Planlægning før en hændelse: 5 ting, der bør dokumenteres i en incident response-plan
Planlægning før en hændelse:
For når det sker, har du ikke tid til at slå det op.
De fleste vejledninger om forberedelse inden for it-sikkerhed fokuserer på, hvad man skal gøre, efter at et angreb er startet. Isolér de inficerede enheder. Kontakt jeres incident response-partner. Underret den juridiske afdeling. Alt sammen gode råd, men kun nyttige, hvis I allerede ved, hvem I skal ringe til, hvor jeres sikkerhedskopier befinder sig, og hvilke systemer virksomheden ikke kan overleve uden.
Problemet er, at de første timer af en ransomware-hændelse er kaotiske. Beslutninger, der burde tage få minutter, tager langt længere tid, når den nødvendige information er spredt i e-mailtråde, i organisationens kollektive hukommelse eller i systemer, der nu kan være utilgængelige. Det er ikke en teknologisk fejl. Det er en dokumentationsfejl — og den er fuldt ud forebyggelig.
Det følgende er ikke en incident response-plan. Det er noget mindre og mere umiddelbart praktisk: fem kritiske kategorier af information, som jeres team skal have dokumenteret og gjort tilgængelige, før en hændelse indtræffer. Det tager ikke lang tid at udarbejde denne liste. Ikke at have den, når I får brug for den, vil koste langt mere tid, end den nogensinde sparer.
Når en sikkerhedshændelse opstår, er den første reaktion som regel at gribe telefonen. Problemet er, at mange teams ikke altid ved, hvem de skal ringe til.
Jeres eskalationsdokumentation bør indeholde kontaktoplysninger på jeres incident response-team, nøglekontakter og jeres DFIR-partner. Medtag også aktiveringsprocessen, kontaktoplysninger på jeres juridiske rådgiver (med erfaring inden for databeskyttelse) samt skadeskontakt hos jeres cyberforsikringsselskab sammen med jeres policenummer.
Eskalationsdokumentationen bør indeholde nøglekontakter og policeoplysninger, som er nødvendige ved en hændelse. Mere specifikt bør den omfatte:
Incident response-team og ansvarlige
Kontaktoplysninger på jeres interne incident response-team og dets ansvarlige kontaktpersoner
DFIR-partner
Kontaktoplysninger på jeres partner inden for Digital Forensics and Incident Response (DFIR), herunder aktiveringsprocessen.
Juridisk rådgiver
Kontaktoplysninger på jeres eksterne juridiske rådgiver, og sørg for, at vedkommende har erfaring med databeskyttelse.
Cyberforsikring
Skadeskontakt hos jeres cyberforsikringsselskab samt jeres policenummer.
Det sidste punkt er det, der oftest mangler. Cyberforsikringer indeholder typisk specifikke anmeldelsesfrister, og hvis de overskrides, kan det skabe komplikationer med jeres erstatningskrav netop på det tidspunkt, hvor I mindst har råd til komplikationer. At kende skadeskontakten og jeres policenummer før en hændelse opstår, er en nødvendighed.
En sidste bemærkning om cyberforsikring: Opbevar jeres police sikkert og adskilt fra jeres primære systemer. Trusselsaktører, der har opholdt sig i jeres netværk inden de iværksatte krypteringen, kan have adgang til dokumenter, der er lagret dér. Jeres policeoplysninger bør ikke befinde sig et sted, hvor de kan finde dem.
Når alting går hurtigt, ønsker du ikke at skulle lede efter et telefonnummer.
Trusselsaktører går først efter sikkerhedskopier. Det er ikke spekulation. Det er et gennemgående mønster, som DriveSavers har observeret i mange ransomware-hændelser. Inden produktionssystemer krypteres, vil angribere ofte identificere og kompromittere backupinfrastrukturen for at fjerne offerets mest direkte gendannelsesmulighed. Når krypteringen sættes i gang, kan sikkerhedskopierne allerede være væk.
Dette bør forme, hvordan I tænker om dokumentation af sikkerhedskopier. Det er ikke nok at vide, at sikkerhedskopier eksisterer. Jeres team skal hurtigt kunne vurdere sikkerhedskopiernes integritet under en hændelse, hvilket betyder, at arkitekturen skal være tilstrækkeligt dokumenteret til at understøtte denne vurdering, før nogen er under pres.
