Tredje delen i vår artikelserie handlar om hur du kompletterar ditt cyberförsvar, specifikt relaterat till säkerhetsincidenter, och hur du bygger en lämplig organisation för att hantera incidenter. Vi beskriver våra erfarenheter kring vad organisationer behöver göra före – under – efter en incident inträffar för att begränsa de skador som kan uppstå.
Robust cyberförsvar
Kommunikation har en central roll, både vad gäller tekniska förutsättningar och dialogen mellan oss människor. Vi behöver kunna fortsätta bedriva våra verksamheter med minimal påverkan i händelse av en säkerhetsincident. Organisationer med djup förståelse för sin omvärld och som aktivt övervakar sina IT-, IoT- och OT-miljöer, samt säkrar sina kontinuitetsplaner, har ett mycket starkare skydd mot cyberhot.
Att vara proaktiv snarare än reaktiv är nyckeln till framgång i dagens digitala landskap, berättar Michael Mothander, Strategic Portfolio Manager Cyber Security på Telia Cygate.
För att lyckas med ett cyberförsvar som inte bara reaktivt skyddar och betraktas som en kostnad utan också bidrar till produktions- och kvalitetskrav i verksamheten, kan vi dela in förmågorna i tre delar och utgår från ett scenario som motsvarar ett klassiskt cyberangrepp:
- Före: Den del som handlar om proaktivt arbete och styrning
- Under: Hur effektivt ett angrepp eller någon form av säkerhetsavvikelse kan mötas
- Efter: Arbetet med att få verksamheten på fötter igen efter en incident
Idag ställer aktuella cyberhot krav på att säkerhetsarbetet utförs systematiskt och täcker en helhet, fortsätter Michael.
Före en säkerhetsincident
Det finns en hel del vi tillsammans kan göra för att arbeta mer förebyggande, berättar Tomas Eklind Tactical Portfolio Manager Cyber Security på Telia Cygate, och fortsätter;
För att skydda oss på rätt sätt behöver vi förstå vad som är skyddsvärt i verksamheten, det kan vara känslig information eller kritiska system, eller att fokus ligger på verksamhetens leveransförmågor.
Ett förberedande arbete inkluderar förståelse för vilka våra potentiella angripare är och hur de vanligtvis agerar. Vi behöver även förstå vår verksamhets externa fotavtryck. Vi lämnar olika spår efter oss som vi av erfarenhet vet kan utgöra lågt hängande frukter för en angripare. Hittar de något där kommer de prova det först. Genom att förstå mer om hur vi ser ut i angriparens ögon kan vi öka vårt eget skydd.
Samverkan med andra är en förutsättning för att lyckas. Telia och Telia Cygate samverkar med både myndigheter och andra organisationer inom och utanför Europa. Det gör vi för att få möjlighet att dra lärdomar från historiska och pågående händelser i syfte att förstå mer om angripares aktuella tillvägagångssätt. En välplanerad samverkan med kunder och andra partner lägger också en viktig grund för hur väl vi står rustade vid en säkerhetsavvikelse.
Under en pågående säkerhetsincident
Ett cyberangrepp sker oftast i flera planerade steg och på olika sätt. Om en angripare exempelvis hamnar i en återvändsgränd byter man metod för att försöka gå runt den. Vi behöver därför tänka som en cyberkriminell. Flera mindre händelser kan gemensamt leda till något större och allvarligare. Därför behöver vi samla in data och information från olika delar av våra nätverk och system så att vi genom analys kan få en korrekt helhetsbild.
Alla önskar ett snabbt avslut på ett cyberintrång. Vår gemensamma målsättning är att stoppa det som pågår så fort det bara är möjligt. Samtidigt fokuserar vi både på att minimera skador och förhindra vidare spridning. För att lyckas med det måste vi arbeta utifrån tydliga prioriteringar, allt är inte lika allvarligt när det handlar om enskilda händelser. Däremot ger god visibilitetsförmåga möjlighet att upptäcka enskilda operationella händelser som kan bidra till ökad kvalitet för verksamheten.
Vi samlar ju ändå in data och med hjälp av den kan våra tränade cybersäkerhetsanalytiker upptäcka information som leder oss till olika insikter, beskriver Tomas.
