siden og sørger for at forberede virksomhedens og dens nøgleinteressenter på et fremtidigt angreb.

Denne fase handler udelukkende om risikovurdering, hvor man i virksomheden vurderer, hvor de største sårbarheder ligger, hvilke aktiver der er størst sandsynlighed for at blive angrebet, og hvad virksomheden skal gøre, når den bliver angrebet.

Definition af klare kommunikationskanaler, fastlæggelse af hvilke responstrin der skal blive fulgt, fastholdelse af kritiske forretningsplaner og aktiviteter mm. er alle en del af denne kritiske fase af hændelses- og responsplanen. At tilbyde awareness-træning af høj kvalitet til jeres ansatte falder også ind under denne fase.

2. Identifikation af hændelsen

Denne fase handler udelukkende om at identificere den hændelse eller cyberangreb, der har fundet sted. At identificere hændelsen umiddelbart efter den indtræffer, er afgørende for at sikre, at den, måske kritiske, situation ikke kommer ud af kontrol.

Denne fase starter med at vurdere, om den pågældende hændelse er et cyberangreb, og hvis ja, hvor kritisk er den? En fastlæggelse af alvorsgraden udgør en stor del af denne fase.

Derefter kommer spørgsmål om de aspekter af virksomheden, der er blevet kompromitteret. Hvilken præcis skade forårsager hændelsen? Klassificering af sikkerhedshændelsen afhængigt af angrebets type er også en del af denne fase.

3. Begrænsning af hændelsens konsekvenser

Kontrol af konsekvenserne af hændelsen udgør den næste fase i hændelses- og responsplanen. Virksomheden skal allerede have en strategi på plads, der kortlægger hvordan I kan begrænse skaderne eller konsekvenserne.

Sørg for, at virksomheden under begrænsningsfasen tager både kortsigtede og langsigtede strategiske elementer i betragtning. Aspekter som hvilke systemer, der kan crashe i tilfælde af et cyberangreb og hvilke backupprocesser, der er på plads, skal diskuteres i denne fase.

4. Eliminering af årsagen til hændelsen

Denne fase i hændelses- og responsplanen omhandler eliminering af årsagen til sikkerhedshændelsen. Når virksomheden har begrænset situationen og identificeret den grundlæggende årsag til problemet, skal I finde en løsning for at eliminere den.

Udover at fjerne eventuel malware på en sikker måde, lægger denne fase også vægt på at reparere sårbarheder og opdatere gamle versioner af software.

5. Gendannelse af systemer eller data

Når sårbarhederne er blevet fikset, og malware er blevet elimineret, er gendannelse den næste fase. Denne fase fokuserer på at få systemerne op at køre igen.

Overvågning af systemerne og dataene og sikring af, at de er korrekt gendannet eller genstartet, er afgørende for, at driften vender tilbage til normal igen.

6. Refleksion over hændelsen

Et af de mest kritiske aspekter af enhver form for hændelses- og responsplanlægning er refleksion. Dette omtales også ofte som 'post hændelse'-handlinger. Når man ser tilbage på hændelsen og evaluerer, hvordan den blev håndteret, vurderer om tiltagene var nok og vurderer, om alle centrale beslutningstagere og interessenter reagerede præcist og effektivt. Disse er nogle af de aspekter, I kan gennemgå i denne fase af hændelses- og responsplanen.

Hvis der skal foretages ændringer i hændelses- og responsplanen, vil dette være fasen, de skal introduceres i.

7. Test, test, test

Ved hjælp af jeres hændelses- og responsplan har I forhåbentlig klaret jer igennem en alvorlig sikkerhedshændelse. Men det er vigtigt at huske, at det ikke nødvendigvis betyder, at I klarer jer igennem endnu en hændelse. Cyberkriminelle angriber ofte de samme virksomheder flere gange, hver gang med en ny strategi eller en ny angrebsform.

Dette er grunden til, at I som virksomhed løbende skal teste og gennemøve jeres hændelses- og responsplan og prøve at finde eventuelle huller i den, som kriminelle kan forsøge at udnytte næste gang.

Forfatter Sofie Meyer

Kort om forfatteren

Sofie Meyer er copywriter og phishing-aficionado her i Moxso. Hun er uddannet cand.mag. i dansk og har gennem sin uddannelse haft en stor interesse for cyberkriminalitet, hvilket resulterede i et specialeprojekt om phishing.

Lignende indlæg