IRT - Incident Response Team

Vegard Vaage 18. feb 2022


Vegard Vaage er leder for penetrasjonstesting og Incident Response Teamet til Netsecurity. Incident Response er det teamet som rykker ut når en bedrift sine datasystemer er blitt hacket og man trenger å begrense skadene av et cyberangrep. IRT har mange oppgaver, blant annet å finne ut av hva som har skjedd, hvordan man kan begrense skadene og stoppe angrepet og de er også trent i krisehåndtering og sikring av bevis.

Her forteller Vegard mer om hva Incident Response Teamet til Netsecurity kan hjelpe bedriften din med, og hvorfor det er så viktig. 

Tenk deg at….. 

Du har vært på hytta i helgen. Når du kommer hjem finner du bare en ruin der huset ditt stod. Brannbilen rykket aldri ut og ingen la merke til at det brant. Du har mistet alle verdiene du eide. Du hadde ikke installert brannvarslere som via et alarmselskap kunne gitt beskjed til brannvesenet, for du syntes det var for dyrt. Dessuten var du helt sikker på at uhellet aldri kom til å ramme deg. Du var jo alltid så forsiktig med å skru av komfyren, slukke levende lys, kontrollere det elektriske anlegget og trekke ut kontakten til apparater du ikke brukte. 

IRT - incident response team, er som brannvesenet som rykker ut når uhellet er ute og bedriften din har blitt hacket, du er blitt låst ute fra systemene eller det er blitt gjort andre skader på datasystemene dine. 

Hadde personen i historien over installert brannalarmer og betalt et alarmselskap, ville kanskje ikke huset brent ned. På samme måte er det med IRT. Har du en avtale med oss, får du umiddelbar hjelp når du blir angrepet. 

En hendelse fra det virkelige liv

Jeg opplevde nylig at alarmen gikk hos en av kundene våre. Et angrep var i gang via en av virksomheten sine laptoper.   Vi undersøkte de digitale sporene og kom på den måten i kontakt med den det gjaldt. Når kunden henvendte seg til vedkommende for å få klarlagt hendelsesforløpet stilte vedkommende seg helt uforstående til situasjonen, og nektet for å ha gjort noe som var i strid med retningslinjene for IT-sikkerhet.

Dette er ikke en uvanlig situasjon - mange blir defensive og  forsøker å skjule feilene de har gjort. Dette er enda vanligere hos virksomheter der man ikke har en forbedringskultur der man ser på årsakene til at noe ble feil, men heller prøver å fordele skyld.

Heldigvis handlet dette om en bedrift vi har samarbeidet med over tid. De har gode rutiner for sikkerhet og hendelseshåndtering. Derfor kunne vi undersøke aktiviteten på den gjeldende datamaskinen, og etter litt diskusjon, innrømmet eieren av datamaskinen at et program var lastet ned for privat bruk. Det viste seg at programmet inneholdt skadevare som hadde hadde tatt kontroll over maskinen og som hadde potensiale til å gjøre stor skade i bedriftens datasystemer når det først hadde sluppet inn. 

Ved videre etterforskning kunne vi konstatere at situasjonen hadde blitt stoppet i tide - angriperne hadde ikke fått tid til å ta steget videre inn i resten av virksomheten sin infrastruktur.

Angrepet ble stoppet fordi dette var en bedrift som har gode rutiner på sikkerhet og hendelseshåndtering. 

Lønner det seg å investere i datasikkerhet?

Andre bedrifter - særlig små og mellomstore bedrifter med begrensede ressurser å bruke på å sikre systemene sine, er ikke alltid så heldige. Det er enorme verdier som står på spill, men før man har opplevd et datasikkerhetsbrudd kan det være vanskelig å se verdien av å skulle bruke masse penger på noe man ikke tjener penger på. 

  • Faktum er at det årlig går milliardbeløp tapt på bakgrunn av cyberkriminalitet. 
  • Faktum er at mange små og mellomstore bedrifter som utsettes for cyberkriminalitet går dukken fordi tapene blir så store at de ikke kan fortsette. 
  • Faktum er at det å investere i cybersikkerhet og få installert systemer som kan overvåke og beskytte dataene dine, i det lange løp vil lønne seg. 

For med dagens trusselbilde er det ikke lenger snakk om OM du blir hacket. Det er snakk om NÅR, og at det da er viktig å ha de riktige redskapene på plass, slik at skadene kan begrenses. 

