För att minska skadorna som orsakas av en cybersäkerhetsattack börjar man med att erkänna att en incident har inträffat. Att vara medveten om överhängande fara gör en organisation motståndskraftig mot effekterna av cybersäkerhet. Dessa effekter kan inte ignoreras; de uppskattade kostnaderna för säkerhetsöverträdelser för det globala näringslivet förväntas uppgå till 10,5 biljoner dollar (7,7 biljoner pund) under de kommande åren.
Att minska säkerhetsöverträdelser börjar med att man är medveten om en säkerhetsincident. I praktiken måste säkerhetsincidenter registreras, och det är uppgiften för ett incidentrapporteringssystem som ger teamet den information som behövs för att hantera en säkerhetshändelse.
Typer av säkerhetsincidenter som ska rapporteras
Problemet med cybersäkerhet är att den ofta är dold i det fördolda. En undersökning från IBM visade att det i genomsnitt tar 287 dagar att upptäcka och begränsa ett dataintrång. Samma IBM-rapport visade att organisationer som reagerar snabbt på en incident sparar 30 procent i kostnader och minskar tiden för att begränsa ett hot till under 200 dagar. Men när du börjar inrätta en incidentrapporteringsprocess, vilka typer av säkerhetshot bör du förvänta dig att fånga upp i incidentrapporten?
ICO (Information Commissioner's Office) i Storbritannien genomför varje år en trendanalys som visar vilken typ av säkerhetsincidenter som hamnar på deras bord:
Källa: UK ICO
Med hjälp av branschinformation kan man fastställa vilka typer av säkerhetsincidenter som behöver uppmärksammas:
Phishing
Det är den mänskliga operatören som många cyberattackerare fokuserar på. Phishing är den vanligaste metoden som bedragare använder för att lura en anställd att lämna ut inloggningsuppgifter och andra personuppgifter. Ett system för rapportering av säkerhetsincidenter bör enkelt kunna fånga upp detaljerna i ett misstänkt phishingmeddelande. Incidentrapporten bör innehålla uppgifter om eventuell interaktion med meddelandet, särskilt om en länk i ett e-postmeddelande/meddelande har klickats. Ytterligare uppgifter om vad som hände därefter bör registreras för att visa hur omfattande incidenten är.
Förlorad enhet
Företagets enheter kan innehålla mycket känslig information. Förutom företagsenheterna ökar distansarbete användningen av personliga enheter för åtkomst till företagets molnapplikationer. En förlorad eller stulen enhet kan hamna i fel händer och leda till att data exponeras eftersom allt fler företag använder sig av datasynkronisering med molntillämpningar. Om en telefon som används för företagets arbete har förlorats eller stulits bör incidenten snabbt registreras så att triage av incidenten kan utföras och ett lämpligt svar initieras.
Oavsiktlig dataläckage
Forskning har visat att 58 % av de anställda har skickat ett e-postmeddelande till fel person. Om ett e-postmeddelande skickas felaktigt eller levereras på fel sätt kan det leda till dataförluster och bristande efterlevnad av dataskyddsbestämmelserna. Incidenttrender från ICO i Storbritannien visar att e-postrelaterad dataexponering är den största bidragande orsaken till säkerhetsincidenter. Om en anställd tror att han eller hon har skickat ett e-postmeddelande med känslig information till fel person(er) bör detta rapporteras.
Andra e-postrelaterade incidenter
Ett av de största problemen när det gäller oavsiktlig dataexponering är att helt enkelt glömma bort att bcc en lista över mottagare i ett e-postmeddelande. Så snart den anställde inser att han eller hon har glömt att bcc-mottagare bör han eller hon rapportera händelsen så att triage kan påbörjas och händelsen hanteras i enlighet med företagets policy.
5 anledningar att rapportera cybersäkerhetsincidenter
Det finns goda skäl att inrätta en stabil process för incidentrapportering. Resultaten är fördelaktiga för både företag och anställda och omfattar bland annat följande:
Rapportering av incidenter uppmuntrar en säkerhetskultur
Den etik som ligger till grund för en säkerhetskultur handlar om att "alla är inblandade tillsammans". Rapportering av incidenter ska inte vara en skrämmande sak, utan en del av en vardaglig process. Gör incidentrapportering till en del av företagets norm och det förväntade beteendet hos de anställda när något oroande händer. Genom att tillhandahålla ett enkelt och snabbt sätt att rapportera incidenter blir de anställda en del av motståndet mot cyberattacker. Detta bidrar till att främja en gemenskapsanda när det gäller att ta itu med cyberbrottslighet och bedrägerier.
