Reduktion af skaderne som følge af et cybersikkerhedsangreb starter med at erkende, at der er sket en hændelse. At være opmærksom på en overhængende fare gør en organisation modstandsdygtig over for virkningerne af cybersikkerhed. Disse konsekvenser kan ikke ignoreres; de anslåede omkostninger ved sikkerhedsbrud for det globale erhvervsliv forventes at nå op på 10,5 billioner dollars (7,7 billioner pund) i de kommende år.
Afdæmpning af sikkerhedsbrud starter med, at man konstaterer, at der er sket en sikkerhedshændelse. I praksis skal sikkerhedshændelser registreres, og det bruger man et hændelsesrapporteringssystem til. Systemet giver et team de oplysninger, der er nødvendige for at håndtere en sikkerhedshændelse.
Typer af sikkerhedshændelser, der skal indberettes
Problemet med cybersikkerhed er, at den ofte er gemt i det skjulte. En IBM-undersøgelse viste, at det i gennemsnit tager 287 dage at opdage og inddæmme et brud på datasikkerheden. Samme IBM-rapport viste, at organisationer, der reagerer hurtigt på en hændelse, sparer 30 % i omkostninger og reducerer den tid, det tager at inddæmme en trussel, til under 200 dage. Men når du begynder at oprette en proces til rapportering af hændelser, hvilke typer sikkerhedstrusler skal du så forvente at registrere i hændelsesrapporten?
Det britiske Information Commissioner's Office (ICO) gennemfører hvert år en trendanalyse, der viser, hvilken type sikkerhedshændelser der ender på deres bord:
Kilde: UK ICO
Ved hjælp af brancheoplysninger kan man afgøre, hvilke typer sikkerhedshændelser der kræver opmærksomhed:
Phishing
Det er den menneskelige operatør, som mange cyberangribere fokuserer på. Phishing er den mest almindelige metode, som svindlere bruger til at narre en medarbejder til at give loginoplysninger og andre personlige data. Et system til rapportering af sikkerhedshændelser bør nemt kunne registrere detaljerne i en mistænkt phishing-meddelelse. Hændelsesrapporten bør indeholde oplysninger om enhver interaktion med meddelelsen, især hvis der er blevet klikket på et link i en e-mail/besked. Yderligere oplysninger om, hvad der derefter skete, bør registreres for at angive omfanget af hændelsen.
Mistet enhed
Organisationens enheder kan indeholde mange følsomme oplysninger. Ud over organisationens enheder har fjernarbejde øget brugen af personlige enheder til adgang til organisationens cloud-apps. En mistet eller stjålet enhed kan ende i de forkerte hænder, hvilket kan resultere i eksponering af data, da organisationer i stigende grad anvender datasynkronisering med cloud-apps. Hvis en telefon, der bruges til organisationsarbejde, er blevet tabt eller stjålet, bør hændelsen hurtigt registreres, så der kan foretages en triage af hændelsen og iværksættes en passende reaktion.
Utilsigtet datalækage
Undersøgelser har vist, at 58 % af alle medarbejdere har sendt en e-mail til den forkerte person. Fejladressering eller forkert levering af en e-mail kan resultere i tab af data og manglende overholdelse af databeskyttelsesreglerne. Tendenserne i forbindelse med hændelser fra ICO i Storbritannien viser, at e-mail-relateret dataeksponering er den største årsag til sikkerhedshændelser. Hvis en medarbejder mener, at han/hun har sendt en e-mail med følsomme oplysninger til den/de forkerte person(er), bør dette indberettes.
Andre e-mailrelaterede hændelser
Et af de største problemer i forbindelse med utilsigtet dataeksponering er simpelthen at glemme at bbc en liste over modtagere i en e-mailudveksling. Så snart medarbejderen opdager, at han/hun har glemt at bcc modtagerne, bør han/hun rapportere hændelsen, så der kan iværksættes en triage, og hændelsen kan håndteres i overensstemmelse med organisationens politik.
5 grunde til at rapportere cybersikkerhedshændelser
Der er gode grunde til at etablere en solid proces til rapportering af hændelser. Resultaterne er til gavn for både organisationen og medarbejderne og omfatter bl.a:
Rapportering af hændelser fremmer en sikkerhedskultur
Den grundtanke, der ligger til grund for en sikkerhedskultur, handler om at tydeliggøre, at vi "alle sammen er i samme båd". Indberetning af hændelser bør ikke være en frygtindgydende ting, men en del af en daglig proces. Gør indberetning af hændelser til en del af organisationens norm og den forventede medarbejderadfærd, når der sker noget bekymrende. Ved at tilbyde en nem og hurtig måde at rapportere hændelser på bliver medarbejderne en del af forsvaret mod cyberangreb. Dette er med til at fremme en fællesskabsånd i kampen mod cyberkriminalitet og svindel.
