At oprette en incident response plan er afgørende for at beskytte din organisation mod cybertrusler. En velstruktureret plan sikrer, at du kan reagere hurtigt og effektivt på hændelser, og minimerer potentielle skader og nedetid. Denne vejledning vil guide dig gennem de essentielle trin til at udvikle en robust incident response plan, skræddersyet til din organisations specifikke behov.
At opleve en informationssikkerhedshændelse er ikke noget, nogen ønsker at gå igennem, men desværre er håndteringen af en sikkerhedshændelse et spørgsmål om hvornår og ikke om. Organisationer, der rammes af en cybersikkerhedshændelse, er bestemt ikke alene. Ifølge World Economic Forum (WEF) er cybersikkerhed en af de mest presserende risici for den globale økonomi. Rapporten fremhæver dog, at konsekvenserne af et cyberangreb kan afbødes gennem en multilateral indsats.
"Samarbejdsbestræbelser vedrørende incidentrespons og informationsudveksling forsøger at centralisere cybersikkerhedskapaciteterne for at mindske virkningerne af cyberangreb."
En beredskabsplan for hændelser er en sådan indsats. Her får du en oversigt over, hvorfor du har brug for en sådan, og hvad der skal til for at udarbejde en plan for reaktion på hændelser.
Hvorfor er en Incident Response Plan nødvendig?
Den britiske regerings "Cyber Security Breaches Survey 2021" viste, at 27 % af de britiske virksomheder har oplevet et databrud og bliver angrebet mindst én gang om ugen, og 39 % mister penge og/eller aktiver. Håndtering af dette angreb af cybertrusler kræver skarpt fokus fra en Incident Response Plan. Denne plan giver en skabelon for, hvordan man effektivt reagerer, når der opstår en sikkerhedshændelse som f.eks. malware, ransomware og uautoriseret adgang.
Databrud bliver sjældent opdaget pludseligt: IBM-rapporten "Cost of a Data Breach 2020" påpeger, at det i 2019 i gennemsnit tog 207 dage at identificere et databrud og derefter 73 dage at inddæmme det; det er en gennemsnitlig "livscyklus" på 280 dage for at reducere virkningen på en virksomheds drift.
En plan for reaktion på en hændelse kan være med til at minimere den tid, der går, før et databrud er inddæmmet, og håndtere følgerne hurtigt og effektivt. Tiden er afgørende for reglerne om anmeldelse af brud på databeskyttelsesreglerne, da en række bestemmelser, herunder DPA2018 og GDPR, forventer en meddelelse inden for 72 timer efter, at et brud på databeskyttelsesreglerne er sket. En Incident Response Plan vil informere dem i sikkerheds- og compliance-roller om, hvordan de skal reagere på hændelsen, og give de nødvendige oplysninger til at foretage en anmeldelse af brud.
Hvad indeholder en Incident Response Plan?
Udarbejdelse af en plan for hændelsesrespons er en proces, der involverer en logisk tilgang, som omfatter forberedelse, opdagelse, respons og genopretning efter en hændelse. At have et klart og utvetydigt overblik over, hvad der skal gøres, når det værst tænkelige scenarie indtræffer, kan være forskellen mellem katastrofale eftervirkninger og en problemfri vej fremad.
En plan for reaktion på hændelser bør omfatte:
Forbered
Som alle gode gør-det-selv-folk ved, er forberedelse den vigtigste del af et arbejde. Det samme gælder, når du udarbejder en plan for reaktion på hændelser. Forberedelsen af planen begynder med mennesker.
Roller og ansvar: Hvem er ansvarlig for hvilken handling, når der sker en hændelse? Identificer et beredskabsteam til håndtering af hændelser. Dette bør også svare til de relevante sikkerhedspolitiske bestemmelser, som din virksomhed har indført. Uddannelse af personalet er en vigtig del af beredskabet og leveringen i Incident Response Plan.
Opgørelse af ressourcer: Opret en liste over aktiver på tværs af alle afdelinger.
Risikovurdering: Identificering af risikoområder sammen med placering og klassificering af aktiver. Bestem risikoniveauerne for hvert enkelt aktiv afhængigt af sandsynligheden for et angreb og alvoren af en hændelse. Kortlæg evnen til at håndtere et angreb mod disse aktiver.
Hændelsestyper: Hvilke typer af hændelser er sandsynlige, og hvad udgør en hændelse? Hvis der opstår en hændelse, hvem er så ansvarlig for at starte hændelseshåndteringsprocessen? Organisationerne bør også beskrive eskaleringskriterierne for forskellige typer hændelser.
Kortlægning af forordningen: Dokumentér, hvilke regler der er relevante, og hvilke krav der skal opfyldes, når en hændelse indtræffer. Udarbejd retningslinjer for interaktion med eksterne myndigheder efter en hændelse.
Logbog over hændelser: Medtag en log til at administrere processen for hændelsesrespons. Dette kan også være nyttigt i forbindelse med krav om overholdelse af lovgivningen.
