Eller sagt på en anden måde; Hvad skal der egentlig til for at drive jeres forretning videre, når I er blevet ramt af ondsindede hackere?
Skrevet af; Peter Brahe og Rune Fog Hansen
Enhver virksomhed eller organisation lever dagligt med risikoen for at blive ramt af noget, som betyder tab af indtjening eller i værste fald tab af evnen til at fortsætte sin forretning. At flere og flere begynder at inddrage CYBER som en del af sin RISK-vurdering er et synligt eksempel på, at modenheden i Danmark er stigende, og det er efterhånden også sjældent, at vi cybersikkerhedseksperter hører erhvervsledere tale om at outsource ansvaret for cyber.
Men det sker – og det er et udtryk for, hvor kompleks det er blevet at drive forretning i en verden, hvor truslen for at blive angrebet af ondsindede hackere bare stiger og stiger. Vi ser ofte en skævvridning i forholdet mellem teknologier, som er indkøbt for at beskytte forretningen, de mennesker, som har til job at drive den, og de processer, som gør, at det sker effektivt og sikkert.
Lad os sige det så det ikke kan misforstås; Der findes INGEN teknologier, som kan beskytte en forretning imod hacker-angreb! Der findes gode teknologier, og nogle er tæt på geniale i deres udformning, men kæden er aldrig stærkere end det svagest led, og mennesker vil altid blive udnyttet, uanset hvor meget vi beskytter dem. Allerværst er det dog når de processer, som skal sikre at en forretning rent faktisk kan klare sig igennem et hackerangreb negligeres.
Chefens instruks om ”ikke at være den næste virksomhed, som rammes – koste hvad det vil” er ikke et udtryk for rettidig omhu, og vil i bedste fald blot betyde spildte penge i ens cyber-investeringer. Artiklens pointe er IKKE, at man kan undlade at investere i cyber-teknologier, men at der er noget grundlæggende, der skal være på plads, inden man beslutter sig for hvilke investeringer, der er de rigtige. Mange starter rigtig nok med, at forholde sig til den trussel de står overfor, men herefter går mange fejl i byen og springer direkte til indkøbet.
Inderst inde ved vi jo godt, at det en eller anden dag nok skal lykkes for hackerne, og derfor er det nogle helt andre spørgsmål, der skal stilles, hvis man vil have noget ud af sine cyber-investeringer:
- Hvad skal der egentlig til for at drive kerneforretningen videre, når vi er blevet kompromitteret af hackerne?
- Hvilke systemer kan vi undvære, og hvilke har vi en afgørende afhængighed af?
- Hvad er vores plan, hvis de sidstnævnte bliver ramt?
- Hvis vi er afhængige af noget bestemt hardware eller software, er der så planer for at genanskaffe det inden for den tid, vores forrentning kan tåle at være offline?
- Har vi designet vores løsninger ud fra håb eller worst-case i forhold til den skade, de angribende hackere kan forårsage?
- Har vi nogensinde testet, om planen holder?
På IT-sprog hedder analysen en BUSINESS IMPACT ANALYSIS, og den plan, som skal sikre at jeres forretning kan fortsætte uden afgørende skade fra hackerangrebet, hedder en BUSINESS CONTINUITY PLAN.
I sin enkelthed drejer det sig om at analysere, hvad man absolut IKKE kan leve uden og være meget påpasselig med at blande det sammen med, hvad der vil gøre ondt. De kritiske områder, som forretningen ikke kan fortsætte uden, er der ens cyber-investeringer skal prioriteres, og dem skal der være en krystalklar plan for. Eksempelvis kan en e-commercevirksomhed, som er i cloud, have identificeret oppetiden på sin web-platform som det absolut mest kritiske for, at forrentningen kan fortsætte, alt imens at eksempelvis økonomi- og HR-systemer midlertidigt kan erstattes af manuelle processer, selvom det naturligvis vil være besværligt for medarbejderne.
- Ligger back-up-kopien samme sted som de andre systemer, eller har man lavet den rigtige analyse og betaler for at have kopi opbevaret et andet sted?
- Er der aftaler med andre hosting-udbydere, hvis det er den eksisterende, som er ramt?
- Hvor længe kan man leve med de manuelle processer, og er det reflekteret i de aftaler, der er med udbyderne af systemerne?
Hvis analysen er udført rigtigt, rammer ens cyber-investeringer plet og står mål med cyber-risikoen – hvis ikke, spilder man sine penge og risikerer, at ens forretning i værste tilfælde må lukke. Det er afgørende, at alle virksomheder og organisationer gennemfører sin analyse og målrettet designer sine løsninger ud fra de krav, der kommer ud af den.
Når analysen er gennemført, kan man have ro i maven og bruge de penge, man ved er nødvendige, og herfra er det blot et spørgsmål om at øve, at det værst tænkelige sker – mindst én gang om året, så alle centrale medarbejdere kender deres roller og ansvar og ikke først skal til at lære det under det rigtige angreb. Hvis man er lidt usikker på, om man har fået alt med i sin analyse eller planer, er det en rigtig god idé at få en uvildig cyber-sikkerhedsrådgiver til at se den igennem, eller – hvis man hellere vil bruge sin tid på ens kerneforretning – at få eksperterne til at hjælpe med at udarbejde og teste planerne. Når angrebet kommer, er det i hvert fald for sent at gå i gang!