Dokumentér, hvor sikkerhedskopierne findes (lokalt, eksternt og i skyen), hvordan backup-job køres og efter hvilken tidsplan, samt trin-for-trin-procedurer for gendannelse.
Antag, at jeres sikkerhedskopier kan være kompromitteret, indtil I har bekræftet det modsatte.
Ved en sikkerhedshændelse vil I ikke kunne gendanne alt på én gang. Beslutninger om, hvad der skal gendannes først, træffes hurtigt, under pres og af personer, som måske har fået meget lidt søvn. Disse beslutninger bliver markant bedre, når de træffes på forhånd uden pres.
Jeres liste over kritiske data bør identificere de systemer, virksomheden ikke kan fungere uden, de datasæt der er nødvendige for den daglige drift samt en klar prioriteringsrækkefølge for gendannelse: nødvendige kontra ønskelige.
Vær ærlig om, hvad virksomheden reelt er afhængig af, kontra hvad der blot er vigtigt. Den ærlighed er langt sværere at finde midt i en aktiv hændelse. Prioritér de datasæt, der skal gendannes, før I fokuserer på dem, der blot er ønskelige. Ikke alt kan komme tilbage først, og at vide det på forhånd er en væsentlig operationel fordel.
Ved en sikkerhedshændelse handler gendannelse ikke kun om at få data tilbage – men om at gendanne de rigtige data først.
Ved en sikkerhedshændelse handler gendannelse ikke kun om at få data tilbage – men om at gendanne de rigtige data først.
I de fleste miljøer af en vis størrelse spænder backupinfrastrukturen over flere lokationer. Ansvarsdokumentationen bør angive, hvem der ejer hvert backupmiljø, adgangsoplysninger til sikkerhedskopier, snapshots og replikaer samt hvor sekundære systemer og kopier kan befinde sig.
Tag højde for, at de samme data ofte findes i flere former: en primær sikkerhedskopi, et snapshot, en replika eller en arkiveret kopi på bånd eller i et sekundært cloudmiljø. I situationer, hvor primære sikkerhedskopier er blevet kompromitteret, kan det gøre en væsentlig forskel at vide, hvor man ellers skal lede.
Et grundigt ejerskabskort er i praksis et kort over jeres gendannelsesflade. Jo mere fuldstændigt det er før en hændelse, desto flere muligheder har I undervejs.
De samme data findes ofte i flere former. At vide, hvor man skal lede, udvider gendannelsesmulighederne.
En vellykket operationel gendannelse efter et cyberangreb afhænger i høj grad af de leverandører, der leverer de produkter og tjenester, som understøtter jeres infrastruktur. Derfor er det afgørende at dokumentere deres eskalationsveje og supportkanaler, før en hændelse opstår.
Leverandørkontaktlisten bør omfatte de leverandører, der er nødvendige for at gendanne kerneforretningen, deres supportkanaler og eskalationsveje samt en data recovery-partner i situationer, hvor sikkerhedskopier og dekrypteringsværktøjer er mislykkedes.
Det tredje punkt er det, de fleste organisationer helt udelader. Fejl i sikkerhedskopier og dekrypteringsværktøjer er ikke sjældne ydertilfælde. De er realistiske resultater af et veludført cyberangreb. At have en professionel data recovery-partner identificeret og dokumenteret før en hændelse betyder, at I ikke skal evaluere leverandører på det værst tænkelige tidspunkt for organisationen. Det betyder også, at jeres IR-team har en parallel gendannelsesvej at forfølge i stedet for at være afhængig af ét enkelt løsningspunkt.
At dokumentere disse relationer på forhånd sikrer, at når gendannelsen begynder, udfører jeres team en plan – i stedet for at lede efter en.
English (United States) 
English (Australia) 
French (France) 
English (UK) 
French (Canada) 
English (Canada) 
Spanish (Mexico) 
German 
Dutch 
Italian 
Finnish 
Polish 
Norwegian 
Swedish 
Danish 
Spanish (Spain) 
Chinese 
Japanese 
German (Austria)