Udvikler en strømlinet proces for at forhindre, at hændelser bliver til et alvorligt angreb
Rapporteringsinfrastrukturen skal være baseret på en ramme for hændelsesrapportering, der er konfigureret til at passe til din organisations behov og anvender automatiserede arbejdsgange. Et system til indberetning af hændelser skal kunne konfigureres, så det giver mulighed for eskalering gennem indberetning til triage og afhjælpning, samtidig med at det sikres, at den mest hensigtsmæssige person bliver advaret, når processen med indberetning af sikkerhedshændelser begynder.
Håndhæver sikkerhedspolitikker
En proces for sikkerhedshændelser er med til at håndhæve organisationens sikkerhedspolitik. Et rapporteringssystem, der anvender arbejdsgange til hændelser, giver en ramme for at føre en hændelse gennem triage til afhjælpning baseret på råd om sikkerhedspolitikken.
Forebygger kostbare sikkerhedshændelser
En hændelse, der bliver til en begivenhed som f.eks. et databrud, medfører finansielle og andre omkostninger. I IBM'srapport "Cost of a Data Breach Report" har 2021 fået den højeste pris for omkostninger ved databrud i 17 år. Ved at udvikle en rapporteringskultur i din organisation og gøre det nemt at rapportere hændelser er dit team bedre i stand til at forhindre, at en hændelse bliver til en stor sikkerhedshændelse.
Hjælper med at opretholde overholdelse af lovgivningen
Opbevaring af en registrering af compliance er en standard i mange regler og standarder, herunder ISO27001, DPA2018 og GDPR. Disse optegnelser omfatter også de forskellige krav om anmeldelse af brud på databeskyttelsesreglerne. Rapportering af hændelser giver en organisation mulighed for at bevise, at den tager sikkerheden alvorligt og demonstrere de afbødende foranstaltninger, der er truffet. Et rapporteringssystem bør gøre det muligt for en organisation at tage detaljerne om et formodet brud og derefter eksportere disse for at generere en rapport, hvis der kræves en anmeldelse af et brud.
De tre bedste fremgangsmåder for rapportering af sikkerhedshændelser
Det er veletableret, at indberetning af hændelser af sundheds- og sikkerhedshensyn anvendes. Ved at indsamle data om sundhed og sikkerhed kan organisationer hjælpe med at skabe et sikkert arbejdsmiljø og opfylde lovmæssige forventninger. Rapportering af sikkerhedshændelser er en forlængelse af denne sundheds- og sikkerhedskultur, som giver en ramme for håndtering af en overhængende trussel. Rapportering kræver dog, at visse grundlæggende bedste praksis følges:
1) Nem rapportering
Et system til indberetning af hændelser skal være let at bruge for alle. Indtastning af hændelser bør vejlede en medarbejder og indfange de vigtigste detaljer, der er nødvendige for at indlede eskaleringsprocessen. Hindringer for indtastning, f.eks. komplicerede formularer osv. bør undgås.
2) Passende optrapning
Systemet til rapportering af hændelser skal kunne konfigureres, så en administrator kan oprette arbejdsgange, der afspejler strukturen i det team, der behandler sikkerhedshændelser. Ved at bruge en automatiseret arbejdsgang, der sender passende og skræddersyede advarsler til de rette personer, kan databrud og andre sikkerhedshændelser forhindres.
3) Revision og rapport
Et system til rapportering af hændelser skal være i stand til at kontrollere hændelser og handlinger og generere rapporter. Disse rapporter kan derefter bruges som dokumentation for overholdelse af regler og standarder. Hændelsesrapporten danner også et grundlag for bevismateriale til en rapport om anmeldelse af databrud, hvis det er nødvendigt.
Indberetning af hændelser er vigtigt for at forhindre, at en sikkerhedshændelse bliver til et sikkerhedsbrud. Men det system, der indsamler oplysninger om hændelser, skal kunne fungere efter bedste praksis. Indsamling af data er det sted, hvor eskaleringen begynder, og dette skal gøre det nemt at indtaste data, samtidig med at der indsamles tilstrækkelige oplysninger til, at de er informative nok. Automatiserede arbejdsgange udgør grundstenen for effektiv eskalering og gør hændelsesrapporteringsprocessen problemfri.
