Så gör du om företaget blir hackat - därför ska du ha en säkerhetsstrategi

Har du hundra procent koll på företagets sårbarheter när det gäller IT? Inte. Då kan det vara värt att ägna två minuter av din tid åt att läsa det här blogginlägget.

Visste du att organiserade hackers har callcenters för att hjälpa företag att betala lösensumman med kryptovaluta? Eller att det finns ransomware-as-a-service? Då kanske du också vet att det bara är en tidsfråga innan ditt företag blir utsatt för en attack. 

Frågorna som du som IT- eller säkerhetsansvarig bör ställa dig är: 

  • Vilka blir följderna av en attack i form av kostnader och tid? 
  • Hur snabbt kommer ni att kunna återhämta er? 
  • Var går gränsen för att inte kunna hämta er från en incident?
  • Exakt hur ser processen ut för att hantera incidenter?  

Företag som blir utsatta för cyberangrepp måste i många fall stänga ned stora delar av, om inte hela, sin verksamhet som följd av ett cyberangrepp. Attacken blir även i många fall också publik vilket gör att andra cyberkriminella ser företaget som skadeskjutet och därför som “low hanging fruit” - ett enkelt byte att ge sig på. Om du blivit utsatt för ett cyberangrepp kan du förvänta dig en våg av angreppsförsök i dess kölvatten. 

Vad ska ett företag göra om det blir hackat?

Det allra bästa är såklar att inte bli hackad överhuvudtaget. Men att förbereda dig på det värsta är ditt bästa försvar. 

Begär in extern hjälp
Ytterst få organisationer är så stora att de har egna IT-forensiker och säkerhetsanalytiker. Det första ni ska göra vid ett cyberangrepp är att omedelbart begära in förstärkning. 

Ta reda på omfattningen
Om angriparna har varit inne i ditt nätverk i flera månader, och under tiden gjort ändringar i administrativa system och till exempel stängt av säkerhetsfunktioner och installerat brandväggar. Det första du måste ta reda på är exakt vad de har gjort, vilka system och applikationer är påverkade? 

Begränsa skadan (om det går)
Så snabbt som möjligt måste man fokusera på att begränsa skadan. Vilka system och applikationer är inte påverkade? Det är inte alltid hela IT-strukturen som påverkas, ibland väljer cyberkriminella  att fokusera på specifika områden, som lagringsytor, eller koncentrerar sig på ett specifikt operativsystem. Det sista man vill är att det sprider sig till kunder, underleverantörer eller andra nyckelintressenter.

Ta reda på så mycket som möjligt om angriparen
Cyberkriminella grupper är ofta extremt välorganiserade. De går ofta att särskilja i hur de utför sina attacker; deras modus operandi. Att veta vem man har att göra med är viktigt om man överväger att betala lösensumman; deras tidigare beteende vid attacker mot andra kommer att tala om för dig om de är kända för att lämna ifrån sig nyckeln, eller om de har satt i system att upprepa sina angrepp.

Att betala eller inte betala? Tänk på det här:

  1. Dina problem är inte över bara för att du fått dekrypteringsnyckeln 
    Chansen att faktiskt få nyckeln är större om du blir attackerad av en etablerad hackergrupp, de har nämligen sitt rykte att tänka på, hur konstigt det än kan låta.
    Men bara för att du fått nyckeln så kommer inte din information att magiskt dyka upp. Dekryptering måste ofta göras manuellt, system för system och återställningen till normalläge kommer att ta oerhört mycket tid och resurser i anspråk.
     
  2. Dina pengar går till organiserad brottslighet 
    Säg att du betalar - och får tillbaka krypteringsnyckeln. Tänk då på att dina pengar oavkortat har gått till att stödja organiserad brottslighet. I många länder är detta dessutom olagligt. Och hur vet du att du lyckats bli av med dem, och kommer kunna hålla dem ute efteråt? 
    Cyberkriminella använder gärna samma klassiska taktiker som på Al Capones tid; de kan vara så fräcka att de kräver regelbundna betalningar av dig, för “skydd”, annars attackerar de dig igen.

