Men det var ikke det eneste problemet de hadde:
- De hadde ikke tilgang på verken pasientjournaler, medisinlister eller opplysninger om pårørende.
- De visste ikke hvem som skulle komme på jobb den kvelden, og om de kom til å bli nok folk på vakt.
- De turte ikke stole på at brannalarmer fungerte, så de hadde manuelle brannvakter.
- De var redde for ikke å kunne komme seg inn på medisinrommet med de sterkeste medisinene, så de medisinene måtte tas ut og settes lettere tilgjengelig. Dessuten måtte de bryte opp skuffene på medisintralla, fordi låsene måtte åpnes elektronisk med ID-kontroll.
- De hadde ikke tilgang på NAV-systemet, og måtte derfor ha hjelp fra Sivilforsvaret til å klippe og lime papirlister så de var sikre på at alle som trengte hjelp fra hjemmetjenesten fikk besøk.
Det er så lett å si at vi er så avhengige av IT-systemer og at alt stopper opp hvis det kommer et cyberangrep. Og det er jo helt rett. Men for at vi skal klare å ta det innover oss, trenger vi helt konkrete fortellinger om hva som faktisk skjer. Og det er veldig godt forklart i NRK-serien Katastrofe, hvor Østre Toten-angrepet omtales i episode 7.
Hva om alle skjermer går i svart?
Og da lurer jeg på, er du godt nok forberedt til å håndtere at alle skjermene går i svart i din bedrift?
Den nyeste Mørketallsundersøkelsen viser at mer enn fire av ti (46 prosent) av de som VET at de har opplevd en hendelse, oppdaget det ved en tilfeldighet. Noen få (to prosent) oppdaget det til og med i media. Dessuten må det være veldig mange som IKKE har oppdaget at de er hacket. For bare ti prosent av nærmere 2500 bedrifter svarte at de hadde opplevd en uønsket hendelse. Og det KAN ikke stemme.
Samtidig har 45 prosent heldigvis oppdaget uønskede hendelser gjennom egne rutiner og systemer. Det er også en helt klar sammenheng mellom det og bedrifter som jobber litt systematisk med sikkerhet gjennom året. Sjansen for å bli overrasket er altså mindre hvis du ikke har hodet nedi sanda.
Jobb systematisk med sikkerhet
Men det er ikke så lett å jobbe litt systematisk med sikkerhet gjennom året. Iallfall er det bare 62 prosent av bedriftene som sier at de gjør det. Nå er det riktignok flere enn for to år siden – det har økt fra 51 prosent til 62 prosent – men fortsatt sier tre av ti at de ikke gjør det, og en av ti vet faktisk ikke. Spesielt sliter de små med å få det til. Jeg tror vi trenger mer kunnskap om hva en liten bedrift trenger for å klare å jobbe systematisk med sikkerhet. Det å si at «du må implementere et styringssystem for informasjons-sikkerhet», det gjør at rullegardina går ned. En bedrift med fem til ti ansatte må gjøre det enkelt. Men litt systematikk kan de få til – vi må bare finne ut hva som kan fungere inn i det de likevel gjør. Litt forskning hadde gjort seg der, altså.
Men hvorfor er jeg opptatt av hvordan vi klarer å oppdage en hendelse? Hvis skjermene går i svart, så merker vi jo det?
Joda, på Østre Toten var de ikke i tvil. Men jo tidligere en klarer å oppdage tegn på cyberangrep, jo raskere kan en iverksette tiltak, stoppe angrepet og sørge for at konsekvensene blir minst mulig. Vi vet også at angripere ofte har nytte av at vi ikke merker at de er der, for da kan de jo være der lenge. Avlytte og kartlegge. Hente ut informasjon. Ikke alle angripere er ute etter å gjøre skade som vi merker direkte.
Regn med at bedriften din rammes
Uansett må du faktisk regne med at bedriften din rammes av et cyberangrep, og derfor må du vite hva du skal gjøre for å holde det gående imens dere rydder opp.
NSM sier i sin risikovurdering i år at «sabotasjeforsøk i Norge er sannsynlig. Norske virksomheter må umiddelbart iverksette forebyggende tiltak.» De peker spesielt på virksomheter innen utenriks-, forsvars- og sikkerhetspolitikk, og høyteknologi, næring og finans.
