Search

Cyberkrishantering: hur förbereder man sig för en cyberattack?

Cyberattacker har betydande konsekvenser utöver IT-kriser och påverkar tjänster, rykte, fusioner och förvärv, finansmarknader, varumärkesvärde, efterlevnad och mycket mer. När era mest kritiska system kollapsar måste ni kunna hantera denna störande och oförutsedda händelse. Tyvärr kommer ni inte att ha mycket tid på er att fatta beslut, och varje beslut kommer att påverka hur allvarlig krisen blir. Dessutom kommer ni inte att vara ensam om att fatta dessa beslut. Effektiv hantering av cyberkriser kräver samarbete mellan olika team, inklusive IT, kommunikation, juridik och relevanta yrkesgrupper.

Hur uppstår en cyberkris?

En kris uppstår vanligtvis när ett framgångsrikt strategiskt utnyttjande av sårbarheter stör ett företags verksamhet. Sårbarheterna kan finnas i programvara, nätverk eller mänskligt beteende (t.ex. att klicka på en phishing-länk). Genom dessa sårbarheter får de tillgång till ert system/nätverk. I er miljö kan de sedan påbörja en process med lateral förflyttning och grundligt utforska ert system för att få mer insikt i era affärskritiska och känsliga data.

När de tydligt förstår vilka värdefulla tillgångar de ska rikta in sig på stör de era system och använder kryptering för att se till att er data blir oåtkomliga. Detta kommer naturligtvis att skapa en känsla av brådska och panik. Den perfekta tidpunkten för brottslingar att kräva en lösensumma i utbyte mot era uppgifter eller ett löfte om att inte offentliggöra era uppgifter.

 

Hur förbereder man sig för en cyberkris?

Att förstå sårbarheter är avgörande för krisförberedelser. Genom att genomföra tekniska och organisatoriska revisioner kan man identifiera potentiella risker och prioritera kritiska skyddsåtgärder baserade på människor, processer och verktyg. Några exempel på dessa åtgärder är utbildning i medvetenhet, kontinuitetsplanering inklusive viktiga uppdateringar och säkerhetskopior samt, sist men inte minst, en krishanteringsplan och övningar. Krishanteringen måste fokusera på snabb respons, genomförande av nödåtgärder och skydd av kritiska tillgångar.

Krisförberedelserna omfattar även de psykologiska och organisatoriska effekterna och säkerställer att medarbetarna kan fatta välgrundade beslut under press. Att genomföra dessa simuleringar är mycket viktigt för att förbereda er kristeam. Krishanteringsövningar simulerar cyberattacker och kan variera i varaktighet och komplexitet. Scenarierna bör vara realistiska och relevanta för att engagera alla intressenter och belysa de mest sannolika hoten med betydande konsekvenser. Se till att alla intressenter är redo, från tekniska första insatspersoner till funktionella team och strategiska beslutsfattare. Övningarna testar deras kunskaper, utvecklar automatism och förbättrar kommunikationsförmågan via olika plattformar (eftersom de vanliga kan vara otillgängliga och osäkra i händelse av en kris).

Analysen efter övningen gör det lättare att lära sig av misstagen, ta fram rekommendationer och en handlingsplan för kontinuerlig förbättring. Dessutom säkerställer regelbundna uppdateringar av krishanteringspolicyer, utbildningstillfällen och årliga övningar en kontinuerlig beredskap.

Vad ska man göra under en cyberkris?

Någon gång kommer någon att vända sig till er för att säga att något inte står rätt till. Det kan vara myndigheterna, CISO, ert SOC-team (externt), en kund eller ännu värre: angriparen. Det första ni behöver göra är att avgöra om detta är sant eller ej. Det kan vara en incident som ni kan hantera relativt enkelt, eller så kan det vara en kris. Om det är en kris kommer det att ha en enorm inverkan, och ni kommer att behöva mobilisera rätt krisenhet. Det kan vara er operativa eller beslutsfattande krisenhet eller båda. De måste fatta rätt beslut vid rätt tidpunkt och får ofta råd av (externa) säkerhetsexperter, t.ex. ett CSIRT (Cyber Security Incident Response Team).

Det är viktigt att verksamheten beslutar om de fem viktigaste åtgärderna innan den påbörjar processen för att mildra effekterna. Detta förhindrar att CSIRT-teamet ständigt byter fokus, vilket kan leda till felaktig användning av tillgångar och förlust av överblick och tid under incidenten.

Dessutom är det viktigt att informera alla berörda parter (myndigheter, anställda, kunder ...) så snart och så tydligt som möjligt. Se till att ni vet om ert företag måste följa NIS2-riktlinjerna. Det kan innebära att ni är bundna till strikta tidsramar (inom 72 timmar). Det är mycket viktigt att övervaka sin omgivning för att säkerställa att krisen verkligen är över.

Vad händer efter cyberkrisen?

Det är svårt att säga när en kris verkligen är över. Men den kan ha en långvarig effekt. När värmen är över måste ni återhämta er och förbereda er för nästa kris. När ni utvärderar bör ni ta reda på vad som orsakade krisen och hur ni hanterade den. Active Directory-domänen och alla applikationer måste återställas och säkras. Uppdatera flöden, dokumentation och framtida krisövningar för att skapa en plan för kontinuerlig förbättring, inklusive lärdomar, en färdplan för säkerhet, medvetenhetsträning etc.

Är ni förberedda på att hantera en cyberkris? Här är en checklista

Ett företags förmåga att reagera på och begränsa de negativa effekterna av en kris (på dess företag, verksamhet, personal, image och rykte) beror på dess förberedelse- och utbildningsnivå. Här är i korthet det förfarande som ska följas för att på bästa sätt förbereda sig för en cyberkris:

 • Analysera företagets svagheter
 • Identifiera företagets mest känsliga uppgifter
 • Utarbeta en krishanteringsplan
 • Inrätta krisgrupper och utse medlemmar och deras ersättare
 • Definiera deras roller och ansvarsområden samt gränser
 • Tänk på samordningen mellan medlemmarna och krishanteringsenheterna
 • Utbilda varje medlem i krishantering och nya säkra kommunikationsverktyg
 • Skapa ett övningsscenario baserat på en känd sårbarhet och det mest sannolika hotet med den mest betydande effekten
 • Observera varje persons agerande och anteckna det noggrant
 • Öva i ett tempo med stimuli som är utformade för att återskapa spänningen i en kris
 • I slutet av övningen gör ni en post mortem-analys
 • Skriv en årsrapport och en handlingsplan för ständiga förbättringar
 • Genomför regelbundet utbildningstillfällen
 • Genomför krishanteringsövningar minst en gång om året
 • Uppdatera regelbundet alla dokument som nämns ovan

 

Incident Response Hotline

Facing cyber incidents right now?

Contact our 24/7/365 world wide service incident response hotline.