Slik kan dere håndtere digitale angrep
I desember ble Nordic Choice, Nortura og Amedia utsatt for dataangrep som gikk rett på driften. Hotell-bookinger måtte noteres manuelt på tavler, aviser kom ikke ut, Nortura måtte utsette henting av dyr som skulle slaktes.
Tidligere har blant annet Hydro vært utsatt for et stort angrep. De ble reddet av eldre medarbeidere, herunder en del pensjonister, som hadde kunnskap om hvordan de skulle drive smelteverkene manuelt.
Alvorlighetsgraden på digitale angrep varierer, men i verste fall kan det gå ordentlig ille.
– I verste fall kan bedrifter gå konkurs fordi de ikke får gjort det de skal, sier Arne Røed-Simonsen, seniorrådgiver hos Næringslivets sikkerhetsråd (NSR).
Nederst i artikkelken finner du «Nødprosedyre ved digitale angrep»
Angrepets fem faser
Digitale angrep kan komme i ulike former, men særlig løsepengevirus-angrepene foregår gjerne i fem faser, ifølge Røed-Simonsen.
-
Angriperne kommer seg inn i datasystemet. Det kan for eksempel skje gjennom at de via falske e-poster og falske nettsider forleder brukere til å oppgi brukerinformasjon og passord. Noen ganger ligger virusfiler eller skadevare som vedlegg til e-post.
-
Angriperne forsøker å skaffe seg administrasjonsrettigheter til systemene, slik at de kan undersøke hvilke verdier som befinner seg der.
-
Datafiler hentes ut og overføres til angripernes egne systemer og servere.
-
Filer krypteres på datamaskinene til virksomheten som er angrepet. Når man klikker for å åpne filene, får man beskjed om at alle filer kryptert og ikke kan åpnes, samt et «tilbud» om at man må betale for at filene skal kunne åpnes igjen.
-
Utpressing. Angriperne krever penger for å dekryptere filene og gi virksomheten tilgang til egne filer. Deretter forlanger de gjerne betaling for at stjålet informasjon ikke skal publiseres eller selges på internetnett. En tredje variant er å forlange penger for å ikke angripe virksomheten på nytt.
– Ikke betal
– Vår anbefaling er å ikke betale, sier Røed-Simonsen, som viser til at man ikke har noen garanti for at de kriminelle faktisk vil låse opp igjen filene hvis man betaler.
Man vet heller ikke hva angriperne faktisk har foretatt seg inne i systemene. Ved å betale bidrar man dessuten til at denne typen kriminalitet forsetter.
– Jeg ville heller brukt penger på å løfte sikkerheten til virksomheten før et angrep skjer, sier sikkerhetsrådgiveren, som anbefaler at virksomheter gjør en risikoanalyse av hva som kan skje ved et digitalt angrep. Samt at de undersøker hva det vil koste å øke sikkerheten.
Sikkerhetsleverandører
Det er flere leverandører som tilbyr tjenester for håndtering av dataangrep. Noen av er blitt vurdert av Nasjonal sikkerhetsmyndighet (NSM) og godkjent i henhold til deres kvalitetskrav.
Næringslivets sikkerhetsråd (NSR) anbefaler å ha gjort en avtale med en leverandør før noen angrep har skjedd.
– Er det mange bedrifter som har slike leverandøravtaler?
– Min erfaring er at de store bedriftene har det, men også de små bør stille seg spørsmål ved hvilken risiko det utgjør å miste data eller at data kommer i hendene på kriminelle.
Det aller viktigste er ifølge NSR imidlertid å holde alle systemer oppdatert, å ha gode interne rutiner og å ha en beredskapsplan.
Nødplakaten
Hva gjør dere i din virksomhet hvis skjermene blir svarte og dere ikke kommer inn i egne systemer? Eller hvis dere utsettes for andre typer digitalt angrep?
NSR erfarer at mange bedrifter ikke vet hvor de skal ringe, og har derfor laget en nødplakat for digitale angrep.
Plakaten inneholder blant annet viktige telefonnumre, og de anbefaler at plakaten skrives ut og henges opp.
