FORBERED DIG PÅ CYBERANGREB

Forbered dig på et IT sikkerhedsangreb. Vi har udarbejdet en huske/ideliste, som du kan finde inspiration i. 

Før et angreb

  • Trusselbilledet- hold dig orienteret og informer medarbejdere om særlige udbrud
  • Check op på om der anvendes kryptering de relevante steder
  • Er Endpoint Protection korrekt konfigureret?
  • Er der etableret EDR, netværkscensorer eller lign. der kan overvåge hændelser i netværket?
  • Kører patching eller kan visse brugere tilsidesætte opdatering og patching.
  • Authentificering, skal anvendes op mod løsninger, hvor kun den autentificerede må læse indhold eller udføre en handling
  • Firewall, skal kunne opdage avancerede angreb (APT, ATP), malware, ondsindet webtrafik m.v.
  • Sikring af data i skyen både med antivirusscanning men evt. også kryptering hvor I selv holder nøglen.
  • Kører jeres E-mail med TLS kryptering og er der filtrering af virus
  • Overvej om der skal anvendes ”content filtering” således at medarbejderne ikke kan sende uønskede- eller fortrolige informationer ud. Samme løsning vil oftest kunne hindre at der sendes persondata ukrypteret eller til modtagere der ikke må modtage disse data.
  • Udarbejd en IT-beredskabsplan, test og udprint den
  • Opret en kill-switch (der slukker internetforbindelse og core switche)
  • Check at der løbende foretages logs fra sikkerhedssystemer
  • Konstater hvor lang tid tager det at genetablere fra en backup (som bør være offline)
  • Sørg for at roller og ansvar er definerede i en printet version
  • Lav aftaler med eksterne sikkerheds partnere om hvordan de kan bistå i tilfælde af et incident. Det er for stressende at etablere i situationen og kan være sværere.
  • Opret telefonlister og udprint
  • Etabler en telefonbro/alternativ telefoni, hvis kommunikationssystemerne er nede
  • Liste over prioriterede applikationer – hvad skal restores først?
  • Undgå administrative rettigheder på PC’er, så ingen henter og afvikler malware
  • Tillad ingen trafik mellem PC’ere (ingen Neighbourcast eller lign. mellem PC’ere)
  • Undgå så vidt muligt at have Netbios slået til.
  • Tillad – kun godkendt trafik mellem servere
  • Kun read-only domain controllers – så få som muligt-, i større virksomheder maksimalt fem personer med domain admin-password.
  • Mobile device management på telefon inklusive tvungen kode (En smartphone er også en
    computer)
  • Sørg for jævnligt tvungen password-udskiftning på IT-udstyr
  • Proces for løbende opdateringer af beredskabsplanen og teknisk GDPR compliance

 

Ha en Plan B

  • Alternativ internetopkobling
  • Løbende replikering af mails i skyen, kan være anbefalelsesværdigt også i andre tilfælde
  • Fuldtids eller reserve- Fildeling eller systemer i skyen,
  • Etabler velfungerende og sikre hjemmearbejdspladser

Når et angreb opdages

  • Skab så vidt muligt overblik og forbered dig på, hvordan du får genetableret til normal status igen
  • Hvordan udarter problemet sig? Hvad betyder hændelsen rent praktisk for virksomheden? Er andre påvirket, eller kan de risikere det ?
  • Omfanget- Hvilke systemer, forretningsområder, brugere er ramt?
  • Er der sket tab eller kopiering af fortrolige oplysninger eller persondata?
  • Er logs tilgængelige og brugbare?
  • Er der brug for sikker bevisførelse til evt. anmeldelse til Politi, Datatilsyn,- forberedelse til retssag
    rådfør med fagfolk og sæt initiativer i gang.
  • Er Rollback muligt (nogle sikkerhedsløsninger tilbyder dette) og hvad vil det betyde for eventuelle opgaver, processer
    eller produktion der kan gå tabt?
  • Kan der i situationen anvendes en backup, hvordan rulles den på  og hvor lang tid tager det ?
  • Hvis systemer er placeret hos eksterne parter så informer og se til at SLA overholdes (ved GDPR-relevans skal svartid være ”straks” til den dataansvarlige)
  • Stand by-varsling af de nødvendige eksterne og interne parter
  • Anvend Plan B indtil problemerne er løst

Hvis aktuelt i f.eks. forhold til GDPR:

  • Informer myndighederne (Politi, Datatilsyn)
  • Evt. påvirkede parter (datasubjekter)
  • Vigtige samarbejdspartnere
  • Udfyld hvis aktuelt, Data Breach Notification til Datatilsynet
  • Måske er det bedst at kontakte pressen selv,- aftal altid at kun én udpeget person udtaler sig til pressen

Under et angreb

  • Der skal kun være én krise-håndteringsansvarlig. I en krisesituation, fungerer det ikke med demokrati. Vis lederskab, tag ansvar.
  • Hav tillid til, at de instruerede medarbejdere og samarbejdspartnere kender deres opgave
  • Reager hurtigt,- alle skal forstå, at der skal reageres straks!
  • Lad alle relevante parter være orienteret jævnligt. En relevant part, kan nogle situationer godt
    være en kunde, som hvis ikke der orienteres, kan miste tilliden eller påvirkes i sine processer.
  • Tag referat under recovery processen, af alle ændringsvedtagelser, så der er overblik over hvem
    der har gjort hvad og hvilke resultater det har givet.  
  • Vær forsigtig med at anvende nye sikkerhedsløsninger, midt i et incident forløb, med mindre at
    det er strengt nødvendigt. Man kan gå glib af logs fra selve incidentet, ved at skifte løsning.
  • Hvis det kræver yderligere efterforskning, enten fra myndigheder eller eksperter, så sørg for sikring af Chain of Custody (altså at der under bevisindsamling ikke korrumperes data)
  • Udpeg folk til at tænke i en fremtidig strategi – disse folk vil sjældent også samtidigt kunne bidrage ikke til at håndtere selve angrebet imens det foregår

Efter et angreb

  • Hvordan er det sket?
  • Hvorfor er det sket?
  • Hvad kan vi gøre bedre?
  • Informer medarbejdere og involverede parter efterfølgende


Har du spørgsmål, eller ønskes uddybning af de gode råd, så kontakt gerne C-cure.

Powered by wpsnet.com