Sentors checklista vid en säkerhetsincident

Det finns en rad olika typer av säkerhetsincidenter en organisation kan drabbas av; allt från riktade angrepp från en dedikerad angripare, till ransomware som har spridits brett eller exfiltrering av data från en enskild anställd. I Sentors checklista har vi samlat tips till organisationer i händelse av en incident.  

Vi på Sentor genomför åtskilliga incidentutredningar hos företag varje år. Det vi kan konstatera är att många organisationer är helt oförberedda när en säkerhetsincident inträffar. Bristen på incidenthanteringsrutiner gör ofta att panik uppstår - något som både kan leda till omfattande konsekvenser vad gäller minimering av skada och möjligheten att utreda den faktiska incidenten. Nedan följer sju viktiga råd från Sentors incidentteam.  

Checklista - 7 steg att följa vid en säkerhetsincident

1. Livskritiska och farliga system

Första rådet vid en incident är att utgå från att en angripare har fri tillgång till hela miljön. Finns det några komponenter eller system i miljön som kan orsaka personskador, hälsoproblem eller annan permanent förstörelse, till exempel ödeläggelse? Om ja, koppla bort dessa system omedelbart, eller säkerställ att systemen är obrukbara, exempelvis genom att fysiskt koppla ur elsladden.

2. Rör inte miljön i onödan

Varje gång den drabbade miljön förändras på något sätt riskerar man att värdefulla ledtrådar förstörs, men också att man röjer för angriparen att man upptäckt intrånget. Ibland måste dock ändringar genomföras på kort varsel, men det är viktigt att detta sker på ett strukturerat, medvetet och dokumenterat sätt. Även enklare saker, såsom att logga in på ett system, kan räcka för att röja viktiga spår, så undvik onödiga förändringar och aktiviteter.

3. Worst-case scenario

Reflektera över det värsta som kan hända med en angripare vid spakarna. Väg sedan dessa konsekvenser mot konsekvenserna av att vidta åtgärder för att säkerställa att “värsta fallet” inte kan inträffa - exempelvis genom att stänga ner all IT.

Ofta finns det billiga, mindre åtgärder som kan vidtas för att reducera risken för totalt haveri,exempelvis genom att säkra fysiska offline-kopior av alla säkerhetskopior, för att säkerställa att oavsett vad som händer så finns affärskritisk data kvar. Andra exempel på åtgärder som kan vara värda att vidta är att separera den interna miljön från Internet för att säkerställa att information inte fortsätter att läcka ut.

Det är viktigt att notera att alla ändringar riskerar att röja för angriparen att intrånget har upptäckts, men ifall informationen inte under några omständigheter får läcka så kan det vara värt konsekvenserna.

4. Säkra informationstillgångar

Ifall det finns ett behov av att utreda händelsen djupare bör åtgärder vidta för att se till att så mycket värdefull information som möjligt bevaras. Ofta finns viktig information i till exempel minnet på en drabbad dator, men även i loggfiler som kanske skrivs över regelbundet. Klockan tickar, och ifall den informationen behövs i ett senare skede är det viktigt att den bevaras på ett korrekt sätt.

5. Etablera en loggbok

I ett tidigt skede av en incidenthantering är läget ofta kaotiskt; folk vill vidta åtgärder, och risken är att det snabbt blir svårt att avgöra vad som gjorts av en administratör och vad som gjorts av angriparen. Genom att etablera en loggbok så tidigt som möjligt där allt incidentarbete antecknas öppnas möjligheten att i ett senare skede kunna dra slutsatser om vad som gjorts, vid vilken tidpunkt och av vem. Efter 9 dagar av 12-timmars arbetsdagar är det ofta svårt att minnas vem som gjort vad och med vilket system.

6. Informationsflöden

Samtidigt som tekniska resurser arbetar på ovanstående steg så bör organisationens administrativa del mobiliseras för att utröna hur händelsen bör hanteras bäst juridiskt, medialt och internt. Exempel på frågor som bör besvaras är:

• Hur hanterar vi informationsspridning internt? Ofta vill man hålla mängden informerade individer till ett minimum för att se till att händelsen inte läcker, eller att angriparen får reda på att det pågår ett incidentarbete.
• Hur kommunicerar vi händelsen till den yttre världen? Ofta vill man avvakta med detta tills man har mer information om situationen, vilket kan dröja. Oavsett bör man ta fram en kommunikationsstrategi för hur man hanterar situationer som kan uppstå - angriparen kan till exempel välja att publicera intern data på Internet - då är det bra att ha ett färdigt, koncist och informerat svar till media.
• Har vi några skyldigheter att informera interna parter? Det kan finnas krav på att informera ledning, styrelse eller ansvarigt dataskyddsombud.
• Har vi några skyldigheter att informera externa parter? Arbete med offentlig sektor omfattas ofta av någon sorts krav på att anmäla IT-incidenter; antingen till samarbetspartner, till Myndigheten för Samhällsskydd och Beredskap (MSB), eller till andra myndigheter. Utöver detta medför GDPR vissa rapporteringsskyldigheter, och andra avtal kan även innehålla liknande krav.

7. Ta ett djupt andetag och slappna av

I 9 fall av 10 så har angriparen varit i nätverket under ett antal månader. Angriparen har haft god tid på sig att göra vad vill, den utan att bli motarbetad. Det är inte ovanligt att organisationen drabbas av panik, och att IT-avdelningen börjar arbeta 16-timmarsdagar i flera månader för att försöka göra så mycket som möjligt på så kort tid som möjligt.

Långsiktigt är detta sällan optimalt, och man bör alltid ha i åtanke att även en mindre incident kan leda till ett incidenthanteringsprojekt som pågår i månader, eller till och med år. En IT-avdelning som är utbränd efter två veckor tjänar ingen utom angriparen på.

Vill ni veta hur ni kan stärka ert förebyggande incidenthanteringsarbete?

Vi har tagit fram nio tips för att vässa ert incidentarbete. För mer konkreta frågor kopplat till incidenthantering råd vi er att kontakta oss, så kan vi prata närmare om saken.