Registrer
Denne anden fase af planlægningsprocessen for hændelsesrespons handler om overvågning, registrering og varsling, når en hændelse opstår.
Detektionsstrategi: Hvilke værktøjer og foranstaltninger anvendes til at opdage en hændelse? Dette skal omfatte trusler fra kendte, ukendte og formodede trusler. Anvendes der f.eks. værktøjer til netværksskanning, EDR (Endpoint Detection and Response) osv.
Advarsler: Hvilke systemer bruges til at advare om et muligt brud?
Vurdering af brud: Hvordan vil din organisation lokalisere zero-day-sårbarheder eller Advanced Persistent Threats (APT'er)? En "Compromise Assessment" kan bruges til at lokalisere ukendte sikkerhedsbrud og uautoriseret kontoadgang.
Svar
Hvordan en organisation reagerer på et brud er nøglen til at sikre, at dataeksponeringen minimeres og skaden begrænses. Hændelsesrespons dækker flere områder, f.eks. alarmtriage, som er et vigtigt aspekt for at forhindre fejlagtige forsøg på at reagere på hændelser. Det vigtigste aspekt i responsdelen af en hændelsesresponsproces er at inddæmme og fjerne truslen. Planen for reaktion på hændelser skal dække følgende områder:
Vurdering af brud: Hvordan man kvantificerer omfanget af truslen, og om truslen er reel. Dette omfatter også, hvordan man sorterer advarsler.
Inddæmningsøvelser: Når en trussel er identificeret, hvordan vil den så blive inddæmmet? Dette kan omfatte isolering af systemer for at beskytte mod yderligere infektion/datalækage.
Vurdering af målinger af overtrædelser: Hvad er klassifikationen af de krænkede data? Var dataene følsomme? Havde bruddet indvirkning på lovkrav?
Håndter enhver infektion/sårbarhed: Hvad er den generelle proces til at fjerne de inficerede filer og håndtere eventuelle eftervirkninger af en infektion?
Bevare brudstykker: Hvordan man udarbejder en logbog over hændelsen og eventuelle retsvidenskabelige beviser. Medtag hvem, hvad, hvorfor og hvor hændelsen fandt sted.
Forbered dig på anmeldelse af brud: Om nødvendigt, hvordan man forbereder sig på en eventuel anmeldelse af brud. Dette bør omfatte offentlige bekendtgørelser og kan indeholde skabeloner.
Samarbejde med de juridiske myndigheder og compliance (og eventuelt retshåndhævelse): Nærmere oplysninger om, hvem der er ansvarlig for at håndtere juridiske spørgsmål og overholdelse af lovgivningen, og hvordan dette håndteres.
Genoprette
Genoprettelse er den sidste del af processen i forbindelse med hændelsesrespons. Planen for hændelsesreaktion bør vise, hvordan virksomheden kommer videre efter en hændelse, hvilke erfaringer der er gjort, og hvilken type genopretningsøvelser der skal gennemføres:
Øvelser efter hændelser: Hvordan man lukker de huller, der blev opdaget under hændelsesreaktionen.
Fjern risikoen: Fjernelse af risikoen og genoprettelse af systemerne til den tilstand, de var før ulykken.
Rapport: Vejledning om udarbejdelse af en rapport om hændelsesrespons for at hjælpe med at forebygge fremtidige hændelser. Men også retningslinjer for fortsat indsamling og overvågning af kriminaltekniske data for at sikre fortsat sikkerhed.
Rammer og standarder ved udarbejdelse af en plan for reaktion på hændelser
Når du skriver en plan for reaktion på hændelser, kan det være nyttigt at få vejledning fra anerkendte myndigheder.
ISO 27001 - Annex A.16: er et bilag til den internationale ISO 27001-standard, der giver nyttige råd om, hvordan man etablerer en protokol til håndtering af livscyklushåndteringen af en sikkerhedshændelse.
NIST Incident Response-proces: NIST (National Institute of Standards and Technology) er et amerikansk regeringsorgan. NIST's Incident Response Process beskriver de fire trin, der er nævnt i denne artikel.
Sådan skriver du en Incident Response Plan? Vores konklusion
En effektiv håndtering af selv katastrofale hændelser vil afbøde enhver nuværende og fremtidig indvirkning af en hændelse. Uddannelse af personalet er imidlertid en evig udfordring, som er unik for den enkelte organisations hændelsesberedskabsplan. Hver enkelt hændelse vil være anderledes; hver organisation har sit eget sæt af trusler og interne organisatoriske strukturer.
Personligt tilpasset uddannelsesindhold kan bruges til at afspejle den enkelte organisations unikke karakter og dens tilgang til hændelseshåndtering. Ved at oprette en personlig plan for hændelsesreaktion, der afspejler din unikke organisationsstruktur, kan du sikre, at du afhjælper de forskellige trusler, som en moderne virksomhed møder.