Vi ser att de Tabletop-övningar vi gjort på Tripnet har gett oss väldigt mycket samtidigt som de väckt stort intresse. Vi har därför skapat workshops, med det enkla namnet Tabletop-katastrofövning, som vi erbjuder där vi övar tillsammans med våra kunder.
Katastrofövning med Blue Mobile Systems
Först ut var Blue Mobile Systems som länge varit kund till oss, de kom med hela ledningsgruppen för att öva och lära. Övningen väckte tankar, tydliggjorde risker samt ökade tryggheten och samarbetet mellan bolagen. Det är intressant att alla, oavsett roll, fick med sig nyttiga tankar hem.
ISO-certifierade tack vare Blue Mobile Systems
Ulf Persson, VD på Tripnet, berättar att det är tack vare Blue Mobile Systems som Tripnet idag är ISO 27001-certifierade.
– Peter Andreasson, VD på Blue Mobile Systems, ringde mig och sa att vi har fått krav på att certifiera oss, så nu får ni också göra det. Det beror på att hela kedjan bakåt måste vara certifierad. Vi hade planer på certifiering, men Peter var den som satte tidsplanen. Det slutade med att vi gjorde våra certifieringar parallellt. Därför passar det extra bra att göra Tabletop-övningen med just dem, för att se att hela kedjan fungerar om det skulle ske en katastrof, säger Ulf.
Varför Tabletop-katastrofövning med kund?
Den nya tjänsten kommer att vara viktig eftersom man tillsammans lär sig att uppmärksamma och hantera risker som kan uppstå i en krissituation. Man får en chans att öva på katastrofhantering i en lugn och säker miljö, så att alla vet vad de ska göra om de befarade största katastroferna faktiskt skulle ske. Syftet är att öka säkerheten och tryggheten, så att kunden känner sig extra trygg med oss på Tripnet.
Samtidigt är det minst lika viktigt att vi på Tripnet lär oss mer om kundens verklighet, och hur de tänker och prioriterar i en krissituation. Transparens är något grundläggande för oss, och den ökar genom dessa övningar. Man kan tala öppet om tidigare incidenter och risker som skulle kunna ligga till grund för något liknande. Det kan också vara svårt att veta vad kunden skulle vilja i en krissituation, och därför kan det vara bra att sitta med kunden och prata om det. Då minimeras dessutom tiden det tar att agera i en faktisk incident, eftersom man har planerat hur man skulle gå till väga.
Den ekonomiska faktorn
Att råka ut för cyberattacker blir ofta väldigt dyrt, dels eftersom det kostar företagen mycket pengar att ligga nere, men också för att attackerarna kan kräva stora summor pengar för att man ska få tillbaka datan. Genom att under tabletop-övningen ha övat på katastrofhantering kan man stoppa risker innan de utvecklas till faktiska incidenter. Det besparar inte bara tid och resurser, utan skyddar också företagets intäkter och rykte.
I vilka steg sker en attack mot ett IT-system?
Martin Dohmen, Solutions Director på Tripnet, förklarade under workshoppen en attack i flera olika steg enligt MITRE ATT&CK.
1. Först får attackeraren på något sätt en initial åtkomst, genom att till exempel komma över inloggningsuppgifter.
2. I steg två kan inkräktaren se till att hen stannar kvar i systemet, genom att till exempel installera egen mjukvara som stannar kvar även om man bootar om. För att undvika upptäckt kan hen stänga av antivirus.
3. Nu kan attackeraren börja samla in data för att hämta eller kopiera den. Personen identifierar också vilken data som är värdefull.
4. När inkräktaren har kommit över viktig data kan hen antingen stjäla den eller hota företaget med att sälja datan om de inte betalar ett stort belopp.
Så långt behöver det dock inte gå, förklarar Martin. Om man lyckas bryta kedjan så kan man stoppa inkräktaren innan hen hinner stjäla någon data. Därför kan det vara bra att se hela processen i steg, och att veta att attacken inte går på en sekund utan ofta tar tid, och därmed är möjlig att stoppa. Ett exempel på en risk är att man har mjukvara som ingen underhåller, då denna ofta kan vara en ingång till systemet, berättar Martin.
