Säkerhetsincidenter kan ha en drastisk inverkan på företag och orsaka allvarliga organisatoriska och ekonomiska skador. Det är absolut nödvändigt att ha bra processer och rutiner för att hantera dem snabbt och effektivt för att minimera effekterna.
Orsakerna till säkerhetsincidenter är till stor del mänskliga misstag. Att implementera sunda rutiner och processer är endast möjligt om ett företag har en mycket god säkerhet och en öppen felkultur. I grunden kan korrekt hantering delas in i 3 områden:
- Övervakning av informationssäkerhetsincidenter
- Insamling av bevismaterial
- Reaktion på incidenter som rör informationssäkerhet
BSI (tyska federala byrån för informationssäkerhet) och ISO 27000-serien ger utmärkta riktlinjer för korrekt hantering av informationssäkerhetsincidenter. Ett sådant ramverk bör användas beroende på företagets storlek.
Skillnad mellan händelse och incident
En informationssäkerhetshändelse är alltid när en händelse har identifierats i ett system, en tjänst eller ett nätverk som indikerar en möjlig överträdelse av säkerhetsriktlinjer eller en tidigare okänd omständighet som kan vara säkerhetsrelevant. När det gäller en händelse är det därför ännu inte möjligt att rapportera om effekterna eller den exakta risksituationen. Å andra sidan är en incident en händelse som har inträffat och som med största sannolikhet har äventyrat affärsverksamheten och informationssäkerheten. En av de viktigaste komponenterna i en korrekt hantering är därför en korrekt övervakning och analys av incidenter, vilket framgår av följande diagram:
Minska antalet incidenter som rör informationssäkerhet
Säkerhetskulturen påverkar i hög grad antalet och effekterna av informationssäkerhetsincidenter inom ett företag. Det bör finnas en tydlig struktur i företaget för hur man ska gå tillväga, som alla inblandade har internaliserat. Detta skapar trygghet. Om förfarandet är tydligt leder det till en lägre felfrekvens, och uppgifter och kommunikationskanaler kan bearbetas mer effektivt. En tydlig åtskillnad mellan händelser och incidenter är också nödvändig för att möjliggöra en meningsfull prioritering. Dessutom bör fel få kommuniceras öppet så att händelser inte döljs och så att tidsfaktorn kan användas för efterföljande reaktioner och motåtgärder.
Avancerade ihållande hot (APT) - riktade cyberattacker
APT är riktade attacker mot utvalda personer, företag eller institutioner. I processen skaffar man sig permanent åtkomst till ett nätverk, med målet att sprida det till andra IT-system. Angriparnas profil kännetecknas av en hög motivationsnivå och mycket hög resursanvändning. Kriminella organisationer ligger vanligtvis bakom dessa attacker, som får allvarliga konsekvenser.
För att kunna städa upp efter sådana incidenter på bästa möjliga sätt krävs en förberedd struktur och flödesscheman. Först bör de drabbade systemen stängas ned eller isoleras för att minska spridningen. Därefter ska inget förhastas och den drabbade IT-miljön kan städas upp enligt plan. När alla steg har slutförts kan miljön återgå till produktiv status efter saneringen.
Betydelsen av IT-forensik vid säkerhetsincidenter
Låt oss anta att vår arbetsstation har komprometterats av en angripare och att skadlig kod har exekverats för att infektera andra IT-system. Nu, innan ytterligare system har infiltrerats, kan det komprometterade systemet identifieras och stängas av. Men det är också viktigt att genomföra en forensisk analys av systemet för att vara förberedd på ytterligare liknande incidenter och för att begränsa effekterna av incidenten. Externa experter kan konsulteras eller interna team kan inrättas.
När kriminaltekniska team hanterar säkerhetsincidenter ligger fokus först på att låsa angriparen ute från systemet. Därefter följer en analys och ett klargörande av de viktigaste frågorna:
- Vilka omständigheter gjorde det möjligt att kompromettera systemet?
- Vilka säkerhetshål utnyttjades?
- När inträffade attacken och hur länge har den pågått?
När alla frågor har klargjorts kan åtgärder vidtas och portarna stängas.
Hantering av incidenter vid distansarbete
På grund av det ökande antalet distansarbetare och den snabba förändring som orsakats av coronapandemin har det ofta funnits en osäkerhet bland många anställda. Som förklarats i tidigare avsnitt är osäkerhet en av de största faktorerna bakom informationssäkerhetsincidenter och bidrar till allvarliga återverkningar. Av denna anledning måste övervakningsåtgärderna utökas ytterligare, särskilt på avlägsna arbetsplatser, och åtkomst till företagsnätverk måste tydligt kunna tilldelas. Detta är det enda sättet att kompensera för den exponentiellt ökade attackytan. En viktig punkt är en mycket välstrukturerad och lättillgänglig rapporteringsprocess för informationssäkerhetsincidenter från anställda. Rapporteringskedjor och kontaktpersoner bör kommuniceras regelbundet. Dessutom är det nödvändigt med medvetenhetsåtgärder för att göra hoten ständigt närvarande och för att utbilda förfaranden. Först då kan felfrekvensen minskas och självförtroende skapas när det gäller att hantera incidenter och händelser som rör informationssäkerhet.