Cybersäkerhet – Fem funktioner som beslutsfattare bör ställa krav om!

2021-03-19

Du som beslutsfattare inom en organisation bör på en övergripande nivå förstå fem funktioner som krävs för ett effektivt skydd mot cyberhot. Genom att koppla dessa funktioner till beslut, förändringar och risker som är aktuella för organisationen, blir det lättare att styra risknivåer och säkerhetsinvesteringar relaterade till den digitala verklighet din organisation agerar inom.

De funktioner vi talar om har definierats i NIST Cybersecurity Framework och är:

IDENTIFY – Utveckla organisationens förståelse för hantering av cyberrisker som omfattar system, människor, tillgångar, data och förmågor.
Egentligen är det helt logiskt. Vad behöver vi veta för att kunna bygga ett bra försvar? Först och främst behöver vi ju förstå vad som ska försvaras, vilket värde det har och vilken hotbild som råder. Först då har vi den specifika förståelse som krävs för att kunna rikta de begränsade medel vi har för bästa skydd. Av de hot som finns – vilka är mest sannolika och vilka skulle åsamka oss störst skada?

PROTECT – Utveckla och implementera lämpliga skyddsåtgärder för att säkerställa leverans av kritiska tjänster. När vi har koll på vad som ska skyddas och mot vad det behöver skyddas är det dags att skaffa oss koll på själva skyddet. Hur ska vi hantera åtkomster till system och data? Behöver vi kryptera data? Hur bygger vi en säker nätverksarkitektur? Vilken/vilka antiviruslösningar behöver vi? Kort och gott alla investeringar vi gör i att försöka hindra en attack eller åtminstone skydda våra mest kritiska tillgångar från skada om vi trots allt råkar ut för en attack (eller oavsiktliga fel för den delen).

DETECT – Etablera lämpliga åtgärder för identifiering av händelser som kan vara indikationer på en cyberattack.
Det blir allt viktigare att kunna upptäcka tidiga indikationer som tyder på att en attack är på gång, men även att kunna utreda vad som egentligen hänt och vilka delar av IT-miljön som påverkats när attacken väl är ett faktum. Hur ska vi övervaka vår miljö? Vilken typ av händelser ska vi vara extra vaksamma på? Vilken typ av händelser ska generera larm? Nu pratas det mycket i säkerhetsbranschen om lösningar baserade på AI/machine learning där analys av dataflöden, användarbeteenden och loggdata från den egna miljön samkörs mot data om kända cyberattacker för att hinna upptäcka en attack innan den ”slagit rot” i den egna IT-miljön. I bästa fall lyckas man identifiera ett intrång innan syftet med intrånget nåtts.

RESPOND – Etablera lämpliga åtgärder för att effektivt agera på en cyberattack.
En felaktig hantering kan leda till mycket stora onödiga kostnader och kan även försvåra en vidare utredning och bevisföring. Här är planering och övning viktiga komponenter. Inte bara planering och övning rörande hur själva attacken kan stoppas och direkt skada av system och data kan minimeras, utan även planering och övning rörande kommunikation och hantering av kunder, partners, media mm. Organisationer som drabbats av större cyberattacker de senaste åren kan ofta vittna om en oerhört pressad krissituation som i sig kräver sin hantering.

RECOVER – Etablera lämpliga åtgärder för motståndskraft och återställning i händelse av en cyberattack.
Sist men inte minst behöver en organisation som drabbats av en cyberattack, efter att själva attacken stoppats och hanterats, kunna återställa normal produktion och återhämta sig. Detta arbete kan vara mer omfattande än hanteringen av själva attacken och kräver omsorgsfull planering. Väl genomtänkta återställningsplaner för kritiska system spelar här en central roll, men det gäller inte bara att återställa systemen till normal drift, utan ofta krävs det att skyddsförmågan höjs. Annars är risken mycket stor att organisationen drabbas av en ny attack eftersom en första attack ofta följs av ytterligare attacker.