Reaktion på cyberattacker: Adoptera rätt hållning i 5 steg

Det verkliga cyberhotet är nu väl accepterat av organisationer som vet att de är måltavlor för cyberbrottslingar. Angripare använder en mängd olika sofistikerade tekniker för att komma åt känslig information (finansiell information, personuppgifter, affärshemligheter etc.), ibland utan att bli upptäckta. Konsekvenserna av sådana intrång kan bli katastrofala för företagen, från förlust av data och skadat anseende till betydande ekonomiska förluster. Eftersom cyberhoten blir allt mer omfattande är det viktigt att veta hur man ska reagera på en cyberattack. De omedelbara reflexerna är nu välkända: isolera infekterade system och tillämpa alla de försiktighetsprinciper som organisationer har infört i förväg. Men vad ska man göra härnäst?

"Den hållning som ska upprätthållas kommer att vara avgörande på lång sikt eftersom det är det som gör det möjligt för den drabbade organisationen att återuppbygga sig själv utan att lida för mycket", förklarar Romain Naïm, Principal Consultant på Orange Cyberdefense. Fokusera på 5 viktiga steg för att anta rätt hållning i händelse av en cyberattack.

Steg 1: Kvalificera händelsen

Alla säkerhetsincidenter klassificeras inte systematiskt som en kris, och därför måste cyberattackens karaktär analyseras. Detta innebär att man upprättar en lista över tjänster som potentiellt kan påverkas av denna attack.

Målet är att förstå hur attacken gick till och definiera omfattningen av kompromissen för att vägleda de experter som ska ansvara för krishanteringen. Vilka är de operativa tjänster, system och användare som är i riskzonen? Hur många är de? Vilka är kopplingarna mellan de olika komprometterade tillgångarna och deras respektive åtkomst? Vilken väg tar cyberbrottslingarna för att kompromettera? Detta steg blir enklare och snabbare när företaget har en uppdaterad realtidskarta över sitt informationssystem.

Denna identifieringsfas gör det möjligt att bättre förstå omfattningen av kompromissen och att prioritera de åtgärder som ska vidtas för att avhjälpa problemet. Det kommer också att ge teamen mer insyn i om vissa tjänster och verktyg är otillgängliga och kommer därmed att vägleda dem i genomförandet av en strategi för kontinuitet i verksamheten.

Utredningar kan ibland ta flera veckor. Ni behöver inte vänta på en detaljerad och färdig rapport innan ni tar nästa steg!

Steg 2: Samla interna intressenter inom en krisenhet

När angreppets omkrets har fastställts och om de potentiella effekterna är tillräckligt betydande är det dags att aktivera krisenheten, vars sammansättning har definierats i förväg. Om krisen i första hand mobiliserar cyber- och IT-teamen måste krisenheten integrera de olika funktioner som har en roll att spela i krishantering i vid bemärkelse: affär, juridik, kommunikation, produkt osv. Denna utvidgade krisenhet kommer att göra det möjligt att hantera krisens olika aspekter och effekter. Detta innebär att man fastställer tydliga och faktiska mål för att ta sig ur krisen och definierar en strategi för att uppnå dem.

Krisenheten kommer att bli än mer effektiv och lyhörd om förfaranden och regler har definierats i förväg och medlemmarna har utbildats och tränats. En inledande inventering av situationen kommer att ge alla samma informationsnivå. Regelbundna uppdateringar kommer också att göras, med en förteckning över pågående åtgärder och beslut som skall fattas.

Steg 3: Fatta beslut

Kärnan i en kris är osäkerhet, och krishanteringens värsta fiende är passivitet. För att kunna agera i en cyberkris måste vi förutse och definiera cyberattackens omfång. De uppgifter som samlas in under steg 1 kommer att hjälpa experterna att projicera de påverkade systemen på verksamheten. Genom att göra detta arbete blir det sedan möjligt att identifiera alla berörda intressenter, internt och externt, och att införa handlingsplaner för att åtgärda de identifierade effekterna, så proaktivt som möjligt.

