Det finns tyvärr inte en enskild teknisk lösning som gör det möjligt att trycka på en knapp för att återställa en IT-miljö till ett normalläge efter en incident. Snarare handlar det om en kombination av teknik, processer och människor där varje organisation behöver utforma sin väg tillbaka, utformad och optimerad utifrån deras unika behov.
– Alla som är beroende av IT på något sätt behöver ha planer för disaster recovery och business continuity på plats, och göra prioriteringar utifrån verksamhetens natur, säger Zakaria Bennani, Strategic Portfolio Manager Hybrid Cloud på Telia Cygate.
Disaster recovery handlar om en proaktiv plan för hur man återställer funktionalitet efter en kris. En business continuity-plan beskriver hur verksamheten så snabbt som möjligt kan fortsätta skapa värde när krisen hanteras. Planerna beskriver hur och i vilken ordning saker ska göras och vem som ska göra vad. Dessa planer behöver vara uppdaterade och testade och inte minst förvaras på ett sådant sätt att de finns tillgängliga även om IT-miljön är låst. Att ha papperskopior som beskriver alla failback-rutiner kan vara skillnaden mellan att stänga ner eller inte.
– När katastrofen är ett faktum vill man att allt man planerat ska fungera som ett väloljat maskineri, berättar Zakaria Bennani.
De kostnader som verksamheten drabbas av när system ligger nere är också en viktig aspekt att beakta när man tar fram sina planer. Ett system kan vara beroende av annat innan det kan återställas. Som regel innebär möjligheten till snabbare återställning och mindre dataförlust också en dyrare lösning. Det är viktigt att fatta medvetna beslut tillsammans med verkligheten för att hitta rätt nivå av skydd till rimlig kostnad.
– För somliga kan det vara okej att spola tillbaka till gårdagens data för att snabbt komma på banan igen. Det blir lite pyssel med manuellt arbete, men inte mer än så, säger Jens Johansson, Tactical Portfolio Manager Hybrid Cloud på Telia Cygate.
Backupen är nyckeln till återställning
Cyberbrottslingar som genomför ransomeware-attacker brukar ha som regel att identifiera backupservrar i början av ett angrepp för att kunna radera data och försvåra en återställning. Därför är det viktigt att testa sina backuper. Man behöver säkerställa att det finns ren data att läsa tillbaka, att inga system har missats, samt att hänsyn har tagits till eventuella beroenden för att kunna göra återläsningen. Ett exempel kan vara om den tekniker som ska göra återläsningen jobbar på distans, och inte kan logga in på grund av att VPN-funktionaliteten inte fungerar. Eller att något system förutsätter och är beroende av att ett annat system är uppe och fungerar för att kunna återställas.
– En bra grundregel är att ha sin backup på en fysiskt separerad plats och i en lösning som innebär att den inte går att ändra, säger Jens.
I händelse av ett intrång är det också viktigt att identifiera hur intrånget gått till och när det inträffat. Då finns möjlighet att göra en återställning till en backup-version som inte hunnit bli infekterad och att täppa till luckan så att brottslingarna inte tar sig in igen.
– Här kan det vara en bra idé att göra återställningen till ett skyddat system. Isolera funktionalitet och öppna upp i flera steg så att man ser att det är säkert innan man släpper på verksamheten igen, fortsätter Jens.
Freda teknikern i arbetet med återställningen
Oavsett om företaget har förlamats av en ransomeware-attack eller av en brand i datahallen uppstår ett stort behov av kommunikation till olika målgrupper. Det behöver därför finnas en kommunikationsplan som tar avstamp i vem som behöver vilken information och vid vilken tidpunkt. Det behöver också finnas en förteckning över alternativa kontaktvägar om de vanliga kanalerna som exempelvis Teams och telefoner ligger nere.
– Planen ska innehålla vem eller vilka som är externa talespersoner mot kunder och press, hur ledningen kommunicerar med varandra, och på vilket sätt man når ut med viktig information till medarbetare, berättar Zakaria.
Kommunikationsplanen ska också innehålla hur och vem som samordnar teknikernas arbete under krisen, samt en rutin för hur kommunikationsflödet mellan teknikerna och den övriga verksamheten ska hanteras. Teknikern ska inte bli kommunikatör, utan kunna fokusera på arbetet med återställningen.
– Snarare än att alla ringer till teknikern med sina frågor är det bättre att hon eller han kanske har timvisa avstämningar med kommunikationsteamet som sedan får bära ut informationen till rätt personer, menar Zakaria.
För att ta sig tillbaka efter en incident behöver teknik, människor och processer fungera. Planerna behöver vara genomarbetade och uppdateras med regelbundna mellanrum. Världen är i ständig förändring och grundläggande saker att telefonnummer som finns på en lista är uppdaterade och fungerar vid ett skarpt läge. Planen behöver även testas som om allt vore på riktigt. Det kan man med fördel göra genom att låta en utvald grupp personer testa ett eller flera scenarion, och genomföra övningen på ett så verklighetstroget sätt som möjligt.
– Och i händelse av att ni drabbas av en incident, ta chansen att stanna upp, utvärdera och dra nytta av lärdomarna, avslutar Zakaria.
Fem vanliga luckor i krisplaneringen
Jens Johansson på Telia Cygate ger här fem råd kring krisplanering:
1. Förankring av planer
Planen är inte förankrad i verksamheten och därför prioriteras kanske inte återställning av de mest kritiska systemen först – Ta för vana att alltid förankra planerna med verksamheten.
2. Test av krisplaner
Krisplaner har aldrig testats i praktiken och därför upptäcks brister först när det är ett skarpt läge – Verifiera dina planer regelbundet och sprid samtidigt medvetenhet kring vad som ska göras ”när krisen kommer”.
3. Få koll på beroenden
Det saknas en tydlig bild av vilka beroenden som är avgörande för att få verksamheten på fötter – Kartlägg era beroenden tillsammans med verksamheten och arbeta in dessa i era planer för effektiv återställning till normalläge.
4. Håll planerna aktuella
Krisplaner har inte uppdaterats sedan de skapades för länge sedan. Planer är färskvara och risken är stor att de delvis kommer att vara inaktuella när de ska användas eftersom världen är i ständig förändring – Lägg in en översyn av planer i ert årshjul för att bli påmind om att aktiviteten är viktig för hela verksamheten.
5. Undvik personberoende
En enskild person sitter på unik kunskap om infrastruktur eller processer och är den enda som kan agera vid en kris – Säkra att det inte uppstår personberoende på verksamhetskritiska områden när krisen är ett faktum.
