IKT-sikkerhet: Risikovurdering og hendelseshåndtering

Det andre området vi presenterer i IKT-sikkerhetsprosjektet er risikovurdering og hendelseshåndtering. Les om Hålogaland Kraft sine erfaringer fra phishing-angrepet de opplevde for ett år siden.

Risikovurdering
Under dette området er det laget en mal for risikovurdering utfylt med risikofaktorer innenfor IKT-sikkerhet. Listen over risikofaktorer er ikke uttømmende. Malen vil dekke det som vil være gjenstand for revisjon (mtp. IKT-sikkerhet), men viktigst av alt så vil den skjerpe sikkerheten i hvert enkelt selskap.

Det er også laget maler for selskapsinterne sikkerhetsrevisjoner, instruksjon til gjennomføring og dokumentmaler til bruk under revisjonen.

Hendelseshåndtering
Området hendelseshåndtering tar for seg dokumentasjon knyttet til hendelser innenfor IKT-sikkerhet. 

Ved hendelser kan det være vanskelig å vurdere hvilken grad av beredskap som skal iverksettes. Prosjektet har laget et system som viser beredskapsoversikt, og i hvilken grad selskapet skal reagere på hendelsen. 

I tillegg inneholder dette området et stort sett med innsatsplaner, dokumentasjon å bruke under hendelser og en mal for evaluering etter hendelser.

 

Phishing-angrep i Hålogaland Kraft
Phishing er en betegnelse på digital snoking, hvor angriper «fisker» etter sensitiv informasjon for bruk til egen vinning. For ett år siden hadde Hålogaland Kraft (HLK) et slikt angrep, som fikk tilgang til en ansatt sin konto og brukte den til å sende ut e-poster til kunder og ansatte i HLK. 

HLK ble gjort bevisst på phishing-angrepet av flere av sine kunder som hadde fått e-posten, hvor kundene satte spørsmålstegn til legitimiteten av den. Da dette ble kjent ble kontoen stengt og leverandøren ble kontaktet. Deretter satte HLK inn beredskap, slik de ville gjort under hvilken som helst beredskapssituasjon. De hadde en innsatsplan på phishing-angrep å følge, og brukte denne aktivt for å håndtere hendelsen.

Ved å håndtere denne hendelsen som en beredskapshendelse, fikk de raskt avdekket hva som hadde skjedd og gjennomført flere strakstiltak for å hindre videre utsendelse av e-post, og eventuelle følgehendelser. De valgte å informere om hendelsen utover hva som er pålagt, og la ut informasjon på sine hjemmesider. De informerte også KraftCERT om saken, og fikk bistand til å finne flere detaljer rundt angrepet.

Innsatsplanen og rammeverket som HLK hadde på dette området, gjorde at de kun brukte ett døgn på strakstiltakene og fikk kjapp kontroll på situasjonen.

Dette er et godt eksempel på hvorfor det er viktig å behandle IKT-sikkerhetshendelser som beredskapshendelser, og at innsatsplaner og dokumentasjon også er høyst nødvendig når slike situasjoner oppstår.