Om en säkerhetsincident har fått ordentligt fäste räcker det oftast inte med insatser bara från säkerhetsanalytiker, nästa steg är att involvera ett incidentteam. Incidentteamet är oftast en sammansättning av individer med olika roller och erfarenheter. Teamet agerar i nära samarbete med internt driftansvariga för IT-, IoT och OT-miljöer inom den egna verksamheten samt i vissa fall också med externa aktörer.
Ett tydligt och fungerande ledarskap under en attack kan vara helt avgörande för att nå ett lyckat resultat. Erfarenheter pekar tydligt på att ett starkt ledarskap ger goda möjligheter att snabbt och beslutsamt kunna reagera på hot. Samtidigt behövs förmåga till att upprätthålla en tydlig och lugnande kommunikation, både internt och externt.
Med transparens kring vad som hänt och vilka åtgärder som vidtas byggs förtroende, inte minst internt och mot ledningen samt mot externa intressenter, berättar Michael.
Efter en säkerhetsincident
När ett cyberangrepp är stoppat och verksamheten ska återgå till full produktion behövs en väldefinierad plan även för det. Det är inte “bara” att läsa tillbaka en säkerhetskopia för att återställa drabbade system. Vi behöver också försäkra oss om att kopian inte bär någon skadlig kod sedan tidigare. I värsta fall kan vi annars snabbt åter hamna tillbaka på ruta ett i incidentarbetet.
För en effektiv återställning krävs även här ett tydligt ledarskap. Det behöver vara glasklart vilken information som ska förmedlas, till vem och hur ska vi alla ska agera. Det gäller såväl verksamhetens medarbetare, som kunder, leverantörer och myndigheter. Många organisationer har också varit kloka och i förväg utsett en talesperson för media och kommit överens om vilka budskap som ska sändas i olika situationer.
De enskilt viktigaste delarna för att minimera den totala kostnaden vid en säkerhetsincident är arbetet med återställning, tillsammans med bra ledarskap och väl utförd kommunikation, beskriver Michael.
Ofta finns det efter en incident ett behov av att återuppbygga ett förtroende, och i de flesta fall är det lämpligt att försöka lära sig av det som inträffat. Det är därför viktigt att säkerhetsavvikelsens hela förlopp analyseras, brister identifieras så att säkerhetsstrategier kan förbättras. Ett sådant arbete resulterar ofta i att ytterligare säkerhetsåtgärder och förmågor etableras, arbetssätt förändras och att kommunikationsplanen förbättras och utvecklas.
5 tips för robust cyberförsvar
Tomas Eklind på Telia Cygate ger här fem råd för att bygga och förvalta ett robust cyberförsvar:
1. Exponering
Arbeta aktivt och förebyggande med att se över hur verksamheten och individer, exempelvis användarnamn och lösenord, exponeras på Internet.
2. Ligg steget före
Kartlägg vad som är mest skyddsvärt för verksamheten. Förstå den egna hotbilden och studera möjliga angreppssätt och hotaktörer. Lär av andra genom samverkan.
3. Människor och organisation
Skapa en organisation som arbetar före-, under- och efter en säkerhetsincident, och där individer vet sina respektive roller. Teamet behöver vara engagerat och kompetent samt kunna agera under hög press.
4. Processer och rutiner
Det kan kännas tungt med processer och policyer, men under stark press och den stress som kan uppstå, kan just tydligheten och struktur vara det som bidrar till att vi lyckas agera rätt under ett cyberangrepp. Investera därför i tydlighet i arbetssätt och beredskap kring säkerhetsincidenter.
5. Verktyg och förmågor
Det handlar om att etablera rätt grund utifrån hotbild, verksamhet och vilket risktagande vi är beredda att ta. Säkerställ att ni har olika sätt att upptäcka en hotaktör eller en säkerhetsavvikelse, och möt utmaningen i flera dimensioner.
Läs gärna fler inlägg i vår artikelserie om heltäckande och systematiskt säkerhetsarbete. Där möter du fler av våra cyberexperter och får höra om hur de arbetar för att försvara Sverige mot cyberangrepp.