Planlæg det perfekte mareridt: Derfor bør I slukke for hele virksomhedens it-system

Full scale it sikkerhedsoevelse Liga

Bjarke Alling, CEO i Liga Software Aps

En vigtig måde at forberede sig til it-kriser er at efterprøve sit kriseberedskab.  Hvad sker der, hvis hele it-systemet pludselig lukker ned? Hvis ikke I ved det, bør I gennemføre en full scale it-sikkerhedsøvelse. Det er relevant for både myndigheder og virksomheder at gennemføre, uanset at det er og kan være tidskrævende og dyrt. Men alternativet er endnu værre – nemlig at blive taget med bukserne nede, når ulykken rammer. Noget, der både kan koste liv og penge.

Hvad er de store fordele ved at lave en full scale it-sikkerhedsøvelse?

  • En kommune kan på den måde eksempelvis få testet både hvordan man it-mæssigt kommer hurtigst tilbage i normal drift, men også hvordan hjemmeplejen fungerer uden vagtplaner, mobiltelefoner og medicinkort og uden det koster liv.
  • En e-handelsvirksomhed sættes på prøve med hvordan ordrer håndteres uden systemadgang og uden kunder mistes.
  • En dagligvarebutik får testet ikke bare en periode med manglende dankort, men også manuelle processer for bestilling af morgendagens varer.

 

Som jeg tidligere har beskrevet, er truslen mod myndigheder og private mål MEGET høj når det gælder at blive udsat for cyberkriminalitet og cyberspionage ifølge Center for Cyber Sikkerhed. Og hvis ikke direktionerne indfører modforanstaltninger VIL fjendtligtsindede aktører forsøge at overtage og manipulere deres netværk.

De kendte eksempler er desværre allerede mangfoldige både når det gælder offentlige myndigheder og private virksomheder.

Hvilke modforanstaltninger bør du implementere?

Som ledelsesteam er der en række mulige modforanstaltninger du bør forholde dig til på direktionsniveau og benytte. En af de vigtigste er paradoksalt nok også et af de tiltag, der sjældent ses benyttet: nemlig full scale sikkerhedsøvelser, hvor hele virksomhedens system bliver lukket ned.

Hvad er en full scale it-sikkerhedsøvelse?

En full scale it-sikkerhedsøvelse kan sammenlignes med en crash test på en bil. I stedet for at simulere, at man gør det – så gennemfører man det i virkeligheden: Kører bilen ind i en mur med 90 kilometer i timen – selvfølgelig med det forbehold, at der er ting man ikke kan teste i den virkelige verden.

Ved en full scale it-sikkerhedsøvelse lukker man it-driften ned i arbejdstiden. Ved at stoppe driften, tvinger man på den måde organisationen til at agere ud fra nødberedskabet. Helt konkret kan man begynde med at lukke det trådløse netværk og det fysiske netværk ned, samt adgang til servere, kalendere og mails.

Men er det ikke potentielt meget ødelæggende – vil tabet ved at gøre det her i arbejdstiden ikke være enormt, kan man spørge?

Jo – hvis ikke det var varslet, og hvis ikke alle medarbejderne vidste præcis, hvordan de skulle agere for at overgå til nødberedskabet.

Nummer 1 kriterium for en vellykket øvelse: Det skal være ekstremt planlagt.

Robusthed kræver, at du har en plan B og C – og den minutiøse planlægning skal kort fortalt række ud over it-afdelingen.

Medarbejderne – den almindelige medarbejder – skal kende:

  1. de overordnede planer
  2. vide, hvordan de selv skal agere.

Det vil sige, at hvis man f.eks. man laver øvelsen i en kommune, skal hjemmeplejen være orienteret om, hvordan de overgår til nødprocedure. Hvad gør man, hvis man ikke kan få adgang til sine turplaner, til de medicinske oplysninger om borgerne, og ens mobiltelefoner ikke fungerer?

Planen skal være på plads og medarbejderne skal kende den.

En vigtig nuance i dette, er at medarbejderne, qua de bliver klædt på, kommer til at føle sig som medspillere fremfor modspillere. De får tid til at forberede sig i stedet for at blive taget med bukserne nede. Det er fremmende for engagementet og samarbejdsklimaet internt i organisationen.

De vigtigste tre grunde til at afholde en full scale it-sikkerhedsøvelse

En virksomhed opnår typisk tre ting, der kun vanskeligt kan opnås på anden vis.

1. Vigtige mangler afdækkes og udfyldes i forberedelsen

Når scenariet planlægges, sker der typisk det, at man opdager en mængde huller i kriseberedskabet.  Huller, der er kritiske, men som havde fået lov at passe sig selv, fordi man enten ikke havde erkendt dem, eller ikke havde haft en presserende anledning til at gøre noget ved dem. Men fordi virksomheden nu er nødt til at håndtere dem, bliver der taget hånd om manglerne, og virksomheden bliver allerede i forberedelsen afgørende bedre klædt på til at håndtere en krise.

2. Erfaring i hele organisationen om hvordan man håndterer en krisesituation.

En almindelig intern it-stresstest når sjældent uden for IT-afdelingens mure. Den hjælper ikke medarbejderne uden for it-afdelingen til at forstå deres rolle!

Ved en full scale it-sikkerhedsøvelse er det ikke kun it-afdelingens processer og systemers modstandskraft, der bliver testet – det er også medarbejdernes ageren og viden. På den måde er de i stand til at håndtere det, HVIS en dag øvelsen bliver til virkelighed.

Virksomhedens modstandskraft øges simpelthen markant, når medarbejderne er klædt på og har erfaring med hvad de skal gøre.

3. En strategisk politisk bevidsthed om risici og sårbarheder hos ledelsen.

De sidste fem år viser al diskussion i offentligheden og mange undersøgelser, at cybersikkerhed ikke har været højt nok placeret i den øverste dagsorden hos virksomhederne. IT-afdelingen er bevidste om risici – men direktionen, der skal prioritere ressourcerne, er det ikke i samme grad.

Ved selv at opleve svagheder og mangler – allerede i forberedelsesfasen – får ledelsen øjnene op for de graverende konsekvenser det kan have, hvis ikke det forebyggende it-sikkerhedsberedskab er prioriteret tilstrækkeligt højt.

Har I gennemført en full scale IT-sikkerhedsøvelse, og hvad var I så fald jeres erfaringer? Hvis ikke, hvad har så stoppet jer?

Direktør Bjarke Alling Liga Software ApS

 

Vil du vide mere om cybersikkerhed?

Så tøv ikke med at kontakte Bjarke Alling på ba@liga.com eller på +45 40 13 91 05

Bjarke Alling er grundlægger af Liga ApS og Liga Software ApS og formand for IT-Branchens it-sikkerhedsudvalg.

Følg debatten på Bjarkes LinkedIn-profil.

 

 

 

© Tegning er udført af Peter Basse