Med en IT-sikkerhetsrelatert hendelse menes en episode som fører til brudd på konfidensialitet, data- eller systemintegritet og/eller tilgjengelighet.
Risikostyring
Risikostyring er en viktig del av arbeidet med informasjonssikkerhet i enhver virksomhet. I denne prosessen kartlegges hvilke verdier man ønsker å beskytte og hvilke trusler som eksisterer mot disse verdiene. Gjennom dette vil man kunne identifisere hvilke typer hendelser som kan oppstå og derfor må håndteres på en passende måte.
Virksomheten må ha en plan for hvordan sikkerhetsrelaterte hendelser skal håndteres. Uten prosedyrer for dette, vil en enkelt hendelse kunne ha store konsekvenser for forretningsdriften.
Referanser: Handbook for Computer Security Incident Response Teams (CSIRTs)
ISO/IEC TR 18044 Information security incident management (må kjøpes)
Responsteam
Et eget team som tar seg av IT-sikkerhetsrelaterte hendelser hjelper virksomheten med å begrense omfanget og konsekvensene av slike hendelser for en relativt lav kostnad. Det kan imidlertid gi en positiv effekt at dette teamet har et kontinuerlig godt samarbeid med både ledelse og øvrige ansatte, og ikke er usynlig i virksomheten så lenge det ikke inntreffer hendelser som krever aksjon.
Et slikt team kalles gjerne et CSIRT – Computer Security Incident Response Team. Oppgavene til et CSIRT kan inkludere:
Analyse av sårbarheter og nye trusler, samt mottiltak til disse
Koordinering av respons mot alle typer IT-sikkerhetsrelaterte hendelser
Undersøkelse av alle hendelser, inkludert misbruk, ondsinnet kode, svindel og tyveri
Problemløsning, opprydding i etterkant av en hendelse
Opplæring av ansatte i virksomheten, holdningsskapende arbeid
Denne typen team har vist seg å fungere best i virksomheter hvor det er gjensidig tillit mellom teamet og de øvrige ansatte.
Begrepet ”CERT” – Computer Emergency Response Team – er kanskje noe mer kjent enn ”CSIRT”, men de brukes gjerne om hverandre. CERT er muligens et noe eldre begrep og forbindes gjerne med CERT/CC i USA, som kan sies å være forgjengeren til alle slike responsteam. Det viktigste er imidlertid ikke hva slags benevnelse som brukes på et slikt team, men at oppgaver og roller er tydelig definert.
Logging
Logging og innbruddsdeteksjon er de eneste sikkerhetsmekanismene som personer og bedrifter har for å detektere at noe unormalt har skjedd på deres maskin eller nettverk. Logging er også den eneste måten å få svar på viktige spørsmål som dukker opp når en har vært så uheldig å bli utsatt for et datainnbrudd:
Når skjedde innbruddet?
Hvem ble påvirket av dette?
Hvilke deler av systemet/maskinen/nettet er påvirket?
Hvem er angriperen?
Hvorfor skjedde dette?
Hva skjedde?
Hvordan kan jeg sikre at det ikke skjer igjen?
Dette er kritiske spørsmål som bør besvares før bedriften restituerer seg etter et angrep.
Det å logge hendelser på egne systemer vil gjøre det enklere å spore opp kilden til uønskede hendelser, som f.eks. virus og ormer. I tillegg vil logging sikre spor som vil kunne være viktige for oppfølgingen av saken f. eks i forbindelse med en anmeldelse til politiet.
Referanse: NorSIS
Deteksjon, oppdagelse av hendelse/sikkerhetsbrudd
Inntrengningsdeteksjon vil si å overvåke trafikken på en enkelt datamaskin eller et nettverk og analysere den for å se om det er spor etter inntrengning. En inntrengning kan ses på som et forsøk på å komme seg forbi eksisterende sikkerhetsmekanismer, altså et forsøk på å kompromittere konfidensialitet, integritet og/eller tilgjengelighet i et system.
Referanse: NorSIS
Varsling
Det må etableres rutiner for varsling i forbindelse med sikkerhetshendelser, både varsling for å sikre nødvendige tiltak i organisasjonen, og varsling til enkeltbrukere der dette er nødvendig. Disse varslingsrutinene må gjøres kjent for alle i virksomheten, slik at enhver vet hvor de skal henvende seg i et gitt tilfelle.
