Att skapa en incident response plan är avgörande för att skydda din organisation mot cyberhot. En välstrukturerad plan säkerställer snabba och effektiva svar på incidenter, vilket minimerar potentiella skador och driftstopp. Den här guiden kommer att leda dig genom de väsentliga stegen för att utveckla en robust incident response plan anpassad till din organisations specifika behov.
Att råka ut för en informationssäkerhetsincident är inget som någon vill gå igenom, men tyvärr är hanteringen av en säkerhetsincident ett fall av när, inte om. Organisationer som drabbas av en cybersäkerhetsincident är verkligen inte ensamma. Enligt World Economic Forum (WEF) är cybersäkerhet en av de största och mest akuta riskerna för den globala ekonomin. Rapporten lyfter dock fram det faktum att effekterna av en cyberattack kan mildras genom multilaterala insatser.
"Samarbetsinsatser för incidenthantering och informationsutbyte syftar till att centralisera cybersäkerhetskapaciteten för att minska effekterna av cyberattacker."
En incidenthanteringsplan är en sådan åtgärd. Här får du en översikt över varför du behöver en sådan och vad som krävs för att skapa en incidenthanteringsplan.
Varför behöver vi en incidenthanteringsplan?
Den brittiska regeringensundersökning "Cyber Security Breaches Survey 2021" visar att 27 % av de brittiska företagen har upplevt ett dataintrång och attackeras minst en gång i veckan, och 39 % förlorar pengar och/eller tillgångar. För att hantera denna anstormning av cyberhot behövs en incidenthanteringsplan med skarpt fokus. Denna plan ger en mall för hur man effektivt reagerar när en säkerhetsincident inträffar, t.ex. skadlig kod, utpressningstrojaner och obehörig åtkomst.
Dataintrång sker sällan plötsligt: i IBM:s rapport "Cost of a Data Breach 2020" påpekas att det under 2019 i genomsnitt tog 207 dagar att identifiera ett dataintrång och sedan 73 dagar att begränsa det, vilket innebär en genomsnittlig "livscykel" på 280 dagar för att minska konsekvenserna för ett företags verksamhet.
En incidenthanteringsplan kan bidra till att minimera tiden för att begränsa ett dataintrång och hantera efterdyningarna snabbt och effektivt. Tiden är viktig när det gäller reglerna för anmälan av överträdelser, eftersom en rad olika förordningar, inklusive DPA2018 och GDPR, förväntar sig ett meddelande inom 72 timmar efter det att en överträdelse har inträffat. En incidenthanteringsplan kommer att informera de som har säkerhets- och efterlevnadsroller om hur de ska reagera på incidenten och erbjuda de uppgifter som behövs för att göra en anmälan om intrång.
Vad ingår i en incidenthanteringsplan?
Att skapa en incidenthanteringsplan är en process som innebär ett logiskt tillvägagångssätt som inkluderar hur man förbereder, upptäcker, svarar och återhämtar sig från en incident. Att ha en klar och entydig bild av vad man ska göra när det värsta scenariot inträffar kan vara skillnaden mellan katastrofala efterdyningar och en smidig väg framåt.
En plan för incidenthantering bör omfatta följande:
Förbered
Som alla bra gör-det-självare vet är förberedelserna den viktigaste delen av arbetet. Samma sak gäller när du skapar en incidenthanteringsplan. Förberedelserna för planen börjar med människorna.
Roller och ansvarsområden: Vem ansvarar för vilken åtgärd när en incident inträffar? Identifiera ett incidentteam för incidenthantering. Detta bör också kopplas till relevanta säkerhetspolicyklausuler som ditt företag har infört. Att utbilda personalen är en viktig del av beredskapen och leveransen i incidenthanteringsplanen.
Resursinventering: Skapa en förteckning över tillgångar på alla avdelningar.
Riskbedömning: Identifiera riskområden tillsammans med tillgångarnas placering och klassificering. Bestäm risknivåerna för varje tillgång beroende på sannolikheten för en attack och allvarlighetsgraden av en incident. Kartlägg förmågan att hantera en attack mot dessa tillgångar.
Typ av incidenter: Vilka typer av incidenter är sannolika och vad är en incident? Om en incident inträffar, vem är ansvarig för att starta incidenthanteringsprocessen? Organisationer bör också ange kriterierna för eskalering av olika typer av incidenter.
Kartläggning av reglering: Dokumentera vilka bestämmelser som är relevanta och vilka krav som måste uppfyllas när en incident inträffar. Skapa riktlinjer för samverkan med externa myndigheter efter en incident.
