Hva bør du gjøre de første 24 timene etter en destruktiv cyberhendelse?

I løpet av de siste årene har destruktive cyberhendelser blitt stadig vanligere. Løsepengevirus, også kjent som ransomware, har gått fra å være sorte svaner til å nærmest bli hverdagskost. Selv nasjonalstater har tatt i bruk dette virkemiddelet for å fremme politiske budskap, eksempelvis NotPetya og WannaCry, skadevare som på kun minutter førte til omfattende ødeleggelser for hundrevis av virksomheter verden rundt. Virksomheter i alle sektorer har på kort tid måttet omstille seg for både å forebygge, oppdage og håndtere en ny type trussel.

Dessverre for enkelte virksomheter kan det som tradisjonelt blir kategorisert som cyberkriminalitet fort ende opp som en kamp på liv og død. Det er krevende å balansere gjenoppretting av sikkerhetskopier man aldri har testet, samtidig som man faller tilbake til manuelle prosedyrer for alt av håndtering av kunder så vel som å styre produksjonslinjer. Denne typen arbeid krever mer enn bare flaks.

De fleste råd for å redusere risikoen destruktiv skadevare utgjør, dreier seg om viktigheten av regelmessig sikkerhetskopiering (backup) og testing av gjenoppretting. I dette blogginnlegget vil vi derimot se nærmere på destruktive cyberangrep for å belyse tre kritiske elementer: kommunikasjon, prioritering, samt gjenoppretting av virksomheten (eller, sagt på en annen måte, hjerte-lungeredning for virksomheter) som må håndteres i løpet av de første 24 timene av en hendelse. Beslutningene som tas underveis og strategien man staker ut er ofte utslagsgivende for om håndteringen lykkes eller ei. Min erfaring er at kompleksiteten slike hendelser utgjør ikke bør undervurderes.

Se for deg dette scenarioet i din virksomhet

Lukk øynene og lat som du sitter foran PCen din på kontoret. Uten forvarsel slår den seg av, og skjermen går i svart. 30 sekunder senere ser du at folk rundt deg i landskapet reiser seg, ser seg rundt, og klør seg i hodet. Det samme har også skjedd med de. Du forsøker å sende en chat-melding til IT-supportavdelingen via mobilen, men appen dere benytter responderer ikke. Du prøver deretter kontortelefonen, men også den er ute av drift. Displayet viser: “cannot connect to server”. Telefonen er selvfølgelig VoIP-basert. Noe er alvorlig galt. Hva gjør du nå? Hvor starter du? Du er jo i en lederstilling, så dette burde du være forberedt på, eller

På tide å starte hjerte-lungeredningen…

Kommunikasjon

Kommunikasjon underveis og etter enhver hendelse er en nøkkelfaktor. Uten tydelig og rask informasjon risikerer virksomheten å gi grobunn for team som jobber i siloer, ofte ukoordinert, med oppgaver som ikke nødvendigvis forbedrer situasjonen. Videre kan virksomheter redusere sannsynligheten for at omdømmet deres blir skadet dersom man lykkes å komme ryktene i forkjøpet ved tydelig kommunikasjon til både interne og eksterne om hva som har skjedd, hvilke tiltak som iverksettes, hvilke plattformer man vil kommunisere via, og når man kan forvente neste oppdatering. Tid er kritisk i den innledende fasen av hendelsen.

Dersom man blir utsatt for en destruktivt hendelse eller angrep er en av få løsninger å ha et dedikert, frittstående kommunikasjonssystem som ikke er avhengig av - eller tilkoblet - virksomhetens vanlige IT-infrastruktur. Ulike interessenter må vite hvordan de kan få tilgang til systemet, samt hvordan det skal brukes for å effektivt hanke inn ressurspersonene som kreves for å iverksette virksomhetens kriseplaner.

Noen punkter å reflektere over:

• Har du et frittstående (out-of-band) kommunikasjonssystem som ikke er avhengig av virksomhetens IT-infrastruktur? Og, er det mobilt?
• Har disse systemene støtte for deling av data og filer, og kan du lage ulike kommunikasjonsgrupper?
• Vet nøkkelpersonene i virksomheten hvordan de får tilgang til systemene, og blir de testet regelmessig?
• Hvor godt forberedt er du på å sende individuelle meldinger til tusenvis av ansatte og kunder - som kanskje er spredd på ulike lokasjoner - for å kommunisere om hendelsen, utstede pressemeldinger, eller tildele nye brukerkontoer?
• Husk: e-postsystemet ditt er kanskje satt ut av spill, og du må forberede nødvendige datasett med personalia før ulykken er et faktum.