Beslutsfattare behöver underrättelser, inte information, för att kunna fatta välgrundade beslut. Krisenheten ansvarar för att bearbeta och analysera inkommande information för att föreslå handlingsplaner till krischefen, som antingen kan acceptera, ändra eller förkasta dem. Visionen om fördelar kontra risker måste vägleda dessa beslut.

När handlingsplanerna har godkänts är det upp till expertgrupper att genomföra dem.

Steg 4: Kontakta experter på incidenthantering

Att veta hur man omger sig med experter är en viktig del i hanteringen av cyberkriser. Det är också vad ANSSI kallar "Activating your support networks" i sin guide till cyberkrisen. Det rekommenderas att man kontaktar IT-säkerhetsexperter inom de första timmarna efter att man upptäckt cyberattacken.

Hantering av cyberkriser kan involvera olika partners och tjänsteleverantörer. Företaget har därför allt intresse av att utse personer som ansvarar för att samordna dessa olika experter. Beroende på cyberattackens art, de rättsliga skyldigheter och de regleringsmässiga begränsningar som företaget omfattas av måste det också göra en deklaration till ANSSI eller anmäla en personuppgiftsincident till CNIL. För att stödja er i detta steg erbjuder Orange Cyberdefense en tjänst som kallas "Incident Response", en CSIRT-tjänst för att försvara företag mot cyberattacker.

Affärsexperter som är nära de dagliga operativa utmaningarna som möjligt kommer att behöva tänka om när det gäller aktiviteter i nedgraderade lägen utöver den tekniska aspekt som måste hanteras. De kommer att ansvara för att genomföra de handlingsplaner som validerats av krisenheten för att avhjälpa de mest kritiska effekterna. Aktivering av en PCA eller en PRA kan krävas om omständigheterna tillåter.

Steg 5: Informera berörda parter

Det är absolut nödvändigt att informera de anställda om den pågående cyberattacken och att ge dem instruktioner om hur de ska gå tillväga: vilka accesser som ska stängas av och vilka tjänster som inte ska fungera, hur lång tid det tar att återställa systemet osv.

Men behovet av att kommunicera går ofta längre än denna första cirkel. När en organisation drabbas av en cyberattack måste hela dess institutionella kommunikationsstrategi beaktas.

Att bibehålla eller till och med återvinna partnernas förtroende är en stor utmaning som, om den hanteras dåligt, kan leda till en rad ytterligare konsekvenser (t.ex. att flöden från en kritisk leverantör avbryts på grund av rädsla för en ny attack).

Kommunikatörer måste av flera skäl involveras i krishanteringen redan från början:

• Det tar tid att utveckla en kommunikationsstrategi och att ta fram och validera material. Det är viktigt att börja arbeta med kommunikation innan man bestämmer sig för att kommunicera.

• Cyberattacken väcker komplexa tekniska frågor, särskilt för den oinvigde. Att skapa en länk mellan tekniska experter och kommunikatörer är absolut nödvändigt för att säkerställa att kommunikationen är sammanhängande;
   
• Att centralisera produktionen av språkliga element som sedan kan användas i enlighet med de berörda intressenterna är viktigt för att undvika avvikelser beroende på källorna.

Helt transparent kriskommunikation rekommenderas generellt, men var försiktig så att ni inte avslöjar information som ytterligare kan äventyra informationssystemet.

För att öka effektiviteten måste valideringsprocessen för pressmeddelanden formaliseras före krisen.

I huvudsak

Att hantera cyberattacker kräver tid och ansträngning. Organisationers motståndskraft måste byggas upp över tid och förberedelser för cyberkrishanteringssystem måste göras i ett tidigt skede.

Det är genom att förlita sig på en robust krisorganisation och använda redan befintliga rutiner och processer som implementeringen av dessa fem steg kan ske smidigt och effektivt.

Orange Cyberdefense är er betrodda tjänsteleverantör som kan stödja er under vart och ett av dessa steg, under och före cyberattacken.

Om ni vill veta mer om hur ni förbereder er för en cyberkris kan ni ladda ner vårt white paper Beredskap, insatser och återgång till verksamheten efter en cyberkris.