Som med andre tjenesteleverandører, kan du også med et IT-sikkerhetsselskap velge i hvilken grad du skal engasjere dem. Det betyr at du i fredstid, når du ikke står i en krise eller nettopp har blitt angrepet, skal velge hvor omfattende samarbeid du skal inngå med oss i Netsecurity. Hva slags abonnement du velger, avgjør omfanget på tjenesten du får og betaler for. Dette vil igjen avgjøre hva slags bistand vi i Netsecurity vil tilby når bedriften din er utsatt for angrep og du trenger akutt bistand. Uansett kan du føle deg trygg på at vi vil hjelpe deg ut av uføret.
I denne artikkelen forklarer jeg hvordan vi jobber for å hjelpe en bedrift best mulig når et angrep har blitt oppdaget. Vi benytter en prosess som foregår i seks steg, og som ideelt sett starter lenge før bedriften står og river seg i håret fordi de innser at de har blitt utsatt for et cyberangrep.
Kartlegging og forberedelse
Samarbeidet starter med en grundig gjennomgang, der vårt team, sammen med kunden, går gjennom alt av tilganger, tillatelser og systemer som er satt opp for å håndtere IT-sikkerhet. Dette er for å skaffe en oversikt, slik at vi er klare for å bistå den dagen det skjer noe, uhellet er ute og en eller flere inntrengere har kommet seg inn. Vi tilbyr også en jevnlig gjennomgang av de eksisterende tilgangene, går gjennom og verifiserer dem for å sikre at de er klare til å håndtere til enhver tid.
Etter denne kartleggingen kommer vi gjerne med anbefalinger for hvordan det digitale forsvaret kan og bør forbedres. På den måten kan denne fasen også kalles en forberedelsesfase, hvor vi forsøker å forberede bedriften og systemene på et angrep.
Vi etablerer også kommunikasjonsplaner slik at det ikke hersker tvil om hvem skal varsles og informeres, og hvem som har tillatelse til å ta beslutninger hos kunden.
Briefing og identifisering
Så fort en kunde får mistanke om et angrep, tar de kontakt med oss. Det første vi gjør er å få en brief fra dem, en beskrivelse av hva som skjedde. Den eneste og viktigste oppgaven kundens ansatte har i denne fasen, er å beskrive hendelsesforløpet så tydelig og detaljert som mulig. Som offer for et cyberangrep er det svært vanskelig å forstå hva som skjer, men vi kan likevel hente viktig informasjon ut av ansattes skildringer av det de opplevde. Etter denne briefingen tar vi over, da går vi inn og jobber med å kartlegge hva som faktisk har skjedd, og forsøker å avgjøre hva slags status angrepet har der og da.
Det er en svært krevende oppgave å identifisere detaljene i et cyberangrep, dette krever dyptgående IT-kunnskap og ekspertise. Tidsrommet fra en inntrenger er inne i systemet og til vedkommende har tilgang til absolutt alt, blir kortere og kortere. I tillegg til tidsaspektet er cyberkriminelle svært gode til å skjule sporene sine, så dette er en jobb for Netsecuritys eksperter, som har både kursing, sertifiseringer og erfaring med slike situasjoner.
Minimer skadeomfanget
I denne fasen er målet å stoppe blødningen, vi ønsker å forhindre at skaden og ødeleggelsene sprer seg videre. Dette arbeidet krever erfaring, kunnskap og stor presisjon, fordi det her er svært viktig å ta vare på bevismaterialet. Sammenligner vi dette med et fysisk angrep, vet vi for eksempel at vi ikke skal ta på dørhåndtak etter at uvedkommende har vært inne i bygningen. Finner du en pistol etter et innbrudd, verken flytter eller tar du på den. Lignende forholdsregler tar vi også når angrepet kommer digitalt. Da gjelder det å finne og beholde informasjon som når filer sist ble endret, og oversikt over hvem, hva, hvor når det gjelder innlogginger. En del av bevismaterialet kan ha begrenset levetid, noe som gjør at vi må handle raskt og effektivt.
Det er flere grunner til at bevismaterialet bør ivaretas. Det ene er at det bidrar til å oppklare hva som faktisk har skjedd, hvem angriperne er og hva slags skadeomfang man forholder seg til. Det andre er bevismaterialets sentrale rolle i en rettssak. Cyberangrep kan forårsake enorme finansielle tap, og dersom bedriften kan bevise at angriperne kom seg inn i systemene via en kunde eller leverandør, kan ansvaret ligge på den andre parten og ikke på bedriften selv.
Både begrensning av skadeomfang og ivaretakelse av bevismateriale er oppgaver for våre eksperter, det krever svært spesifikk kunnskap, og er ikke noe ansatte i bedriften bør gå løs på selv. Det er lett å gjøre forhastede grep i en stresset situasjon, og viktige konsekvenser kan bli oversett. Vi sørger alltid for at våre kunder har en backup av hele systemet sitt, på den måten kan vi gjøre de grepene som trengs uten å være redd for å miste lagrede data som er verdifulle for kunden.
Les videre i vår neste artikkel for å få med deg de siste tre stegene av prosessen: Hvordan bistår Netsecurity når bedriften din er utsatt for dataangrep? 2/2