Incidenthantering – minimera skadan

Vad är en IT-incident?

En IT-incident är en oönskad störning i en programvara eller datatjänst som rubbar den normala IT-driften av verksamheten. I värsta fall påverkas ditt företag ekonomiskt såväl som förtroendemässigt av händelsen både på kort och på lång sikt.

Det kan finnas många orsaker till att en IT-incident uppstår, men exempel på orsaker är:

• Hackerattacker (kriminella personer och organisationer utnyttjar svagheter i system och applikationer i vinstsyfte)
• Den mänskliga faktorn (där den egna personalen gör ett misstag eller fel)
• Systemfel (fel på hård eller mjukvara)
• Naturhändelser. (Exempelvis brand eller översvämning.)

Ha en incidenthanteringsplan redo innan något händer. Den kan exempelvis innehålla roller och ansvarsområden, prioriteringar, utredning, återhämtning och dokumentering. För att ta fram en bra incidenthanteringsplan kan man utgå ifrån verifierade säkerhetsstandarder som SSF 1101 eller ISO 27 000-serien .

Om flera företag och organisationer drabbats samtidigt kan det krävas omedelbara åtgärder, såväl av den utsatta aktören, deras kunder och leverantörer som på samhällsnivå. Fler företag och organisationer än de direkt berörda kan på så sätt få tidig information och förvarning. Det ger möjlighet att begränsa konsekvenser och spridning av en inträffad IT-incident.

När skadan är skedd – checklista

Checklista med viktiga punkter att gå igenom om ni råkat ut för en incident:

• Vad har hänt?
• Hur och när upptäcktes problemet?
• Vilka åtgärder har genomförts?
• Är incidenten fortfarande pågående?
• Finns det en risk att fler påverkas?
• Vad behöver verksamheten hjälp med?
• Vilka har organisationen kontaktat?
• Har händelsen polisanmälts?
• Kan organisationen dela med sig av information, data eller loggar till tredje part eller andra drabbade organisationer?

Rapportera och polisanmäl IT-incidenter – så vi skyddar Sverige tillsammans

Incidentrapportering är en mycket viktigt för såväl organisationens som Sveriges informations- och cybersäkerhet. Att hantera, analysera och rapportera incidenter är en viktig del i den ständiga förbättringen av organisationens informationssäkerhetsarbete. På samhällsnivå är kännedom om allvarliga incidenter avgörande för att kunna mildra konsekvenserna och identifiera sårbarheter.

Myndigheter och vissa andra samhällsviktiga funktioner är skyldiga att rapportera in uppkomna incidenter, men det är till stor hjälp om även privata sektorn frivilligt rapporterar in IT-incidenter. Det underlättar för att identifiera trender och dra slutsatser om samhällets informations- och cybersäkerhet i stort. På så vis skapas bättre förutsättningar för att se omfattningen av eventuella hacker-attacker eller systemfel och därmed snabbare kunna vidta skademinskande åtgärder.

IT-incident rapporteras in till CERT-SE som är Sveriges nationella kontaktpunkt med uppgift att stötta samhället i arbetet med att hantera och förebygga IT-incidenter. CERT-SE riktar sig till både till offentlig sektor och privata företag och organisationer.

CERT-SE arbetar bland annat med att:

• Omvärldsbevaka sårbarheter i produkter, skadlig kod, attackmetoder samt intrång och otillåten användning av IT-system.
• Öka it-säkerhetsmedvetandet genom att förmedla kunskap och fakta, samt utfärda varningar och råd om sårbarheter i IT-system.
• Hantera IT-incidenter genom att snabbt sprida information och samordna åtgärder för att avhjälpa eller lindra effekter av det inträffade.
• Vara Sveriges kontaktpunkt gentemot motsvarande funktioner i andra länder.

Läs mer om CERT-SE på www.cert.se .

Tänk säkert – jobba förebyggande

Proaktivt arbete med IT-säkerhet inom verksamheten är viktigt för att förhindra att bli utsatt av en attack. Genom att aktivt arbeta med kontinuitetshantering i verksamheten kan din organisation snabbare återhämta sig från och mildra konsekvenserna av en händelse. Kontinuitetshantering innebär att planera för att upprätthålla verksamheten på en acceptabel nivå om något går fel vid exempelvis ett strömavbrott eller om lokalerna inte längre går att använda. Att ha en plan redo innebär kortare störningsperioder och minskar förlust av personella, ekonomiska, funktionella eller informationsrelaterade värden.

Exempel på aktiviteter i kontinuitetshantering kan vara att:

• Kartlägga viktiga verksamheter och processer.
• Identifiera beroenden av resurser.
• Klargöra vad som är acceptabla avbrottstider.
• Genomföra åtgärder som minskar risken för störningar.
• Skapa planer för att hantera de störningar som ändå kan uppstå.