Med stadig flere og mer avanserte digitale trusler er det avgjørende at bedrifter er forberedt på angrep. Det viktigste å ha på plass er en god responsplan. For mange organisasjoner er slike planer allerede godt utviklet for IT-systemene, men ofte mangler det for produksjonsmiljøet (OT-systemene). Her får du våre beste tips til å utarbeide en effektiv responsplan, samt råd til å utvikle og vedlikeholde planen på sikt.
Nøkkelkomponenter i en effektiv responsplan
Vi tar utgangspunkt i Incident Response-rammeverket utviklet av SANS Institute. Rammeverket gir klare steg for å identifisere, analysere og begrense sikkerhetstrusler raskt. Dette sikrer en organisert respons som minimerer skader og raskt gjenoppretter normal drift. Ved å følge disse praksisene øker sjansene for effektiv håndteringen av sikkerhetsbrudd.
1. Forberedelsesfase
Dette er grunnlaget for hele planen, så her lønner det seg å være grundig. Det er viktig å forstå hvilke systemer som er i bruk, hvilke risikoer som finnes i de ulike systemene og hvordan disse skal prioriteres. Sikring av IT-systemer fokuserer ofte på å beskytte mot datatyveri og sikre konfidensialitet, mens OT-systemer har hovedfokus på sikkerhet og oppetid.
I forberedelsesfasen må dere kartlegge alle systemer og identifisere kritiske komponenter som kan utgjøre en risiko dersom de blir kompromittert. Dette inkluderer å forstå kommunikasjonsveier og de ulike systemenes sårbarheter. Det er også nødvendig med en grundig risikoanalyse som vurderer mulige konsekvenser i de ulike systemene, så det er mulig å prioritere hvor innsatsen skal legges først.
Mange bedrifter står ovenfor potensielle konsekvenser for både miljø og menneskeliv hvis ondsinnede aktører får tilgang til OT-systemene deres. I verste fall kan det oppstå lekkasjer, brann og eksplosjoner. Beskyttelse av OT-miljøene bør derfor ha høyeste prioritet ved angrep.
I tillegg til tekniske tiltak må det etableres klare protokoller for kommunikasjon og ansvarsområder, slik at alle involverte vet hvordan de skal handle og hva deres rolle er i en krisesituasjon.
2. Identifikasjon
Når en hendelse oppstår, er det essensielt å ha systemer på plass som raskt kan identifisere om en hendelse er en teknisk feil eller et angrep. Dette krever kontinuerlig overvåkning av nettverkstrafikk og systemaktivitet for å kunne oppdage avvik i tide. En effektiv responsplan for OT bør inkludere sikkerhetsmekanismer som raskt identifiserer trusler og gjør det mulig å se hvor langt en angriper har kommet seg inn i systemene. Det er også en fordel å kunne identifisere skadeomfanget og hva inntrengeren ønsker å oppnå med angrepet.
3. Isolasjon
Når en trussel er identifisert, er neste steg å isolere skadevaren for å forhindre at den sprer seg videre til andre systemer. Dette krever ofte tekniske tiltak, som å blokkere nettverkstrafikk eller gjøre systemendringer. En grundig analyse fra forrige fase gir innsikt i skadeomfanget og hva trusselen forsøker å oppnå, noe som er avgjørende for å kunne iverksette riktige isolasjonstiltak.
For mange vil det være nødvendig å hente inn eksterne ressurser med spesialkompetanse for å forstå og håndtere trusselen på riktig måte. Et viktig tiltak for å komme fort i gang med isoleringen, er å ha en iDMZ. Det betyr et mellomliggende sone som skiller IT- og OT-systemer, og fungerer som en sikker bro mellom de to. Ved å bruke iDMZ, kan man kontrollere og overvåke kommunikasjonen mellom IT og OT, og sikre at skadevaren ikke sprer seg mellom miljøene.
I de aller fleste vellykkede angrep kommer hackere inn via IT-systemer. Heldigvis er det ofte lettere å identifisere og isolere trusler i IT-delen, enn i OT-delen. Ved å isolere den berørte delen av systemet, kan man effektivt «stenge døren» og hindre videre spredning av skadevaren.