Det bästa skyddet mot attacker - en definierad säkerhetsstrategi

En förutsättning när man bygger upp sitt skydd mot cyberangrepp är att ha en väl definierad säkerhetsstrategi, en strategi som bygger på sund riskanalys. Se till att identifiera och prioritera hoten mot just din verksamhet.  Definiera åtgärder för hur du ska skydda dig mot de mest kritiska hoten; inkludera åtgärderna i en beslutad och tidsatt handlingsplan. Följ upp, mät hur väl åtgärderna fungerar, justera där det behövs. Detta är ett pågående arbete – vi kommer aldrig att “bli klara” med arbetet att skydda vår organisation.  

Riskanalys och handlingsplan 
Det första du som CISO måste ta reda på är hur din organisation ser på risker. Var går exempelvis ledningens gräns för acceptabla cybersäkerhetsrisker? Har de ens funderat på det? Om inte, se till att göra en riskanalys tillsammans med ledningen, ta fram en handlingsplan som täcker in vad som behöver göras både på kort och lång sikt, dvs tänk både taktiskt och strategiskt. 

Utbildning
När det gäller efterlevnad och utbildning inom IT-säkerhet tycker många att det kan vara svårt att hålla engagemanget vid liv. Men se till att göra det relevant för alla och förklara tydligt varför det är viktigt. Ingen gillar en brandövning - men den är livsavgörande när branden är ett faktum. 

Övervakning och analys
Det händer oftare än vad du tror att säkerhetsprogram upptäcker sårbarheter och larmar - men det finns ingen som tar emot larmet och sätter in åtgärder. Många stora, och uppmärksammade, cyberangrepp har i efterhand visats vara möjliga bara på grund av att ingen bevakade larmen från säkerhetssystemen.Se till att någon faktiskt alltid är där för att övervaka larmen från era säkerhetsprogram. Marknadens bästa program räcker tyvärr inte långt om det inte används rätt.

Gör inte allt på en gång. 
Ta små steg åt rätt håll - hela tiden. Mät, jämför och förbättra kontinuerligt. Det är receptet för att bygga ett effektivt cybersäkerhetsskydd. 

Bli bättre än dina konkurrenter

Företagets anseende
Att bli utsatt för ett dataintrång är att köra företagets anseende i botten. Tänk efter på vad en dataläcka kan betyda i form av förlorade affärer och anseende. Och även om ni snabbt skulle reparera skadan så kan ett vingklippt rykte förfölja er i många år framöver. 

Förlorad data
Vilken är er viktigaste information? Vilka är de mest kritiska verksamhetssystemen? Tänk dig att plötsligt stå utan tillgång till den informationen. Konsekvenserna av en sådan förlust är  omedelbara och kan skaka om själva grundvalarna i er organisation. Att arbeta med att minimera risken för, och konsekvenserna av, dataintrång ska stå högt upp på ledningens agenda. 

Förlorad tid
Tiden är en viktig aspekt - både under och efter ett cyberangrepp. Jobbet som måste göras med att ta hem all data och återställa allt kommer bli omfattande. Under den tiden kan stora delar av företaget inte utföra sina arbetsuppgifter som vanligt vilket får omfattande konsekvenser för företagets kunder och leverantörer. 

Ni ansvarar för företagets framtid
Att visa kunder, leverantörer, partners och anställda att ni tar säkerhet på allvar gör att alla känner sig trygga i att jobba med er. Med allt som händer i världen idag är IT-säkerhet inte något som kan ignoreras längre - maximera istället potentialen som finns i säker digital utveckling och bygg grunden till ett hållbart framtidssäkrat företag. 

6 steg för en säkrare IT-miljö
Den här checklistan ger dig 6 konkreta och vitala tips på hur du navigerar mot en säkrare IT-miljö.

Ladda ner checklista