<img height="1" width="1" style="display: none" src="https://www.facebook.com/tr?id=2415267652073743&amp;ev=PageView&amp;noscript=1">
Meny

Artikel

Vad händer efter ett cyberangrepp

Dizparc , November 2024

två män sitter bredvid varandra och jobbar på laptops

Att antalet cyberangrepp ökar är ingen nyhet. Många verksamheter är i full gång att rusta och stärka sin cybersäkerhetsförmåga för att möta en allt större hotbild. Att rusta för ett angrepp är en sak, men vad gör du om olyckan faktiskt varit framme och en illvillig aktör lyckats orsaka stor skada i din IT-miljö? Hur kommer ni på fötter igen och kan återgå till “business as usual”?

När en incident inträffar är det inte ovanligt att frågan om cybersäkerhet plötsligt seglar högt upp på verksamhetens agenda. Vanligtvis sätter ett angrepp igång en rad av aktiviteter fokuserade på att förbättra interna rutiner och processer för IT. Oftast med målet att stärka sin förmåga för att skydda sig mot framtida angrepp och minimera risken för liknande händelser genom att få en proaktiv strategi för IT-säkerhet och riskhantering på plats.

Efter att en incident har hanterats genomförs vanligtvis en utvärdering av händelsen för att identifiera lärdomar och möjligheter till förbättring av företagets rutiner, processer och säkerhetsåtgärder. Det kan inkludera att genomföra säkerhetsrevisioner, uppdatera säkerhetspolicys och genomföra utökad säkerhetsträning för personalen.

Bättre sent än aldrig

När ett angrepp har skett är det ju som bekant redan för sent och många verksamheter som blivit utsatta ställer sig vanligtvis frågan “varför tog vi inte tag i detta innan”? Rutiner och processer är en viktig del i alla verksamheter och har man inte koll på dessa och är noga med uppdatering och revidering av dem på årlig basis kan det slå hårt mot företaget när en incident väl inträffar. Då blir verksamheten vanligtvis brutalt medveten om att en del saker inte fungerar som tänkt och att betydligt mer övningar kopplat till tänkbara scenarier borde ha genomförts.

Vilka rutiner och processer bör då finnas på plats för att man ska kunna känna sig trygg i att en incident går att hantera? I vilken ände ska man börja om man upplever att verksamheten halkat efter inom just säkerhetsområdet? Våra experter möter dagligen verksamheter som råkat ut för angrepp och rekommenderar alltid att tydliga policys tas fram. Policys bör tydligt definiera ansvarsfördelningen för IT inom organisationen inklusive vilka avdelningar eller roller som är ansvariga för olika aspekter av den som exempelvis systemadministration, försörjning (fiber och el) nätverkssäkerhet, datahantering osv. För att  policys ska bidra på ett positivt sätt behöver de omfamnas av hela verksamheten och inte bara medarbetarna på IT-avdelningen.

Vilka frågor bör en policy besvara?

Policys bör klargöra de specifika kraven och skyldigheterna som gäller för att upprätthålla företagets cyberförsäkring. Det kan inkludera krav på att följa säkerhetsåtgärder och incidenthanteringsprocesser samt att rapportera incidenter till försäkringsbolaget i enlighet med deras riktlinjer. Medarbetarnas skyldigheter bör finnas tillgängliga på intranätet samt informeras och kommuniceras vid nyanställningar. Policys bör inkludera krav på utbildning och medvetenhetshöjande åtgärder för att säkerställa att alla anställda förstår vikten av IT-säkerhet och deras roll i att förebygga och rapportera säkerhetsincidenter. Exempel på frågor som kan vara bra att policys kopplade till cybersäkerhet tydliggör är:

  • Finns det redundans i strömförsörjningen?
  • Vilken UPS backup finns?
  • Hur länge kan vi köra våra lösningar på batteri?
  • Om fibern försvinner till vår datahall, vad gör vi då?
  • Hur länge kan vi klara ett totalt driftstopp?
  • Vad kostar ett stillestånd och hur förhåller sig den kostnaden till vad det kostar att göra ökade investeringar för att förebygga angrepp?
  • Vilka system startar vi upp först efter ett stillestånd? Vilka system är viktigast att få upp först och varför? Vilka system är beroende av varandra?
  • Fungerar backupen? Är den testad?
  • Hur rapporteras, utreds, åtgärdas och dokumenteras incidenter.
  • Vilka kommunikationskanaler ska användas vid incidenthantering? Vem informerar om vad och när?
  • Vilka roller och ansvar gäller vid en incident? Vilka rutiner ska följas?
  • Hur ser processerna ut? Finns det en tydlig processkarta på plats som klargör vad som gäller när.
  • Hur kartläggs våra system och hur ser den löpande underhållsplanen ut?

Ja, listan för vad som bör omfattas kan göras väldigt lång och ovanstående punkter är bara en del av vad du bör försäkra dig om att ni som verksamhet har svar på. Givetvis bör alltid policys anpassas utifrån en specifik verksamhets förutsättningar och behov.

Frågor kopplade till just IT-säkerhet behöver vanligen besvaras i flera av verksamhetens policys och kan därför ofta återfinnas i följande typ av dokumentation:

  • IT-policy
  • Säkerhetspolicy
  • Enhetspolicy (datorer, mobiler etc)
  • Incidentpolicy
  • Backuprutiner
  • Disaster Recovery Plan

Dags att styra upp era rutiner och processer?

Våra experter har lång erfarenhet av att hjälpa verksamheter att hantera allt som bör ske både före, under och efter ett cyberangrepp. Kontakta oss för ett första förutsättningslöst samtal kring hur vi kan hjälpa just er att öka cybersäkerhetsförmågan i vardagen.

Låt oss ta en kaffe

Ta en kontakt så hör vi av oss.