For at hver enkelt skal være i stand til å varsle rette instans og gi så komplette opplysninger som mulig om hendelsen, må man være i stand til å klassifisere den aktuelle hendelsen. Momenter som må vurderes i denne sammenhengen, er alvorlighetsgrad, konsekvens, kostnad og omfang.
Gjenoppretting
Så snart som mulig etter at en hendelse er oppdaget, bør man begynne gjenopprettingen, dvs å få systemene tilbake til normal drift. Et hjelpemiddel i denne prosessen er sikkerhetskopier (backup), både av original programvare og egne data. Ved alvorlige kompromitteringer kan det være nødvendig med full reinstallering av datasystemer. For at gjenopprettingen skal bli 100% vellykket, er det viktig at hendelsen og dens konsekvenser kartlegges så grundig som mulig.
Nærmere undersøkelser
Parallelt med gjenoppretting bør man starte med nærmere undersøkelser av hendelsen. For det videre arbeidet med informasjonssikkerhet, er det viktig å finne opprinnelsen og årsaken til det som inntraff. Kun etter slike undersøkelser er virksomheten i stand til å ta de nødvendige forholdsregler og endringer i tekniske og organisatoriske tiltak for å hindre at noe tilsvarende skjer igjen.
Bevissikring kan være en viktig del av disse undersøkelsene dersom hendelsen var en kriminell handling og man ønsker å gå videre med saken. Det finnes verktøy som virksomheten selv kan anskaffe for å sikre bevis, alternativt kan man ta kontakt med eksterne spesialister på området. Dersom saken skal anmeldes, vil det være naturlig å kontakte politiet for bistand til bevissikring.
Resultatet av slike undersøkelser vil normalt inngå som en del av rapporteringsgrunnlaget (se under).
Rapportering
En IT-sikkerhetsrelatert hendelse skal alltid rapporteres. Virksomheten må ha egne retningslinjer på hvilke typer hendelser som skal rapporteres til hvilke instanser. Retningslinjene for rapportering må ses i forhold til retningslinjene for varsling nevnt over; rapportering har som hovedformål å dokumentere hendelser for senere bearbeiding, mens varsling er mer relatert til skademinimalisering i hendelsesøyeblikket.
Avhengig av hvilken sektor man hører innunder, kan man ha plikt ifølge lovverket til å rapportere sikkerhetshendelser til tilhørende statlige tilsyn eller tilsvarende organ. I andre sammenhenger kan det være tilstrekkelig med intern rapportering av enkelthendelser.
Dersom det dreier seg om en kriminell handling, og virksomheten ønsker å anmelde saken, skal man ta kontakt med sitt lokale politikammer. Dette må skje så snart som mulig i tilfelle det skulle være behov for å sikre bevis for ugjerningen.
Norsk Senter for informasjonssikring (NorSIS) ønsker å motta rapporter om alle mulige IT-sikkerhetsrelaterte hendelser. Hos NorSIS kan du få råd og hjelp når du er midt oppi en krisesituasjon. All informasjon knyttet til konkrete hendelser behandles i tråd med den aktuelle virksomhetens krav til konfidensialitet.
Tips til beslutningstakere
Skaff deg en oversikt over hvilke myndighetsinstanser man er pliktig å forholde seg til innenfor din virksomhet
Lær av andre virksomheters måte å organisere responsteam
Delta på arrangementer hvor IT-sikkerhetsfolk møtes
Hold fokuset på informasjonssikkerhet på et jevnt høyt nivå blant alle medarbeidere
Vær bevisst på at ledelsen alltid fungerer som forbilder, både positivt og negativt
Tips til deg som er midt oppi en situasjon
Skaff til veie så mye informasjon om hendelsen som mulig. Dette er viktig for å få oversikt i øyeblikket og for å få ryddet ordentlig opp etterpå. Kanskje kan også noe komme til nytte som bevismateriale i en evt. rettssak
Ta kontakt med Senter for informasjonssikring
Vurder om hendelsen bør anmeldes eller ikke og ta evt kontakt med ditt lokale politikammer
Tjenesten Nettvett leveres