Prioritering

Vår erfaring er at det tar tid å få hodet høyt nok over vann til å beslutte hvor man skal starte. Har sikkerhetskopiene blitt påvirket? Hvilke systemer bør gjenopprettes først? Hvordan får man tilgang til sikkerhetskopiene hvis alle systemene er ute av drift? Hvor er krypteringsnøklene man trenger for å låse opp sikkerhetskopiene?

Virksomhetens ledelse må informeres om situasjonen og omfanget av hendelsen, og hva som vil kreves for å komme tilbake til en normaltilstand. Her nytter det ikke å komme med glansbilder. Flere dager senere, når kritiske systemer fortsatt ikke er i nærheten av normal drift, er det garantert noen som vil henvise til lovnader om rask gjenoppretting.

Det er vesentlig at ledelsen jobber sammen med IT-ansvarlige for å belyse og prioritere hva virksomheten trenger for å gjenopprette normal drift. Dette kan eksempelvis være dokumenthåndteringssystemer, e-post, systemer som understøtter finansiell rapportering, kundeportaler m.m. Alle må være forberedt på å gi og ta i denne prosessen. Ikke alle systemer kan prioriteres samtidig, og oversikten over “kronjuvelene” bør være tilgjengelig uavhengig om systemene er nede eller ikke.

Straks man er enig om en prioritert rekkefølge bør alle nødvendige ressurser settes til å håndtere gjenopprettingen av ett område om gangen. For hvert enkelt system vil det ofte være en myriade av avhengigheter til andre systemer som også må bygges opp på nytt. E-post vil kanskje ha behov for Active Directory, DHCP og DNS-tjenere for å kunne settes i drift.

Samtidig må ressursene som jobber med gjenopprettingsarbeidet få nødvendig tid og rom til å fokusere på oppgaven. Hyppige statusmøter og masing på fremdrift har ofte motsatt effekt, da nøkkelressurser blir forstyrret fra prioriterte oppgaver, noe som fører til at gjenopprettingsprosessen går saktere.

Gjenoppretting av normal drift

Mange virksomheter prioriterer å komme tilbake til ‘business as usual’ så fort som mulig. Det er jo tross alt det de lever av. Samtidig opplever vi at mange hopper bukk over det viktige arbeidet med å forstå hva som faktisk skjedde. Hvordan lykkes trusselaktøren å få tilgang til virksomhetens systemer for deretter å sende de tilbake til steinalderen? Var dette tilfeldig, eller var det målrettet? Kunne det vært forhindret hvis man fulgte allerede etablerte rutiner og retningslinjer? Dersom man ikke tar seg nødvendig tid til å forstå rotårsaken er det en reell risiko for at det samme gjentar seg kort tid etter gjenopprettingsarbeidet settes i gang. I verste fall får trusselaktøren tilbake tilgangen når gamle systemer gjenopprettes uten å ha blitt gjennomgått og herdet.

En viktig brikke for å unngå lignende katastrofer er å sikre at sikkerhetskontrollene strammes inn før systemene settes tilbake i produksjon. Flere lag med beskyttelse vil redusere sannsynligheten for at det samme skjer på nytt. Lagdelt sikkerhet kan være utfordrende å forstå, men tenk på det som en festning i middelalderen: vollgraven krever at trusselaktøren enten må ha med seg en flåte (eller være god til å svømme), muren er høy og tykk, som betyr at de må finne et åpent vindu eller klatre over. På innsiden har du årvåkne soldater som patruljerer og spør når de møter på noen de ikke kjenner igjen, som ikke bærer festningens insignia. Kronjuvelene ligger innerst i borgen, i en lukket kiste, bak lås og slå, hvor bare de som trenger tilgang til de kommer inn. Samme tilnærming til sikkerhetskontroller på virksomhetens IT-systemer har vist seg å fungere. Ved å øke kostnadene for trusselaktørene velger de kanskje andre mål.

Med hensyn til å redusere risiko er ikke dette noe som løses med bruk av teknologi alene. De ansatte i virksomheten og prosessene de følger er vel så viktige. I denne fasen av krisen er må nøkkelressurser passes på for å sikre at de får nødvendig hvile. Og ikke minst: uten mat og drikke, duger helten ikke.

Vi håper dette innlegget har gitt deg noen ting å tenke på med hensyn til å håndtere en destruktiv cyberhendelse. For mer informasjon om hvordan vi i PwC kan bistå din virksomhet med å forberede dere på, respondere, og gjenopprette normal drift eller en slik hendelse, ikke nøl med å ta kontakt, eller besøk våre tjenestesider om Cyber Incident Readiness and Response.

Blogginnlegget er skrevet sammen med James Campbell, Director PwC UK Cyber Threat Detection & Response