Inne på det største møterommet sitter toppledergruppen klare. I resten av virksomheten går den daglige driften som normalt, helt uvitende om at ledergruppen nå skal kastes ut i det som kunne vært en ganske alvorlig situasjon – dersom angrepet var reelt.
– Vi anbefaler å jevnlig gjennomføre beredskapsøvelser. Ikke bare på informasjonssikkerhet, men på ulike scenarioer som er relevante for virksomheten. Brannøvelser er vanlig, men hva gjør dere under et dataangrep? spør Johan Rolf, som er avdelingsleder i Advania og jobber daglig med å rådgi kunder på deres beredskap.
Beredskapsplan
På telefonen får IT-sjefen beskjed om at Advania Cyber Defense Center (ACDC) har oppdaget mistenkelig aktivitet i bedriftens IT-systemer. Han informeres om at de allerede er på saken, et team er mobilisert og det jobbes med å få overblikk over situasjonen. Han avslutter samtalen og snur seg mot alle som sitter i rommet.
– Det er bekreftet et angrep. Iverksett beredskapsplanen og varsle alle.
Rundt bordet plinger det i telefoner og mail. Alle som har en rolle ved håndtering av dataangrep kalles inn enten via telefon, fysisk eller digitalt. Roller og ansvar er allerede definert, nå skal de iverksette planene.
– Målet med en beredskapsplan er at virksomheten skal kunne produsere eller levere sine kjernetjenester selv om de angripes og systemer stenges den. Planen inneholder derfor både risikoanalyse og redegjørelse for hendelseshåndtering og kommunikasjon. Det er helt kritisk å være raskt på ballen og begrense skadene dersom en blir utsatt for et dataangrep, sier Johan.
Hvor god sikkerhetsgrunnmur har du?
Må øve for å bli gode
I en beredskapsøvelse vil Advania planlegge for en simulert hendelse. Øvelsen kan omfatte hele eller deler av organisasjonen, og kan også kjøres som en skrivebordsøvelse.
– Vanligvis vil ikke øvelsen påvirke selskapets systemer i særlig grad. Det kan likevel skje at kunden vil teste ulike prosesser, da vil vi etter avtale gjøre grep også i systemet.
Hvor lenge øvelsen varer vil være opp til hver enkelt virksomhet. Den kan også være en del av et avdelings- eller statusmøte om det er alt man har tid til.
– Det er lett å nedprioritere øvelser, men det er ekstremt viktig å øve for å bli trygge på hva hver enkelt gjør når alarmen går. HMS har vi gode rutiner på, nå må vi bli like gode på beredskapsøvelser og IT-sikkerhet, sier Johan.
I en beredskapsøvelse vil han som oftest kun ha en observatørrolle.
– Jeg deltar ikke i diskusjonene underveis. Målet er ikke at jeg skal lære opp, men at kunden skal få øve sammen. Det er gjennom praktisk øvelse man ser utfordringer som kan dukke opp og adressere dem slik at de står stødig i en krise, sier Johan.
Se hvordan vi jobber med sikkerhet sammen med Stangeland Maskin
Trygghet på tross av høy puls
I møterommet er det høy aktivitet. Det opprettes hendelseslogg og kommunikasjonskanaler. Medlemmene i det interne beredskapsteamet går gjennom listene med oppgaver som må utføres. På telefonen har IT-sjefen kontakt med Incident Manager som leder øvelsen fra Advania sin side. De bekrefter at et system er låst av et ransomware.
– Vi forsøker alltid å planlegge for en hendelse som er relevant for kunden. For samfunnskritiske tjenester kan det handle om å låse systemer slik at de ikke klarer å levere kritiske tjenester til det norske folk som vann, strøm eller mat for eksempel, forteller Johan.
Incident Manager og teamet fra Advania Cyber Defense Center er påkoblet gjennom hele øvelsen med råd og oppdateringer – slik de også ville vært ved en faktisk hendelse.
– Det blir en vinn-vinn-situasjon. Både kunden og vi får øvd sammen. Det gjør at vi blir enda bedre kjent med kunden og kundens systemer. Dermed kan vi gi enda bedre beslutningsstøtte dersom et angrep blir en realitet, sier han.
Kritisk med god sikkerhet i bunn
Telefonen ringer igjen. IT-sjefen bekrefter i samråd med Advania at de ikke ønsker å betale, men vil gjenopprette en tidligere backup av rammet server. Gjenoppretting settes i gang, og den offisielle øvelsen avsluttes for ledergruppen i rommet. Nå gjenstår rapport og læringspunkter.
– I en faktisk hendelse vil kundens sikkerhetssystemer ha mye å si for hvor raskt en hendelse kan stoppes og håndteres, forteller Johan.
Han er tydelig på at det risikobildet vi ser i dag er i konstant utvikling, og de som er best rustet for å håndtere det har en ledergruppe som prioriterer sikkerhet.
– Det er lett å tenke at et dataangrep ikke skjer oss, men det stemmer ikke. Alle kan bli rammet, uavhengig av størrelse og omfang, avslutter han.
Lurer du på hvordan du kan stå stødigere i et krevende trussellandskap? Les mer om hvordan vi jobber med sikkerhet i Advania.
