Planera den perfekta mardrömmen: Därför bör ni stänga ner hela företagets IT-system

Full scale it sikkerhedsoevelse Liga

Bjarke Alling, CEO i Liga Software Aps

Ett viktigt sätt att förbereda sig för IT-kriser är att testa sin krisberedskap. Vad händer om alla IT-system plötsligt stängs ner? Om ni inte vet det, bör ni genomföra en fullskalig IT-säkerhetsövning. Det är relevant för både myndigheter och företag att genomföra, oavsett om det är och kan vara tidskrävande och dyrt. Men alternativet är ännu värre – nämligen att bli tagen med byxorna nere när olyckan inträffar. Något som kan kosta både liv och pengar.

Vilka är de stora fördelarna med att genomföra en fullskalig IT-säkerhetsövning?

  • En kommun kan på detta sätt exempelvis få provat både hur man IT-mässigt återställer normal drift så snabbt som möjligt, men även hur hemtjänsten fungerar utan vaktplaner, mobiltelefoner och medicinkort och utan att det kostar liv.
  • Ett e-handelsföretag sätts på prov med hur beställningar hanteras utan systemåtkomst och hur man undviker att förlora kunder.
  • En dagligvarubutik får ett test på hur det fungerar utan betalkort, men även manuella procedurer för beställning av morgondagens varor.

 

Som jag tidigare har beskrivit, är hotet mot myndigheter och privata mål MYCKET hög när det gäller att bli utsatt för cyberattacker och cyberspionage enligt Center för Cyber Sikkerhed. Och om inte ledningarna inför motåtgärder KOMMER aktörer med fientligt uppsåt att försöka ta över och manipulera deras nätverk.

Antalet kända exempel är dessvärre redan alltför många, både när det gäller offentliga myndigheter och privata företag.

Vilka motåtgärder bör du implementera?

Som ledningsgrupp finns det en rad möjliga motåtgärder som du på ledningsnivå bör överväga att nyttja. En av de viktigaste är paradoxalt nog också en av de åtgärder som sällan utnyttjas: nämligen fullskaliga säkerhetsövningar, där hela verksamhetens system stängs ner.

Vad är en fullskalig IT-säkerhetsövning?

En fullskalig IT-säkerhetsövning kan jämföras med ett krocktest för en bil. Istället för att simulera att man gör det, så genomför man det i verkligheten: Man kör bilen in i en mur i 90 km i timmen – naturligtvis med förbehållet att det är saker som man inte kan testa i den verkliga världen.

Vid en fullskalig IT-säkerhetsövning, stänger man ner IT-driften under arbetstid. Genom att stoppa driften, tvingar man på så sätt organisationen att agera utifrån nödberedskapen. Rent konkret kan man börja med att stänga ner det trådlösa nätverket och det fysiska nätverket, samt åtkomst till servrar, kalendrar och e-postmeddelanden.

Men är det inte potentiellt mera ödeläggande – kommer förlusterna som orsakas av att göra detta under arbetstid inte att vara enorma, kan man fråga sig?

Jo – om man inte har varslat om det och om inte samtliga medarbetare visste exakt hur de skulle agera för att övergå till nödberedskap.

Det viktigaste kriteriet för en lyckad övning: Den måste vara extremt väl planlagd.

Robusthet kräver att du har en plan B och C – och den minutiösa planläggningen ska kort sagt sträcka sig utanför IT-avdelningen.

Medarbetarna – den allmänna medarbetaren – ska känna till:

  1. de överordnade planerna
  2. hur man ska agera individuellt.

Det vill säga, att om man till exempel genomför övningen i en kommun, ska hemtjänsten vara informerad om hur de övergår till nödprocedurerna. Vad gör man om man inte kan få tillgång till sina turlistor, till de medicinska upplysningarna om kunderna och om ens mobiltelefon inte fungerar?

Planen ska finnas på plats och medarbetarna ska känna till den.

En viktig nyans i detta är att medarbetare som är berörda kommer att känna sig som medspelare istället för motspelare. De får tid att förbereda sig i stället för att tas med byxorna nere. Vilket främjar det interna engagemanget och samarbetsklimatet inom organisationen.

De tre viktigaste grunderna till att hålla en fullskalig IT-säkerhetsövning

Ett företag uppnår vanligen tre saker, som är väldigt svåra att uppnå på annat sätt.

1. Viktiga brister avslöjas och åtgärdas under förberedelserna

När scenariot planläggs, upptäcker man vanligtvis mängder av hål i krisberedskapen. Hål som är kritiska, men som hade fått klara sig på egen hand, för att man antingen inte var medveten om dem, eller inte hade haft en stort behov av att göra något åt dem. Men eftersom företaget nu är tvunget att hantera dessa hål, blir bristerna åtgärdade och företaget blir redan under förberedelserna betydligt bättre förberett på att hantera en kris.

2. Erfarenhet inom hela organisationen angående hur man hanterar en krissituation

Ett allmänt internt IT-stresstest når sällan utanför själva IT-avdelningen. Det hjälper inte medarbetarna utanför IT-avdelningen att förstå sina roller!

Vid en fullskalig IT-säkerhetsövning är det inte bara motståndskraften hos IT-avdelningens processer och system som testas, utan även hur medarbetarna agerar och vilka kunskaper de besitter. På så sätt får de förmågan att hantera situationen den dagen övningen blir verklighet.

Företagets motståndskraft ökar helt enkelt markant när medarbetarna är förberedda och har kunskap om vad de bör göra.

3. En strategiskt politisk medvetenhet om risker och sårbarheter hos ledningen

De senaste fem åren har många offentliga diskussioner och undersökningar pekat på att cybersäkerheten inte har varit placerad tillräckligt högt på dagordningen hos många företag. IT-avdelningen är medvetna om riskerna, men ledningen som ska prioritera resurserna är det inte i samma utsträckning.

Att själva få erfarenhet av svagheter och brister redan i förberedelsefasen, får ledningen att öppna ögonen för de allvarliga konsekvenser som det kan leda till om en förebyggande IT-säkerhetsberedskap inte prioriteras tillräcklig högt.

Har ni genomfört en fullskalig IT-säkerhetsövning och vilka var i så fall era erfarenheter? Om så inte är fallet, vad är det som har hindrat er?

Direktør Bjarke Alling Liga Software ApS

 

Vill du veta mer om cybersäkerhet?

Du är välkommen att kontakta Bjarke Alling: ba@liga.com och +45 40 13 91 05

Bjarke Alling är grundare av Liga ApS och Liga Software ApS och ordförande för IT-säkerhetskommittén i IT-Branchen i Danmark.

Följ debatten på LinkedIn.

 

 

 

© Ritningen görs av Peter Basse