Om du pratar med någon som har varit med om en allvarlig cyberincident så kommer de flesta berätta om en överväldigande känsla av stress och chock. Att utsättas för en attack upplevs av många som att få ett plötsligt slag i ansiktet, och det vet hotaktörerna om. Därför trycker de ofta ut sina krav tidigt under hanteringsprocessen när de vet att de som drabbats fortfarande är paralyserade av stress.
– Hotaktörer ägnar sig både åt teknisk och psykologisk krigföring, och vi arbetar med försvaret på samma sätt, säger Joakim Lidén som arbetar som Incident Response Manager på Telia Cygate.
Akutteam som arbetar med teknik och samordning
För att ta ett helhetsgrepp om arbetet med hantering av incidenter består Telia Cygates incident response team av medarbetare med två kompletterande roller: incident responders och incident response managers. Tillsammans har de kompetens och förmåga att hantera både teknik och människor på bästa sätt. När de kallas in drar ett väloljat maskineri igång. Incident responders börjar samla in digitala fotspår medan incident response managers sätter igång att skapa en överblick och samordna insatser.
– Vi jobbar som ett akutteam. Först stoppar vi blödningen och sedan arbetar vi på den långsiktiga lösningen. Våra incident responders är otroligt uppskattade under kriser eftersom de är tekniskt skickliga och bra på att kommunicera, berättar Joakim Lidén.
Målet är att få tillbaka kundens digitala miljö till ett normalläge så snabbt det bara går. För att nå dit måste det först etableras ett gott samarbete mellan alla parter så att det går att arbeta metodiskt. Att hitta kryphål är ofta lättare att än att täppa till dem. Joakim beskriver det som en katt och råtta-lek som hela tiden blir mer avancerad.
– För mig känns det meningsfullt att vara den som hjälper till och skapar lugn i en utmanande situation, säger Joakim Lidén.
Från kris till stärkt säkerhet
Det är vanligt att de som drabbas av cyberbrott känner ett visst mått av skam. Det kan både drabba individer, exempelvis den som klickat på en osäker länk och öppnat för angreppet, men också organisationer som helhet. Det är lätt att tänka ”vi borde ha gjort mer för att förhindra detta”. Många som drabbas agerar därför reflexmässigt genom att ”lägga locket på”, men denna tystnad kan bli farlig.
– När man inte vågar prata öppet om det som inträffat riskerar man att agera förhastat och fatta panikbeslut, men man går också lätt miste om lärdomar som kan vara värdefulla för att stärka säkerheten framåt, säger Joakim Lidén.
För Joakim och hans kollegor är det självklart att aldrig leta syndabockar under hanteringen av en incident, utan att arbeta strukturerat för att lösa det aktuella problemet och minimera skadan. En viktig del av ett långsiktigt cybersäkerhetsarbete är att etablera en kultur där alla anställda vågar påtala saker som inte fungerar, eller erkänna när de själva har gjort ett misstag.
– Självklart vill vi hitta rotorsaken till en säkerhetsincident, men syftet är då att kunna öka säkerheten och kunna agera bättre i framtiden. Med rätt hjälp går det inte bara att ta sig igenom en cyberattack – det går också att komma ut starkare på andra sidan, avslutar Joakim Lidén.