Utvecklar en strömlinjeformad process för att förhindra att incidenter blir en allvarlig attack
Rapporteringsinfrastrukturen måste baseras på ett ramverk för incidentrapportering, konfigureras för att passa organisationens behov och använda automatiserade arbetsflöden. Ett system för incidentrapportering bör kunna konfigureras för att möjliggöra eskalering genom rapportering till triage och begränsning, samtidigt som det säkerställs att den lämpligaste personen varnas när processen för rapportering av säkerhetsincidenter inleds.
Genomför säkerhetsprinciper
Att ha en process för säkerhetsincidenter på plats hjälper till att upprätthålla företagets säkerhetspolicy. Ett rapporteringssystem som använder arbetsflöden för incidenter ger ett ramverk för att ta en incident genom triage till begränsning baserat på råd om säkerhetspolicy.
Förebygger kostsamma säkerhetshändelser
En incident som blir en händelse, t.ex. ett dataintrång, leder till ekonomiska och andra kostnader. I IBM:srapport "Cost of a Data Breach Report" har 2021 fått den högsta kostnaden för dataintrång på 17 år. Genom att utveckla en rapporteringskultur i din organisation och göra det enkelt att rapportera incidenter har ditt team större möjligheter att förhindra att en incident blir en fullskalig säkerhetshändelse.
Hjälper till att upprätthålla efterlevnaden av regelverket
Att upprätthålla ett register över efterlevnad är en standard i många regler och standarder, inklusive ISO27001, DPA2018 och GDPR. Dessa register omfattar även de olika kraven på anmälan av överträdelser i dataskyddsförordningarna. Rapportering av incidenter gör det möjligt för en organisation att bevisa att de tar säkerheten på allvar och visa att lindrande åtgärder vidtagits. Ett rapporteringssystem bör göra det möjligt för en organisation att ta emot detaljerna om ett misstänkt brott och sedan ge ut dessa för att generera en rapport om en anmälan om brott krävs.
Tre bästa metoder för rapportering av säkerhetsincidenter
Användningen av incidentrapportering av hälso- och säkerhetsskäl är väl etablerad. Genom att samla in uppgifter om hälsa och säkerhet kan företag bidra till att säkerställa en säker arbetsmiljö och uppfylla lagstadgade förväntningar. Rapportering av säkerhetsincidenter är en förlängning av denna hälso- och säkerhetskultur som ger en ram för att hantera ett överhängande hot. Rapportering kräver dock att vissa grundläggande bästa metoder följs:
1) Enkel rapportering
Ett system för incidentrapportering ska vara lätt att använda för alla. Införandet av incidenter bör vägleda en anställd och samla in de viktigaste uppgifterna som behövs för att påbörja upptrappningsprocessen. Hinder för inmatning, t.ex. komplicerade formulär etc., bör undvikas.
2) Lämplig upptrappning
Systemet för incidentrapportering bör kunna konfigureras så att en administratör kan skapa arbetsflöden som återspeglar strukturen hos det team som hanterar säkerhetsincidenter. Genom att använda ett automatiserat arbetsflöde som skickar ut lämpliga och skräddarsydda varningar till rätt personer kan dataintrång och andra säkerhetshändelser förhindras.
3) Revision och rapport
Ett system för incidentrapportering måste kunna granska incidenter och åtgärder och generera rapporter. Dessa rapporter kan sedan användas som bevismaterial för att visa att regler och standarder följs. Incidentrapporten utgör också ett grundläggande bevismaterial för en rapport om anmälan om dataintrång, om så krävs.
Rapportering av incidenter är viktigt för att förhindra att en säkerhetsincident blir en säkerhetsöverträdelse. Men det system som samlar in information om incidenter måste kunna arbeta enligt bästa praxis. Insamling av data är den punkt där eskaleringen börjar, och systemet måste göra det lätt att mata in data, men ändå samla in tillräckligt med information för att vara informativt. Automatiserade arbetsflöden utgör ryggraden för effektiv eskalering och gör incidentrapporteringsprocessen smidig.
