Incidenthantering och planering

En IT-incident är en oönskad händelse som orsakar störningar i en programvara eller datatjänst och som rubbar den normala IT-driften av en verksamhet och orsakar skador på systemets information. Sådana skador kan orsaka försämringar av de faktorer som är informationssäkerhetens tre grundpelare: konfidentialitet, riktighet eller tillgänglighet. En IT-incident kan innebära att en organisation påverkas både ekonomiskt och förtroendemässigt på både kort och lång sikt.

Olika orsaker till IT-incidenter

  • Hacker-attacker (kriminella intrång)

  • Mänskliga faktorn (egna misstag)

  • Systemfel (hård- eller mjukvara)

  • Naturhändelser (brand eller översvämning)

Incidentplanering

Att skaffa sig så mycket kunskap som möjligt om hotbilden mot en organisation är viktigt för att lyckas med incidenthanteringen. Planering och förberedelser kan vara helt avgörandeför att förhindra alltför stora skador om en incident inträffar.

Incidenthanteringsplanen ska vara ett stöd för organisationen inför förberedelserna för en eventuell IT-incident. Den bör vara kortfattad, konkret och praktiskt användbar. En sådan plan bör innehålla bland annat rollfördelning, ansvarsområden, utarbetning av styrdokument, förberedelse av processteg och verktygshantering samt utbildning av personal.

Planen bör också innehålla förberedelser för att minimera skador och minska tiden för återhämtning. Den bör också innehålla ett utarbetat stöd för att upptäcka och rapportera incidenter. Man kan med fördel involvera andra berörda aktörer tex kunder och leverantörer.

Med en bra incidenthanteringsplan har organisationen ett effektivt stöd i sitt arbete om en incident skulle inträffa. Och det är viktigt för alla inblandade att träna incidenthantering exempelvis på fiktiva scenarion. Genom träning blir man bättre förberedd när olyckan är framme.

Några andra viktiga punkter vid incidentplanering:

  • Att kartlägga viktiga verksamheter och processer.

  • Identifiera beroenden av resurser.

  • Avgöra vad som är acceptabla avbrottstider.

  • Genomföra åtgärder som minskar risken förstörningar.

Hantering av IT-incidenter

När en IT-incident sker är det viktigt att ha processer för att minimera skadeverkningarna och att så snabbt som möjligt återgåtill normalläge.

Några akuta åtgärder när en IT-incident inträffat:

  • Ta reda på vad som hänt.

  • Hur och när upptäcktes problemet?

  • Vilka åtgärder har genomförts?

  • Pågår incidenten fortfarande?

  • Finns det risk att fler påverkas?

  • Vad behöver verksamheten hjälp med?

  • Vilka har organisationen kontaktat?

  • Har händelsen polisanmälts?

Med hjälp av en gedigen incidentplanering kan man i bästa fall relativt snabbt få stopp på incidenten och återskapa skyddet för informationen samt vidta åtgärder för att undersöka och lösa problemen. Det är viktigt att komma i drift igen så snart som möjligt och att förhindra fler incidenter. Identifiera brister och vidta åtgärder för att förbättra informationssäkerheten och incidenthanteringen. Ta hjälp från extern IT-säkerhetskonsult om det behövs.

Säkra bevis och utred incidenten

Det är mycket viktigt att arbeta metodiskt för att ta reda på hur incidenten kunde ske från första början. Dels för att mildra och stoppa incidenten, men också för att se till att det inte händer igen. Om ett brott har begåtts är det viktigt att säkra bevis.

Se över vilka konsekvenser incidenten kan leda till och prioritera brister som måste åtgärdas omedelbart.

När incidenten och dess orsaker har utretts gäller det att så snabbt som möjligt få igång verksamheten igen. Kritiska tjänster och material som har påverkats måste så snart som möjligt återställas.

Målet med återhämtningsprocessen är att återinföra normal drift och verifiera att systemen åter fungerar som de ska. Tidigare sårbarheter ska vara åtgärdade för att förhindra att något liknande sker igen.

Rapportera IT-incidenter

Myndigheter och vissa andra samhällsviktiga funktioner är skyldiga att rapportera incidenter, men det är bra om även privata sektorn gör det. Det ger ytterligare motståndskraft mot IT-incidenter och ökar förmågan att kunna vidta skademinskande åtgärder snabbare.

IT-incidenter rapporteras enligt MSB:s riktlinjer eller till CERT-SE som är Sveriges nationella kontaktpunkt i arbetet med att hantera och förebygga IT-incidenter. De riktar sig till både offentlig och privat sektor. www.cert.se

Dokumentering av IT-incidenter

Det är mycket viktigt att dokumentera hela incidentförloppet och hur det hanterades och hur säkerheten återställdes. Alla incidenter måste dokumenteras för att spara och sprida informationen.

Viktiga punkter som dokumentationen bör innehålla:

  • Tidpunkt och plats för incidenten

  • Vem som hittade och rapporterade incidenten

  • System, material, processer och information som påverkats

  • Omfattande beskrivning av incidenten

  • Åtgärder som satts in för att hantera incidenten

  • Intressenter som involverats

  • Parter som har informerats om incidenten

Se till att rapporten når ledningen så att de får en ökad förståelse för problemet med IT-incidenter.

Åtgärder efter en incident fungerar ofta som förebyggande åtgärder inför framtida liknande hot. Man måste hela tiden arbeta utefter hela kedjan från förebyggande till återställande av säkerhetsåtgärder och försöka skapa en generell säkerhet som skyddar mot det oväntade. 

Sannolikheten för att ett hot ska realiseras mer än en gång minskar över tid. Dels brukar man vidta åtgärder efter en incident, dels tenderar angripare att inte vilja angripa på nytt, eftersom de bedömer att sannolikheten för upptäckt då skulle öka.

Övergripande och utförliga råd när det gäller incidenthantering finns i standarderna SS-EN ISO/IEC 27002 respektive SS-ISO/IEC 27035.

För statliga myndigheter och vissa andra samhällsviktiga funktioner finns föreskrifterna: Myndigheten för samhällsskydd och beredskaps föreskrifter om rapportering av IT-incidenter för statliga myndigheter. (MSBFS 2020:8)

Har du behov av hjälp med IT- eller informationssäkerhet? Läs mer om våra tjänster!