Mens vi andre handlet julegaver, gikk alarmen hos Nordic Choice. Mens vi pyntet pepperkaker, gikk alarmen hos Nortura og mens vi var på skitur i romjulen gikk alarmen hos Amedia. Dessverre er det nesten slik i dag at det ikke er et spørsmål om man blir rammet av et dataangrep, men når.
Nå skal ikke dette innlegget handle så mye om hvordan man best bør beskytte seg mot slike typer angrep i utgangspunktet, for her er allerede mye bra skrevet av NSM og andre aktører. Dette innlegget skal prøve å belyse noen sider som nok en del virksomheter ikke har tenkt så mye over, før beredskapsalarmen går hos nettopp dem.
Store norske leksikon definerer beredskap som følger: "Beredskap er det å være forberedt til innsats for å møte uventede kritiske situasjoner". Dette er en kort og god forklaring og noe alle virksomheter bør ha et forhold til. Mange virksomheter som ikke har historikk for å være i en trusselutsatt bransje, har ikke nødvendigvis tenkt så mye på viktigheten av beredskaps- og kontinuitetsplaner, utover at "dette er noe vi må ha". Men dagens trusselbilde er noe helt annet enn det var for bare 5-10 år siden.
Før var det ikke så mange direkte trusler, spesielt ikke med intensjon om å ødelegge eller drive storstilt utpressing mot virksomheter i trygge Norge. Det har alltid vært svindlere og kjeltringer som man har måttet passe seg for, men dette er noen helt annet enn store profesjonelle kriminelle aktører som anonymt kan sitte bak et tastatur i et helt annet land og prøve seg på alle. Deres fremste våpen er å ta datasystemene som gissel for så å tvinge virksomheten ned i knestående og få dem til å betale store summer til bakmennene.
For når angrepet og krisen er et faktum, alarmen går og de sentrale systemene er utilgjengelig, vil det dukke opp mange spørsmål hos kriseledelsen.
- Hvordan kommuniserer vi hvis e-post serveren er nede eller skrudd av?
- Skal det kommuniseres ut på SMS? Har vi numrene til de ansatte, eller ligger dette i HR-systemet som også er tatt ned?
- Har vi tilgang til beredskaps- og kontinuitetsplanene som lå på serveren?
- Hvilken systemer skal IT prioritere å få opp først?
- Hvis lønnssystemet er tatt ned, hvordan får vi utbetalt lønn til de ansatte om 5 dager?
- Hvordan finner vi ut om data er på avveie? Hvilke personopplysninger behandler vi og har vi kontroll på hvor forretningshemmeligheten er lagret?
- Har vi backup av alt?
Det første man ofte opplever i en ny krisesituasjon, er alle de tingene man aldri har tenkt på før.
Det er behov for å agere raskt og gjøre tiltak, men med dette følger det mange spørsmål man gjerne skulle hatt svaret på, før tiltakene iverksettes. Og for hvert nye spørsmål som dukker opp, kommer det mange oppfølgingsspørsmål som man mest sannsynlig ikke har svaret på der og da.
Men trøsten her er at alle eksemplene ovenfor fint kan, og ikke minst bør, utredes i "fredstid" og før krisen er et faktum. Beredskaps- og kontinuitetsplanverk til enhver virksomhet bør i dag inneholde og ta høyde for delvis og helt bortfall av IKT. Anbefalingene her er å ha en metodisk tilnærming hvor man først kartlegger og identifiserer behov, utarbeidet planverk og deretter øver.
Kartlegging
- Gjennomfør en kartlegging av bedriftens kritiske funksjoner, tilhørende systemer og hva konsekvensene vil være ved bortfall av disse.
- Sett opp en prioriteringsliste over systemer og tjenester ut fra funnene fra kartleggingen
- Identifiser trusler og scenarier som kan treffe virksomheten
- Identifiser mulige tiltak som kan gjennomføres hvis scenariene inntreffer
- Identifiser målgruppene og behov for kommunikasjonsbudskap og kanaler. Ansatte, samarbeidspartnere, kunder, media osv.
Planverk
Neste del er å bruke all den kunnskapen virksomheten har tilegnet seg ovenfor, til å utarbeide moderne beredskaps- og kontinuitetsplaner. Under utarbeidelse av dette planverket, husk på de gode grunnleggende prinsippene for beredskap vi har i Norge. Disse er skrevet fra et samfunnsperspektiv, men er like gjeldende internt i en virksomhet. Så bytt ut organisasjon når man leser nedenfor med divisjon, avdeling eller seksjon etter hva som passer deres virksomhet best.
1. Ansvarsprinsippet
Den organisasjon som har ansvar for et fagområde i en normalsituasjon, har også ansvaret for nødvendige beredskapsforberedelser og for å håndtere ekstraordinære hendelser på området.
2. Likhetsprinsippet
Den organisasjon man opererer med under kriser, skal i utgangspunktet være mest mulig lik den organisasjon man har til daglig.
3. Nærhetsprinsippet
Kriser skal organisatorisk håndteres på lavest mulig nivå.
Klarer man å ta inn disse prinsippene i beredskapsplanverket og håndteringer av krisen, vil man være godt rustet den dagen alarmen også går i din egen organisasjon. Kriser generelt sett er krevende for mennesker, så jo likere hverdagen man klare å skape håndteringen, jo mer effektiv vil håndteringen være.
Øvelser
Til slutt, øv planverket, øv virksomheten, øv menneskene. All lærdom man kan trekke ut av øvelser og implementere til den dagen det er en reell krise som må håndteres, vil være verdt mangedobbelt av den tiden virksomheten har satt av til å øve. Øvelser kan gjennomføres på forskjellige måter og i ulike skalaer. Begynn gjerne i det små med enkle skrivebordsøvelser med utvalgte deltagere, for å teste ut planverk og rolleforståelse. Etter hvert som modenheten øker, bør man prøve ut spilløvelser som tester ut reelle scenarier og hele virksomheten.
