Når en bandit har sneget sig ind i dine it-systemer, er det vigtigt at få sikret de digitale beviser.
Sådan lyder det i en kampagne, som Styrelsen for Samfundssikkerhed har søsat i dag gennem sin platform Sikkerdigital.dk.
“Sikringen af digitale spor skal altid ske umiddelbart efter et angreb, og inden du slukker dit it-udstyr,” fremgår det.
For kun to uger siden annoncerede beredskabsminister Torsten Schack Pedersen (V) det ‘Nationale Risikobillede 2025.’ Her spiller ‘cyberhændelser’ en fremtrædende rolle, fordi vores samfund er så forbundet.
Cyberangreb kan tage mange former. Derfor er det forskelligt, hvilke slags digitale beviser, som er nødvendige at indsamle.
Men ransomware-angreb er stadig den helt store trussel på tværs af dansk erhvervsliv.
Listen af gode råd er udarbejdet i samarbejde med Nationalt Cyber Crime Center (NC3), der hører under NSK.
Hent disse digitale beviser
Her følger de vigtigste digitale beviser at få indhentet, hvis din virksomhed bliver udsat for et ransomware-angreb:
- Ransomware-noten.
- Tre krypterede filer.
- Kopier af ramte computere og servere – herunder kopier af RAM (computerens arbejdshukommelse), hvis de ikke har været slukkede.
- Logs fra eksempelvis EDR/NDR/XDR, AV, IDPS, FIM, SYSMON eller lignende.
- Kopier af filer, programmer eller andet efterladt af gerningspersonen.
- Kryptovalutaadresser relateret til gerningspersonen.
- Kommunikation med gerningspersonen.
Husk disse principper
Styrelsen for Samfundssikkerhed og NC3 har ligeledes fået hjælp af private leverandører - incident response-teams - som rykker ud, når virksomheder er under cyberangreb.
Parterne har udarbejdet en række principper, som er gode at holde sig for øje i den første tid, hvor det ellers kan være svært at holde hovedet koldt.
- Data sikres hurtigst muligt, så de ikke går tabt. Husk at sikre en kopi af dit system, inden du fortsætter behandlingen af data, da der ellers er risiko for, at du kompromitterer potentielle beviser.
- Alle datasæt tildeles et ID-nummer, så politiet kan identificere, hvor data stammer fra.
- Der anvendes anerkendte datasikringsformater (for eksempel E01, AFF4, L01 eller åbne formater som for eksempel DD, DMG og KAPE), så data kan anvendes i politiets forensic-værktøjer.
- Der foretages en hash-beregning (for eksempel MD5 eller SHA1) pr. sikret datasæt. Dette skal sikre, at data er intakt fra sikringstidspunktet og ved senere undersøgelser.
- Der anvendes ubrugte eller wipede modtagermedier til datasikringen. På den måde risikerer data ikke at blive kontamineret med anden data.
- I forbindelse med datasikringen anbefales det at dokumentere en række forhold. Til dette kan du bruge skabelonen via linket her. Beskriv gerne, hvorfor du mener, at de sikrede data kan bidrage til at bevise hændelsesforløbet, og hvem der har foretaget sikringen.