Ett fiktivt krisscenario
Under workshoppen hittades en fiktiv katastrof på. I det påhittade krisscenariot hade Blue Mobile Systems fått in en inkräktare i systemet, en katastrof som hotar många företag. Nödläge utropas och rutiner följs. En väldigt svår fråga är hur man ser på tillgänglighet kontra integritet och sekretess. Ska man stänga av sina system för att inte riskera dataläckage? Om systemet inte har någon konfidentiell information så kanske man kan låta det vara igång, men kan det bli problem med dataintegritet? Att stänga ner eller inte är ett affärskritiskt beslut. Senare uppkommer även frågan om på vilka kriterier man kan plocka upp systemet igen, en fråga som är minst lika viktig, men ofta förbisedd. Eftersom man kan ha så olika syn på vad man vill göra med sina system i en sådan situation tjänar man mycket på att prata om det i förväg.
– Då skulle jag skrika stopp, stäng av all trafik, säger Peter Wahlgren, Development Manager på Blue Mobile Systems om vad som skulle ske om en attack påbörjats.
Det framkommer snabbt att alla på företaget får en viktig roll i scenariot, inte bara de med bäst koll på det tekniska. Allas roller i en krissituation tydliggörs, och man ser hur samarbetet under en kris skulle fungera. Till exempel blir Ylva Smedberg, som arbetar med marknadsföring och kommunikation, väldigt viktig. Någon måste ju skicka ut till kunderna vad som har hänt. Ylva berättar att hon redan har mallar att utgå från i händelse av en kris.
Dessutom behöver man ständigt hålla kunderna uppdaterade, och därför skulle en ständig kommunikation mellan företagen vara väldigt viktig. Blue Mobile Systems kunder skulle ofta vilja ha uppdateringar om hur läget är, och då kan även en uppdatering om att man jobbar på det vara värdefull. Genom att öva på krishantering visar man som företag att man tar säkerheten på allvar, både för medarbetare och för kunder.
Transparens och Tripnets tidigare incident
Under samtalet pratas det också en del om att vi på Tripnet själva varit med om en attack, väldigt lik den i det fiktiva scenariot. Vi har skrivit om detta i tidigare års årsredovisning och på vår blogg, eftersom vi tycker att det är en viktig erfarenhet att dela med sig av. Det är viktigt att vara transparent med att man har drabbats, för att kunna lära sig av varandra. Trots att attacken stoppades var det svårt att hundraprocentigt garantera att ingen data stulits, och att allt var som vanligt. Är 99 % eller 99,999 % tillräckligt nära 100 % för att man ska kunna vara helt säker?
– Det är det som är så jobbigt, man kan aldrig helt garantera att inget har spridits vidare med 110 % säkerhet, säger Martin.
Stärkt samarbete och nya tankar efter katastrofövning
Inte nog med att man under workshoppen övar på vad man skulle göra under en kris och konkretiserar det hela så ökar det också samarbetet. Man kan dela med sig av sina erfarenheter och idéer. Just den här dagen kommer vi på Tripnet och Blue Mobile Systems fram till att vi ska skaffa gemensamma rutiner i krislägen, just för att alla ska vara förberedda om något sker. Alla går från övningen med nya tankar och insikter.
– Jag har redan skrivit ner några rutinförändringar hos oss, säger Peter Andreasson
Något för dig?
Är ditt företag intresserade av Tabletop-katastrofövning med oss på Tripnet? Utöver de fördelar som redan nämnts så anpassas övningen dessutom efter just ditt företag och era utmaningar. På så vis kan vi fokusera på just de risker och hotbilder som är relevanta för er. Dessutom följs övningen upp med konkreta förslag på åtgärder och gör er förberedda för framtida utmaningar, så att ni kan hantera dem på ett säkert sätt.
Klicka här för att läsa mer om tjänsten.
