Det ropes på informasjonsdeling, men hva trenger du egentlig å vite?
2023 har vært et år med stor økning i cyber-angrep. Spesielt ransomware har igjen vært en utfordring for mange norske og nordiske virksomheter.
Fasiten er at det veldig ofte er akkurat de samme svakhetene som muliggjør et angrep - og dermed er lærdommen noe begrenset. Det vesentlige er å ha søkelyset på reelle trusler, og få virksomhetsledere til å adressere risikoene sine.
Mye likt
Vi som jobber profesjonelt med hendelseshåndtering, og ser og håndterer mange slike angrep år etter år, ser fort fellesnevnerne som går igjen. Og for 2023, og hittil i år, er det ikke noen store nyheter i forhold til hva som er angrepsvektorene, altså hvordan kriminelle tar seg inn i virksomhetenes nettverk og servere.
Det er kjente utfordringer som går igjen gang på gang. Slik jeg ser det, så ligger problemet i hvordan vi skal klare spre kunnskapen bredt nok om hvordan virksomheter kan øke sin motstandsdyktighet. Målet må være at denne type angrep minsker og at færre norske virksomheter blir skadelidende.
Det er viktig å dele
Det er nok i denne sammenheng at mange i sikkerhetsfagmiljøene søker info hver gang det ryktes eller skrives om nye angrep. Det spekuleres og diskuteres i hver minste detalj som deles av informasjon. Og det ropes på rask deling. Jeg har gjentatte ganger både under håndtering og i foredrag oppfordret til deling av informasjon. Nettopp fordi jeg har tro på deling av informasjon for at vi skal klare unngå «unødvendige» hendelser.
Vegard Kjerstad - Leder IRT Atea Norge (Foto: Ane Svensli)
Så til poenget, hvem er det som har rett på informasjon og hvor detaljert må informasjonen være?
Kunder av kompromitterte virksomheter har naturligvis en interesse av informasjon, både de tekniske og overordnede, med tanke på å kunne beskytte seg selv. Dette er en type informasjonsdeling som leverandører og kunder bør ha diskutert på forhånd, og ikke minst kartlagt hvilken risiko de utgjør for hverandre. Så det kan løses med kravstilling og tydelige forventninger til hva og hvordan man deler informasjon dersom en av partene blir utsatt for et cyberangrep.
Hva skal da deles med øvrige? Politi og CERT-miljøer er naturlige mottakere av informasjon, men hva med alle vi som leser om hendelsen i nyhetene, skal ikke vi også få informasjon?
Som nevnt så er det tidvis høylytte diskusjoner i ulike forum rundt hva som kunne vært årsak og at informasjonen om hendelsen må deles, gjerne så raskt som mulig. Noen spekulerer et godt stykke lenger enn man har forutsetninger for, andre «selger» tekniske løsninger som «ville kunne forhindret» hendelsene uten å vite egentlig helt hva hendelsen gikk ut på.
Det er ikke noen tvil om at de aller fleste hendelser kunne / skulle / burde vært unngått, og deling av «feil» eller «mangler» kan være en god måte å få ned antall hendelser på. Den beste historien er den virksomheten selv forteller, den som treffer ledere og beslutningstakerne som kan lære hvilken trusler og risikoer de står ovenfor, basert på andres ulykke og dyrekjøpte erfaringer.
For pågående for ledelsen? De historiene vi som «eksperter» deler kommer ikke langt nok, og blir gjerne for tekniske for lederne. Og vi bidrar i hvert fall ikke med å sitte å «mase» på informasjon om en hendelse. Informasjonsdeling er kjempeviktig, men ikke nødvendigvis tidskritisk. Med det mener jeg at om hendelsen ikke inneholder noe «nytt» så har det lite å si om virksomheten deler det med offentligheten etter en uke eller om 6 måneder.
Da er det bedre at virksomheter får ro til å fokusere på sitt arbeid med å komme tilbake i drift før de må bruke energi på å fortelle sin historie med alle.
Det er dessverre helt vanlig at «gode hjelpere» følger med fra sidelinja og tilbyr sin hjelp og tjenester, med gode intensjoner, når en virksomhet er nede for telling. Når et selskap er under angrep og ressursene er under stort press, så oppleves dette bare som støy og uromomenter.
Hva er formålet? Enda verre er det når «eksperter» kontakter kundene med eneste intensjon å tilegne seg selv informasjon om en hendelse. Sannsynligvis med en egeninteressen ved være å være først ute med å kunne dele informasjonen. Vi har snakket med flere norske virksomheter som opplever at denne praksisen fører til at de føler seg hengt ut, og det blir da mindre ønskelig å dele sin historie. Spesielt når informasjonen deles på møteplasser der større fagmiljøer er samlet og konklusjoner trekkes rundt både hva som var gjort feil og hvilken tiltak man burde ha gjort.
Når uhellet er ute
En virksomhet klarer fint å finne den hjelpen de trenger via kjente kanaler, spesielt har nødplakaten til NSR og NSM sin veiledning er til god hjelp for de fleste.
Så lenge det er lover som styrer hvor raskt en skal melde avvik, så bør vel vi «ekspertene» klare å smøre sin egen nysgjerrighet med tålmodighet, og ikke bidra til mer støy og belastning.
Så en avsluttende appell til alle
Slutt å fortell at alt er så komplisert, at trusselbildet endrer seg så alt for raskt og at vellykkede angrep er uunngåelig. Det skaper bare avstand og maktesløshet. Det vi såkalte «eksperter» bør sette som første prioritet er å lære oss å oversette og forenkle budskapene våre. Sette søkelys på de faktiske risikoene. Tiltakene som skal til for å unngå de vellykkede angrepene er godt kjente og mulige å gjennomføre uten at budsjettet for 2024 tømmes helt. Men det krever fokus, arbeidstimer og kontinuitet.