Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.
Selv om mange nok umiddelbart vil tilskrive Mark Twain at stå fader til nedenstående udtryk, bør man i virkeligheden rettere tilskrive det til Arthur James Balfour der menes at have sagt det, som den første tilbage i 1892.
Udtrykket går på, at der er tre typer af løgne.
1) Løgne.
2) Forbandende løgne.
3) Statistik.
Personligt er jeg principielt altid skeptisk, når jeg læser statistikker, men det er svært at lukke øjnene for, at alle statistikker, jeg i hvert fald har set og læst, peger på, at der er en meget kraftig stigning i antallet af cyber-incidents og dermed også antallet af de bekostelige ransomware-angreb.
Ransomware er blevet en meget indbringende forretning for de cyberkriminelle.
Det synes også uomtvisteligt, at det qua den hastigt stigende grad af digitalisering i mange virksomheder også er blevet dyrere at blive udsat for et ransomware-angreb.
Man bør som ansvarlig virksomhed derfor naturligvis sikre sig, at man har et balanceret cyber-forsvar i sin virksomhed.
Balanceret blandt andet ud fra virksomhedens størrelse, hvilken industri, som virksomheden opererer i, og kompleksiteten af virksomhedens it-infrastruktur.
Det er dog ikke muligt helt at gardere sig imod at blive udsat for et succesfuldt ransomware-angreb.
Det er derfor vigtigt, at man også har sin krisestyring på plads sammen med en beredskabsplan – også kaldet en Disaster Recovery Plan.
Disse planer bliver ofte udarbejdet af it, men planerne bør involvere interessenter fra alle dele af virksomheden.
Det kan spare virksomheden for rigtig mange penge (i værste fald undgå konkurs – som det for nyligt skete for CloudNordic - i form af væsentlig kortere nedetid, hvis man har sine krise- og beredskabsplaner på plads og øvet dem.
Jeg vil i nedenstående, baseret på min erfaring, give en række input til, hvad man som virksomhed bør sikre sig hhv. før, under og efter at man har været udsat for et ransomware-angreb.
Det skal siges, at jeg heldigvis endnu aldrig selv har stået i spidsen for at tackle et succesfuldt cyberangreb.
Jeg har været med til at afværge forsøg på cyberangreb, og jeg har været med til at planlægge, udføre og deltage i en række kriseøvelser.
Hvad kan/bør virksomheden gøre før et ransomware angreb?
Udover, som tidligere nævnt at have et balanceret cyber forsvar på plads, i form af at have skabt bruger kendskab til cyber-sikkerhed, at have password-kontroller på plads, patche systemer regelmæssigt, tage backup og teste restore af disse m.v. bør man i min optik gøre følgende:
- Udarbejde en krisehåndteringsplan, der som minimum bør beskrive følgende:
- En definition af hvad der anses for en ”krise”.
- Hvad er teamets formål og mandat.
- Hvem er medlemmer af krisehåndterings teamet.
- Beskrivelse af hvert medlems rolle og ansvar – før, under og efter en krise.
- Hvordan aktiveres teamet og eventuelt af hvem.
- Veldefineret struktureret tilgang (playbook/runbook) til håndtering af en krise.
- Træning/øvelse af planen.
- Udarbejde en ”beredskabsplan”, der som minimum bør beskrive følgende:
- Omfang og formål.
- Risikovurdering af relevante scenarier.
- Analyse af forskellige scenariers indvirkning på virksomheden.
- Gendannelses strategi.
- Beskrivelse af hvordan planen skal eksekveres.
- Udarbejdelse af veldefinerede struktureret tilgange (Playbooks/runbooks) for de mest kritiske krise scenarier.
- Træning/øvelse af planen.
- Etablere relevante ”sub teams” (IT, Kommunikation, Finans, Salg, Marketing, Logistik, HR m.fl.), hvor det giver mening
Hvad kan/bør virksomheden gøre under et ransomware angreb?
Hvor det i den omtalte krisehåndteringsplan under punkt 1 mest går på at tage beslutninger på højeste niveau, med CEO’en for bordenden, i virksomheden omkring håndtering af ransomware-angrebet er vi her mere på det operationelle niveau, når først man er under angreb.
Det er her, at man får brug for sine udarbejdede planer og erfaring fra øvelser.
Det vil her være en være en afgørende forskel og fordel at have beskrevet, hvem der er med i it-krise-teamet – det vil som oftest i dette team være den it/it-sikkerhedsansvarlige, der sidder for bordenden.
Hvis man er en mindre eller mellemstor virksomhed, har man med stor sandsynlighed behov for at trække på eksterne eksperter.
Ja, selv de største virksomheder vil have behov for at få assistance fra eksperter, som kan hjælpe med at inddæmme og stoppe skaden, men også eksperter der kan hjælpe med at forhandle og købe tid i forhold til dem der har angrebet.
Under selve angrebet er følgende vigtigt og hurtig handling er fuldstændig essentielt:
- Indkalde sine eksterne eksperter.
- Inddæmme og isolere berørte systemer – hvilket ofte er for sent, når et angreb opdages.
- Kommunikere jf. sine udarbejdede krisehåndteringsplaner – husk at rapportere til relevante myndigheder såsom Datatilsynet, Center for Cyber Sikkerhed (hvis man er underlagt NIS) m.v.
- Afbryde sin forbindelse til internettet.
- Identificere hvilken type ransomware man er udsat for.
- Rense sine miljøer for ransomware.
- Gendanne sine systemer ud fra sine backups og beredskabsplan.
Hvad kan/bør virksomheden gøre efter et ransomware angreb?
- Der bør afholdes et post-incident debriefing af krise teamet.
- Relevant dokumentation og data fra gendannelsesprocessen skal sikres og arkiveres.
- Sikre, at man får fulgt op og med relevante interessenter såsom myndigheder, kunder og leverandører.
- Justere sine krise-og beredskabsplaner.
- Sikre, at man får implementeret yderligere relevante sikkerhedsforanstaltninger.
Min opfordring til virksomhedernes ledere og bestyrelser
Sørg for, som tidligere nævnt, at jeres virksomhed har de basale sikkerhedsforanstaltninger på plads – for i første omgang at undgå et ransomware angreb.
Hvis I tror, at det er dyrt at implementere sikkerhedsforanstaltninger, så forestil jer hvad det vil koste jeres virksomhed i penge og prestige, at blive udsat for et ransomware angreb og være ude af drift i dage eller ugevis.
Summa summarum
- Sørg for, at virksomhedens basale sikkerhedsforanstaltninger inkl. Krisehåndterings- og beredskabsplan er beskrevet og gerne trænet/øvet.
- Sørg for at have klare aftaler med eksterne eksperter, som I påtænker at skulle benytte i fald af et ransomware angreb.
- Sørg for løbende at opdatere og teste jeres krisehåndterings- og beredskabsplaner.
- Og noget nogen måske ikke får tænkt over – i tilfælde af et ransomware angreb, så sørg for at have udskrevet jeres planer så de er fysisk tilgængelige, da I ikke kan regne med at kunne tilgå dem digitalt.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.