I vår serie av artiklar för ett holistiskt, systematiskt och cirkulärt säkerhetsarbete baserat på säkerhetsramverket NIST Cybersecurity Framework (CSF), är vi nu framme vid det sista området – Recover.
Återställning till normalläge (Recover) handlar om att utveckla planer och aktiviteter för att återställa det som påverkas vid en säkerhetsincident. Det är viktigt att dessa åtgärdsplaner finns på plats innan en incident inträffar. Förutom att återställa system, data och tjänster, finns det andra områden som påverkar både slutresultatet och framtida händelser. Två av dessa är kommunikation och förbättringar, förklarar Michael Mothander, Strategic Portfolio Manager Cyber Security på Telia Cygate.
Målen med Recover
Målet med det arbete som görs inom området Recover kan sammanfattas till tre huvudkategorier:
- Minimera skador – Det handlar om att snarast återställa kritiska verksamhetsfunktioner för att minimera påverkan på främst ekonomiska, men även förtroenderelaterade värden
- Lärdomar – Att proaktivt dra lärdomar från det som inträffade stärker framtida motståndskraft och bygger ett starkare skydd
- Återbygga förtroende – Efter en cybersäkerhetsincident kan förtroendet för system och verktyg ha fått sig en törn och behöver återuppbyggas, ibland oavsett vad som hänt och vem som varit ansvarig.
Att vara förberedd på det oväntade och kunna visa handlingskraft genom lärdomar vunna från tidigare erfarenheter, tillsammans med förmågan att agera under stark press, har en signifikant effekt på att korta ner återställningstiden, säger Tomas Eklind, Tactical Portfolio Manager Cyber Security på Telia Cygate. Han fortsätter:
– När vi är mitt uppe i ett återställningsarbete och samtidigt kommunicerar på rätt sätt till rätt intressenter, får vi effekt på det vi gör. Vi uppfattas som professionella och sprider ett effektivt lugn, vilket gör stor skillnad för hur slutresultatet uppfattas.
Minimera skador
Med ett säkerhetsteam i beredskap, ett så kallat Incident Respons Team (IRT eller CSIRT), skapar organisationer förutsättningar för att minimera skador och verksamhetspåverkan vid en konstaterad cybersäkerhetsincident.
Säkerhetsteamet i kontext av Recover stöttar både SOC-funktionen (Security Operations Center), kundens medarbetare samt vid behov även olika externa leverantörer.
– Det handlar om att leda och samverka arbetet mot ett snabbt återställande och det är precis vad huvuduppgiften är för ett IRT, beskriver Tomas Eklind.
Kommunikation
Att ha en genomtänkt plan för kommunikation under en pågående cybersäkerhetsincident kan kännas om något trivialt, men kan faktiskt vara helt avgörande för resultatet. För att underlätta arbetet i situationer där organisationen är under stark press är det viktigt att planen innehåller både interna och externa delar, tydlighet kring vad som bör informeras till exempelvis press eller tillsynsmyndigheter och vem det är som kommunicerar. Planen behöver också innehålla en tydlighet kring hur verksamhet, ledning och styrelse hålls informerade och vilka eskaleringsaktiviteter som kan göras beroende på situation och omfattning.
Att arbeta med fördefinierade kommunikationsplaner som även testas med involverade intressenter är en framgångsfaktor berättar Michael Mothander och fortsätter:
– Som en del av kommunikationsplanen kan det vara nödvändigt att ha med aktiviteter för att återuppbygga förtroendet. För att kunna genomföra det tillfredsställande behöver vi dra lärdomar av det som inträffat.
Återbygga förtroende
Grunden i att återbygga ett förtroende är att verkligen gå till botten med händelseförloppet för cybersäkerhetsincidenten. Det är därför viktigt att investera tid och resurser till att identifiera de tekniska bristerna, vad som skett, men även hela förloppet och då även mjukare delar som hur kommunikationen skett och om den följt den tänkta planen.
Vi kan konstatera är att när kostnader för återställande skenar i höjden, handlar det oftast om bristfälliga tekniska förutsättningar. Därför behövs de tekniska delarna tillsammans med rutiner för back-up och återläsning samlas i en robust backup-strategi, berättar Michael Mothander och fortsätter:
– Idag har begreppet säkra backuplösningar (immutable backup, oföränderlig säkerhetskopia) aktualiserats. Det handlar om att säkerställa att säkerhetskopior inte går att förändra, förstöra eller på annat sätt manipulera.
En säkerhetskopia som inte cyberkriminella kan få tillgång till och en backup-strategi som är utformad så att det inte kan skrivas in skadlig kod i arkiverade backup-versioner, ger ett bra grundtillstånd för effektiv återställning. Har vi dessutom övat olika katastrof-scenarion med moment som innehåller praktiskt återställande och verifierande av data, då har vi ett grundskydd att lita på.
5 tips på förebyggande åtgärder
Tomas Eklind på Telia Cygate ger här fem förebyggande råd som ger grundtrygghet:
1. Backup och återläsning
Säkerställ att dina rutiner för backup och återläsning fungerar, testa regelbundet. För data och information som är verksamhetskritisk, etablera säkra backuplösningar (immutable backup, oföränderlig säkerhetskopia).
2. Säkerhetsteam i beredskap
Ett förberett säkerhetsteam (IRT, Incident Respons Team) som vet hur de ska agera under stress och press kan göra stor skillnad för hela verksamheten. Om möjligt, säkerställ tillgången av ett IRT och träna på fiktiva cybersäkerhetsincidenter inom organisationen.
3. Kommunikationsplan
Vänta inte med att skriva planen, börja nu! Har du redan en plan som är bra på pappret, testa den genom en intern övning där intressenter får agera i ett fiktivt scenario. Det kommer löna sig och förmodligen kommer ni hitta förbättringspotential under själva övningen.
4. Lärdomar
Skapa en rutin för att analysera inträffade cybersäkerhetsincidenter. Vid behov dra nytta av IRT för att genomföra workshops där IT och verksamhet proaktivt identifierar och dokumenterar gemensamma lärdomar. Tillsammans kommer ni skapa en mycket bättre framtida motståndskraft.
5. Återuppbygg förtroende
Underskatta inte betydelsen i att återuppbygga förtroendet. Det kan också handla om att stötta enskilda individer som haft stort tryck på sig under återställningsarbetet. Bekräfta lärdomarna och investera tid där det behövs, både internt och externt.
Följ oss vidare i vår artikelserie som beskriver hur Telia som samhällskritisk aktör arbetar med systematiskt och cirkulärt säkerhetsarbete. Här får du möta våra cyberexperters vardag och höra dem berätta hur de håller sig beredda att stötta kunder.
