Vi har en plan!

Anders Stinger
Country Manager Nordics, Commvault
https://www.linkedin.com/in/andersstinger/

Riskhantering handlar om att lära sig leva med osäkerhet. När vi pratar om skärpt IT-beredskap betyder det inte att målet är en 100-procentig datasäkerhet där systemen har noll nedtid, inget data kan gå förlorat och där en hacker är chanslös att ta sig in. Därför behövs både förebyggande säkerhet och katastrofberedskap – som hjälper er att komma tillbaka även om det värsta tänkbara skulle hända.

Så fråga inte mig om den ultimata lösningen för dataskydd. Rätt fråga är istället: “Hur nära kan vi komma det perfekta, heltäckande skyddet?” Svaret är att det går att komma väldigt nära. Det börjar med en plan för att möta de risker som går att förutse och som hotar organisationens data: intrång, insiderbrott, ransomware eller katastrofala systemkrascher.

Dessa ska sedan vägas mot andra överväganden som rör IT-miljön och arkitekturen, med redundans, skyddsmekanismer och ekonomin. För ytterst är det kostnaden för att skydda ert data som sätter gränsen för er beredskap. Den perfekta, heltäckande säkerhetsstrategin, även om den skulle finnas, blir i praktiken för dyr.

En plan för åtgärder och snabb återställning efter en svår attack ska förstås utgå från era egna förutsättningar, Många detaljer blir därför unika för er. Dock är det inte nödvändigt att uppfinna hjulet i själva planeringsarbetet. På många punkter finns ett gott stöd i form av etablerad ”best practise” som finns tillgängligt bland annat från Commvault.

Goda, fungerande katastrofplaner skrivs inte av ett ensamt geni i ett stängt kontorsrum. En IT-avdelning klarar det heller inte på egen hand utan att samarbeta och förankra med verksamheten och systemägare. Alla direkt berörda och ansvariga behöver medverka, inklusive ledningen – inte minst för att göra rätt kompromisser.

I planeringsarbetet finns många jobbiga frågor att besvara: Ni kan behöva stänga ner fysiskt under en period och stoppa leveranser, stänga butiker, avboka kunder och beställningar. Det kan bli aktuellt med reservrutiner för sådant som IT normalt sköter, inklusive hur anställda, leverantörer och andra ska få betalt.

En viktig ledningsfråga i krissammanhang handlar om att informera om incidenten. I de färska fallen där svenska börsföretag (Addtech och Mekonomen) drabbats av ransomware-attacker har de varit föredömliga med att uppriktigt berätta vad som hänt.

En sådan situation lämnar inget utrymme för önsketänkande och all erfarenhet visar att det är klokt att svälja förtreten och informera tydligt och direkt. Det handlar inte bara om att värna sin trovärdighet, utan också om att följa lagar och regler. Enligt GDPR (och därmed svensk lag) är det ett krav att rapportera personuppgiftsincidenter till Datainspektionen inom 72 timmar, till exempel om en utomstående kommer över ett kundregister. Mycket av det praktiska kring sådan kommunikation går att förbereda så att ni kan agera snabbare i ett skarpt läge.

Just när det gäller ransomware-attacker ligger det ovanligt mycket i den gamla managementklyschan ”planer är ingenting, planering är allt”. Enligt Gartner är det vanligt att organisationer vill möta attacker med samma rutiner som ett ”vanligt”, tekniskt IT-haveri – man utgår från att angriparen bara har ett vapen och att intrånget blir en kortvarig historia som löses genom att åtgärda felen. Men verkligheten är varken välordnad eller förutsägbar utan kaotisk, utan med analysföretaget Gartners ord: ”en cyberattack är ett gatuslagsmål”.

Värdet av planeringen ligger mycket i att skapa engagemang, att göra organisationen så förberedd och trygg som det är möjligt för att sedan kunna agera snabbt och resolut i ett skarpt läge. Även om den verkliga krissituation som organisationen hamnar i medför enskilda utmaningar som är svåra att förutse (och därmed att planera och öva för) så kommer alla inblandade att vara bättre förberedda och veta sin roll när det gäller.

I nästa del av vår serie om Skärpt IT-beredskap ska vi titta närmare på det som konkret rör IT, med handfasta råd om hur data ska skyddas och hanteras och hur man minskar konsekvenserna av en attack genom att prioritera rätt.

Mer matnyttigt i form av en checklista med ”best practise” för att möta utpressningsattacker finner du också i vårt whitepaper ”Win the war against ransomware” som kan läsas här.

Del 1: Nu är de ute efter er

Del 3: Skaffa koll på ert data – konsten att prioritera