Vi har sikkert noen bedrifter som ikke ser seg selv i denne beskrivelsen – over halvparten i Mørketallsundersøkelsen mener nemlig at de IKKE er samfunnskritiske – men det er veldig kort vei i leverandørkjeden fra en hvilken-som-helst bedrift til en som er samfunnskritisk eller favnes av beskrivelsen fra NSM. Derfor gjelder trusselbildet veldig mange, inkludert små bedrifter som lager apper, regnskapssystemer, leverer håndverkertjenester og transport, vaktmestertjenester og renhold.
Et cyberangrep hos den lille bedriften på hjørnet kan derfor få konsekvenser for mange andre, samme hvilken bransje de er i. Samfunnet trenger at hver enkelt av bedriftene har god beredskap og klarer å snu seg rundt når det trengs.
Sørg for god digital beredskap
Jeg skal gi deg tre punkter – tre ting du kan gjøre allerede i dag:
- Lag en beredskapsplan og øv på den. Når angrepet skjer, er det for seint å planlegge. Det høres jo selvsagt ut, men det er veldig mange som ikke har det. Det er også et av de viktigste rådene fra NSM i år. I planen må det stå hvem som skal gjøre hva når det skjer noe, og hvordan dere varsler, både internt og eksternt. Og så må dere prioritere: hvilke systemer er viktigst? Dere klarer ikke å fikse alle på en gang. Og når dere har en plan, så må det øves. Øv på ulike scenarier. Diskusjonsøvelser kan gjøres enkelt og gir mye læring. Et viktig poeng, som vi VET glipper hos mange: Sørg for å øve med de som kommer til å være involvert i å håndtere angrepet, også leverandører som dere er avhengige av. Da får dere avklart hva slags hjelp dere får fra leverandøren. Og ikke minst, hva om mange av leverandørens kunder opplever samme type angrep, hvor står dere på prioriteringslista? Får dere hjelp? Hvor viktig er din bedrift sammenlignet med de andre kundene?
- Lag en kontinuitetsplan og sørg for at den er kjent for de som trenger den. Selvsagt skal dere ordne opp i angrepet, men dere må beskrive alt som vil svikte dersom alle skjermene går i svart, og hvordan dere sørger for å holde ting i gang da:
a. Hva er det dere ikke får gjort? Og hva gjør dere da? Tenk Østre Toten – helt praktisk, ned på detaljnivå.
b. Hvor trenger dere ekstra folk til å gjøre manuelle oppgaver?
c. Hvilke oppgaver må dere kanskje bare se bort fra i en periode?
I begge disse planene er det viktig å ha med tidslinja: Hva gjør dere den første dagen? Hvordan ser dette ut etter ei uke? Enn etter seks uker? Når er det bare å låse døra på jobb, sende folk hjem og begynne å spise av beredskapslageret kjelleren? For Østre Toten tok det nesten et år før absolutt alt var oppe og gikk som normalt igjen.
- Husk at ditt viktigste bidrag til nasjonal beredskap er at du sørger for god beredskap i din egen virksomhet. Uansett om du er stor eller liten bedrift, hva du leverer, hvilken bransje du hører til, om du nevnes i risikovurderingene fra sikkerhetstjenestene eller ikke, om du tror utenlandsk etterretning er interessert i dine ansatte og dine data – just do it, følg god praksis, vær beredt. Dere må kunne klare dere best mulig lengst mulig om noe skulle treffe dere.
Vi kan gjøre en risikoanalyse sammen
Trusselbildet endrer seg fort, angriperne finner stadig nye måter å angripe på. Og vi må uansett alltid forvente det uventede. Derfor trenger vi hele tiden ny kunnskap om digital sikkerhet og beredskap. Vi i SINTEF vil alltid forske sammen med norske bedrifter for å finne gode måter å lykkes med sikkerhetsarbeidet på. Men hva betyr det å forske på dette da? Jo, hvis du lurer på hvordan det står til hos dere, så ring oss da, så kan vi gjøre en risikoanalyse sammen og finne ut akkurat hva dere trenger. Det trenger ikke å være vanskeligere enn det.
For hvis alle er godt nok forberedt hver for seg, så sørger vi for nasjonens sikkerhet sammen.
Kommentarer
Ingen kommentarer enda. Vær den første til å kommentere!