Loggbok för incidenter: Inkludera en logg för att hantera incidenthanteringsprocessen. Detta kan också vara användbart för krav på efterlevnad av regelverk.
Upptäck
Detta andra steg i planeringen av incidenthanteringsprocessen handlar om övervakning, upptäckt och varning när en incident inträffar.
Strategi för upptäckt: Vilka verktyg och åtgärder används för att upptäcka en incident? Detta måste omfatta hot från kända, okända och misstänkta hot. Använder ni till exempel verktyg för nätverksskanning, EDR-verktyg (Endpoint Detection and Response) etc.?
Varningar: Vilka system används för att varna för ett eventuellt intrång?
Bedömning av brott: Hur kommer din organisation att lokalisera zero-day-sårbarheter eller Advanced Persistent Threats (APT)? En "Compromise Assessment" kan användas för att lokalisera okända säkerhetsbrott och obehörig åtkomst till konton.
Svara
Hur en organisation reagerar på ett intrång är nyckeln till att se till att dataexponeringen minimeras och skadan begränsas. Incident Response omfattar flera områden, t.ex. triage av larm, en viktig aspekt för att förhindra felaktiga försök till incidenthantering. Den viktigaste aspekten som täcks i svarsdelen av en incidenthanteringsprocess är att begränsa och undanröja hotet. Planen för incidenthantering måste omfatta följande områden:
Bedömning av brott: Hur man kvantifierar hotets omfattning och om hotet är verkligt. Detta inkluderar hur man sorterar varningar.
Inneslutningsövningar: När ett hot väl har identifierats, hur ska det begränsas? Detta kan inbegripa isolering av system för att skydda mot ytterligare infektion/dataläckage.
Bedömning av mätvärden för överträdelser: Vad är klassificeringen av de data som har brutits? Var uppgifterna känsliga? Påverkade överträdelsen lagstadgade krav?
Behandla alla infektioner/sårbarheter: Vad är den allmänna processen för att ta bort de infekterade filerna och hantera eventuella efterverkningar av en infektion?
Bevara artefakter från brott: Hur man tar fram en loggbok över incidenten och eventuella kriminaltekniska bevis. Ange vem, vad, varför och var händelsen inträffade.
Förbered dig för anmälan om intrång: Vid behov, hur man förbereder sig för eventuella anmälningar om brott som krävs. Detta bör omfatta offentliga meddelanden och kan innehålla mallar.
Samarbeta med juridiska frågor och efterlevnad (och eventuellt brottsbekämpning): Uppgifter om vem som är ansvarig för att hantera juridiska frågor och efterlevnad och hur detta hanteras.
Återskapa
Återhämtning är den sista delen av incidenthanteringsprocessen. Planen för incidenthantering bör visa hur företaget går vidare efter en incident, vilka lärdomar som dragits och vilken typ av återhämtningsövningar som bör genomföras:
Övningar efter incidenter: Hur man kan täppa till de luckor som upptäcktes under incidenten.
Ta bort risken: Avlägsnande av risken och återställande av systemen till det tillstånd som rådde före olyckan.
Rapport: Vägledning om hur man skapar en incidentrapport för att förebygga framtida incidenter. Men också riktlinjer för fortsatt insamling och övervakning av kriminaltekniska data för att garantera fortsatt säkerhet.
Ramar och standarder för att skriva en incidenthanteringsplan
När du skriver en incidenthanteringsplan kan det vara bra att få vägledning från erkända myndigheter.
ISO 27001 - Bilaga A.16: är en bilaga till den internationella standarden ISO 27001 som ger användbara råd om hur man upprättar ett protokoll för att hantera livscykelhanteringen av en säkerhetsincident.
NIST:s process för incidenthantering: NIST (National Institute of Standards and Technology) är ett amerikanskt regeringsorgan. NIST:s incident Response Process beskriver de fyra steg som nämns i den här artikeln.
Hur skriver man en Incident Response Plan? Vår slutsats
En effektiv hantering av till och med förödande händelser kommer att mildra alla nuvarande och framtida konsekvenser av en incident. Personalutbildning är dock en ständig utmaning som är unik för en enskild organisations incidenthanteringsplan. Varje organisation har sina egna hot och interna organisationsstrukturer.
Personligt anpassat utbildningsinnehåll kan användas för att återspegla varje organisations unika karaktär och dess strategi för incidenthantering. Genom att skapa en personlig incidenthanteringsplan som återspeglar er unika organisationsstruktur kan ni se till att ni kan begränsa de olika hot som ett modernt företag möter.