Hackere vil ofte forsøke å fjerne muligheten for å gjenvinne kontroll over systemene, så rask og korrekt isolering er kritisk for å beskytte både systemene og deres funksjonalitet.
4. Utrydde trusselen
Når trusselen er identifisert og isolert, må neste steg være å fjerne skadevaren fra systemene. Dette kan innebære å slette infiserte filer, fjerne kompromittert programvare eller utføre andre tekniske tiltak for å nøytralisere trusselen. I OT-miljøer, hvor systemene styrer kritiske fysiske produksjonsprosesser, er det imidlertid viktig å vurdere nøye når og hvordan man skal utføre fjerningen.En full nedstengning av OT-systemer vil medføre driftsstans og betydelige kostnader. Det er derfor viktig å vurdere om trusselen er godt nok innkapslet og ikke utgjør en umiddelbar fare for sikkerheten eller driften, så den kan bli i systemene og heller fjernes ved neste planlagte vedlikeholdsstans.
5. Gjenoppretting
Når trusselen er fjernet, gjelder det om å komme seg tilbake til normal drift så raskt som mulig, uten å bringe skadevaren tilbake i prosessen. Prioritering av hvilke systemer som gjenopprettes først, er avgjørende. Da gjelder det å ha oversikt over hvordan systemene jobber sammen, og hvilke som er mest kritiske for å få i gang produksjonen igjen.
6. Evaluering og læring
Etter en hendelse eller en øvelse, bør planen evalueres. Hva fungerte bra? Hva kan forbedres? Var ressursene riktig fordelt? Var verktøyene for identifikasjon og overvåkning tilstrekkelige for å fange opp trusselen i tide? Denne fasen handler ikke bare om å reflektere over hendelsen, men også om å implementere konkrete tiltak for å styrke fremtidige responsplaner og prosesser.
Forhåpentligvis opplever dere ikke angrep ofte, så da gjelder det å få erfaring på andre måter. Såkalte table top-øvelser, hvor man øver på realistiske angrepsscenarioer er en god måte å avdekke svakheter i planen, styrke den over tid og holde seg forberedt.
Hvordan utvikle og vedlikeholde en effektiv responsplan
Å utvikle en responsplan krever god innsikt i både IT- og OT-systemene. Start med en grundig risikoanalyse for å identifisere hvilke systemer som er mest kritiske og hvor ressursene bør fokuseres. Sørg for å inkludere alle relevante interessenter i prosessen, fra IT-eksperter til operasjonelle ledere.
Les også: Implementering av en kultur for cybersikkerhet i hele organisasjonen
Vedlikehold av planen er like viktig som utviklingen. Det lønner seg derfor å lage seg noen rutiner, og sørge for å følge dem opp.
Gjennomgå og oppdater overvåkingssystemer for å sikre at de er oppdatert løpende. Ikke vent med å installere eventuelle nye systemoppdateringer. Ofte inkluderer disse viktige sikkerhetsoppdateringer. Test også kommunikasjonssystemene som er avgjørende i en krisesituasjon ofte.
Gjennomfør table top-øvelser for å teste responsen på ulike scenarier og oppdater planen basert på funn fra øvelsene. Dette kan gjerne gjøres så ofte som kvartalsvis, om ikke månedlig.
Gjennomfør en fullstendig revisjon av planen årlig. Dette inkluderer en omfattende risikoanalyse, evaluering av ny teknologi og endringer i trussellandskapet, samt oppdatering av kontaktdetaljer og ansvarslister.
En responsplan er ikke et statisk dokument, men et dynamisk verktøy som må utvikles og vedlikeholdes kontinuerlig for å være effektiv. Regelmessige øvelser og revisjoner sikrer at teamet er forberedt og at bedriften er beskyttet mot både IT- og OT-relaterte trusler. I møte med økende kompleksitet og fare i det digitale landskapet, er det viktigere enn noen gang å ha en plan som er klar til å settes ut i livet.