Rett og slett fordi et dataangrep ofte fører til at man ikke lenger har tilgang til dokumenter som er lagret digitalt.
Nødplakaten laster du ned her; nederst i artikkelen finner du et utdrag.
Be om bistand
Første trinn når et digitalt angrep oppdages, er å kontakte virksomhetens egne IT-folk og å mobilisere sin egen beredskapsorganisasjon. Deretter anbefaler NSR å varsle politiets nasjonale cyberkrimsenter og Nasjonalt cybersikkerhetssenter.
– Da gir du cybersikkerhetssentrene en mulighet til å være i forkant med tanke på en anmeldelse, forklarer Røed-Simonsen.
Neste trinn de anbefaler, er å be om akutt bistand hos leverandører som jobber med å håndtere dataangrep. Disse har døgnåpne alarmtelefoner. Anmeld også saken til ditt lokale politidistrikt.
I tillegg til anmeldelse kan man vurdere å kontakte politiets næringslivskontakter, som kan bistå med råd og veiledning. På nødplakaten finner du epostadresser og telefonnumre til disse.
Del tre i nødprosedyren, er å iverksette beredskapsplaner for nøddrift, og å begynne den møysommelige prosessen det er å gjenopprette systemer for normal drift.
Siden dette kan ta tid, understrekes det at er viktig å iverksette alternative driftsmetoder tidlig.
Nødprosedyre ved digitale angrep
Næringslivets sikkerhetsråd har sammen med blant andre Politiet og Nasjonal sikkerhetsmyndighet utarbeidet en Nødplakat for digitale angrep med viktige telefonnumre og nyttig informasjon for virksomheter.
Plakaten kan skrives ut og henges opp; da er informasjonen tilgjengelig også når skjermene har gått i svart.
Last ned plakaten her.
Slik går du frem når det digitale angrepet har skjedd:
1. Varsle
Varsle IKT driftsorganisasjon, og mobiliser beredskapsorganisasjon i egen virksomhet.
Varsle politiets nasjonale cyberkrimsenter (NC3) via den døgnåpne desken til Kripos. Dette varselet er ingen formell anmeldelse, men NC3 ønsker å få tidskritisk informasjon tidlig, uavhengig av om saken er anmeldt eller ikke. Telefon: 23 20 80 00
Varsle Nasjonalt cybersikkerhetssenter (NCSC). Dette er Nasjonal sikkerhetsmyndighets nasjonale responsfunksjon for digitale angrep, og en arena for nasjonalt og internasjonalt samarbeid ved håndtering av digitale hendelser og rådgiving. NCSC er døgnbemannet. Telefon: 23 31 07 50
Vurdér varsling av Økokrim. Enheten for finansiell etterretning kan i mange tilfeller bistå ved internasjonal stans av transaksjon relatert til hvitvasking og terrorfinansiering. Telefon: 23 29 14 05
2. Håndtere
Be om akutt bistand fra leverandører som tilbyr tjenester for håndtering av dataangrep. Disse har døgnåpne alarmtelefoner. På nødplakaten er leverandører som er godkjent av myndighetene listet opp. Det finnes også andre leverandører. Innhent råd om umiddelbare tiltak, og iverksett disse. Gi gjerne leverandøren av hendelseshåndtering fullmakt til å ha direkte kontakt med myndighetene (NC3/NCSC), samt til å dele relevant informasjon med disse fortløpende.
Anmeld saken til det lokale politidistriktet. Telefon: 02800.
Henvis lokal politi til eventuell forutgående kontakt med NC3/NCSC. Politiet kan også tipses om forhold, dersom man ikke ønsker å anmelde. Les mer om anmeldelse og tips til politiet om datakriminalitet her.
Politiets næringslivskontakter har ingen operativ funksjon ved hendelser, men kan bistå med råd og veiledning. Se nødplakaten for oversikt over navn og telefon ulike steder i landet.
3. Gjenopprette
Iverksett beredskapsplaner for nøddrift. Etter et dataangrep kan det ta mange uker å gjenopprette normal drift, så det er viktig å iverksette alternative driftsmetoder tidlig.