Sikkerhedshændelser kan have en drastisk indvirkning på virksomheder og forårsage alvorlig organisatorisk og økonomisk skade. Det er afgørende at have gode processer og procedurer til at håndtere dem hurtigt og effektivt for at minimere konsekvenserne.
Årsagerne til sikkerhedshændelser er i høj grad menneskelige fejl. Det er kun muligt at implementere gode procedurer og processer, hvis en virksomhed har en meget god sikkerhed og en åben fejlkultur. Grundlæggende kan korrekt håndtering opdeles i 3 områder:
- Overvågning af informationssikkerhedshændelser
- Indsamling af beviser
- Reaktion på informationssikkerhedshændelser
BSI (det tyske forbundskontor for informationssikkerhed) og ISO 27000-serien giver fremragende retningslinjer for korrekt håndtering af informationssikkerhedshændelser. En sådan ramme bør bruges afhængigt af virksomhedens størrelse.
Forskel mellem begivenhed og hændelse
En informationssikkerhedshændelse er altid, når der er identificeret en hændelse i et system, en tjeneste eller et netværk, der indikerer et muligt brud på sikkerhedsretningslinjerne eller en hidtil ukendt omstændighed, der kan være sikkerhedsrelevant. I tilfælde af en hændelse er det derfor endnu ikke muligt at rapportere om virkningerne eller den nøjagtige faresituation. På den anden side er en hændelse en begivenhed, der har fundet sted, og som højst sandsynligt har bragt forretningsdriften og informationssikkerheden i fare. En af hovedkomponenterne i korrekt håndtering er derfor korrekt overvågning og analyse af hændelser, som følgende diagram viser:
Reduktion af informationssikkerhedshændelser
Sikkerhedskulturen har stor indflydelse på antallet og konsekvenserne af informationssikkerhedshændelser i en virksomhed. Der bør være en klar struktur i virksomheden for, hvordan man går frem, som alle involverede personer har internaliseret. Det skaber tryghed. Hvis proceduren er klar, resulterer det i en lavere fejlrate, og opgaver og kommunikationskanaler kan behandles mere effektivt. Det er også nødvendigt med en klar adskillelse mellem begivenheder og hændelser for at muliggøre en meningsfuld prioritering. Desuden bør fejl kunne kommunikeres åbent, så hændelser ikke skjules, og så tidsfaktoren kan bruges til efterfølgende reaktioner og modforanstaltninger.
Avancerede vedvarende trusler (APT'er) - målrettede cyberangreb
APT'er er målrettede angreb på udvalgte personer, virksomheder eller institutioner. I processen opnår man permanent adgang til et netværk med det formål at sprede sig til andre IT-systemer. Angribernes profil er kendetegnet ved en høj grad af motivation og et meget højt ressourceforbrug. Kriminelle organisationer står som regel bag disse angreb, som har alvorlige konsekvenser.
For at kunne rydde op efter sådanne hændelser på den bedst mulige måde, er det nødvendigt med en forberedt struktur og flowdiagrammer. Først skal de berørte systemer lukkes ned eller isoleres for at reducere spredningen. Derefter skal intet forhastes, og det berørte IT-miljø kan ryddes op i henhold til planen. Når alle trin er gennemført, kan miljøet vende tilbage til produktiv status efter oprydningen.
Betydningen af IT-forensics ved sikkerhedshændelser
Lad os antage, at vores arbejdsstation er blevet kompromitteret af en angriber, og at ondsindet kode er blevet udført for at inficere andre IT-systemer. Nu, før flere systemer er blevet infiltreret, kan det kompromitterede system identificeres og lukkes ned. Men det er også vigtigt at foretage en retsmedicinsk analyse af systemet for at være forberedt på yderligere lignende hændelser og for at inddæmme virkningerne af hændelsen. Eksterne eksperter kan konsulteres, eller der kan oprettes interne teams.
Når forensiske teams håndterer sikkerhedshændelser, er det første fokus at låse angriberen ude af systemet. Herefter følger en analyse og afklaring af de vigtigste spørgsmål:
- Hvilke omstændigheder gjorde det muligt at kompromittere systemet?
- Hvilke sikkerhedshuller blev udnyttet?
- Hvornår skete angrebet, og hvor længe har det stået på?
Når alle spørgsmål er afklaret, kan foranstaltningerne implementeres, og portåbningerne lukkes.
Håndtering af hændelser ved fjernarbejde
På grund af det stigende antal fjernarbejdere og den hurtige forandring forårsaget af Corona-pandemien, har der ofte været usikkerhed blandt mange medarbejdere. Som forklaret i tidligere afsnit er usikkerhed en af de største faktorer for informationssikkerhedshændelser og har alvorlige konsekvenser. Derfor skal overvågningsforanstaltningerne udvides yderligere, især på fjernarbejdspladser, og adgangen til virksomhedens netværk skal klart kunne tildeles. Det er den eneste måde at kompensere for den eksponentielt øgede angrebsflade. Et vigtigt punkt er en meget velstruktureret og lettilgængelig rapporteringsproces for informationssikkerhedshændelser fra medarbejdernes side. Rapporteringskæder og kontaktpersoner bør kommunikeres regelmæssigt. Desuden er det nødvendigt med awareness-tiltag for at gøre truslerne konstant nærværende og for at træne procedurerne. Først da kan fejlraten reduceres, og der kan skabes selvtillid i håndteringen af informationssikkerhedshændelser.