Hvem står bak cyberangrep, og hvordan angriper de? 

Fram til 2000- tallet var hacking noe som ble gjort av enkeltpersoner, men utover 2010-tallet, kom regime-backede hackergrupper tydeligere på banen, og i dag er de profesjonelle, statlige gruppene de som ofte er lengst fremme. Det handler om grupper som er finansiert av land som Russland, Kina, Nord-Korea og Iran. Det er i dag relativt vanlig at etterretningstjenester benytter seg av hackere som en del av sin verktøykasse. Rent kriminelle aktører finnes også, med varierende grad av ferdighet, og det er disse som vanligvis rammer næringslivet. Andre hackere er ideologisk motivert, og bruker ferdighetene sine til å fremme sin sak ved å ødelegge og/eller skape publisitet. 

De mest avanserte gruppene, som kan bruke så lite som 12 minutter (pr. 2022) på å bryte seg inn og ta over et datasystem. 

Måten det gjøres på varierer fra skadevare som lastes ned via andre programmer, til phishing e-poster som ansatte åpner og som gir en vei inn i datasystemene til en bedrift. 

Skaden kan bestå i alt fra at man lukkes ute fra systemene sine gjennom digital utpressing, identitetstyveri i form av at det sendes eposter med en tilsynelatende riktig avsender, til endring av kontonumre på fakturaer, eller tyveri av forretningshemmeligheter. 

Alltid forberedt

Det er viktig å ha gode rutiner på plass, at man øver på mulige hendelser, og at de ansatte har tydelige retningslinjer når det kommer til hvordan de skal forholde seg til jobb-pc, passord og generell datasikkerhet.

Dette er en del av det vi i IRT jobber med. For oss er det viktig at vi kjenner bedriftene vi skal jobbe med, at vi er kjent med både ledelse, sikkehetsansvarlige og ansatte samt datasystemene deres.

Vi ser at de av våre kunder som kommer best ut av sikkerhetshendelser er de som har forberedt seg på at noe kan skje før hendelsen inntreffer. Som en fundamental del av vår IRT-tilbud hjelper vi kundene våre med å jevnlig sikre at beredskapsplanene er gode nok, at man har øvd i praksis på hva man skal gjøre når alarmen går, at de alarmene man har faktisk virker og at noen faktisk får det med seg hvis de blir utløst. 

Vi oppnår dette ved teoretiske og praktiske øvelser og workshops sammen med kunden, samt en detaljert onboarding for å sikre at vi kjenner nøkkelpersoner og teknisk infrastruktur i forkant.

Time is of the essence.

Med tanke på hvor raskt de store aktørene for cyberkriminalitet klarer å bryte seg inn i datasystemer, er det viktig at det handles raskt når en kritisk alarm går og bedriften er under angrep. Hos Netsecurity har vi døgnvakt, slik at det alltid er noen som følger med og er klare til å handle når det trengs. De som er kunder hos oss er garantert hjelp, andre kan risikere å måtte vente. 

Når uhellet er ute og man opplever et cyberangrep, er det viktig at man ikke begynner å handle på egenhånd. Skrur man bare av serverne, risikerer man å miste viktig informasjon om hva det er som foregår. Det er bedre å vente til hjelpen kommer og lytte til ekspertene før man handler. 

Kriseledelse og NSM-sertifisering sikrer kvalitet

Opplever man et sikkerhetsbrudd og det å bli stengt ute fra datasystemet sitt, kan det i mange tilfeller lede til full krise i både ledelse og for de ansatte, og kriseledelse er en av de tingene Incident Response Teamet er trent på å håndtere. Vi har også tydelige prosedyrer for å sikre bevis og sjekklister for gjennomgang av systemer. På den måten sørger vi for å gjøre de riktige tingene i riktig rekkefølge når temperaturen er høy og det koker. 

Netsecurity er sertifisert av Nasjonal Sikkerhetsmyndighet (NSM). Dette er et kvalitetsstempel i forhold til vår arbeidsmetodikk når det kommer til krisehåndtering ved datainnbrudd, og et bevis på at vi følger best practice og har gode rutiner på plass. Alle våre hendelseshåndterere er også sertifisert innen faget.

Hvis du fortsatt er i tvil om hvordan vi kan hjelpe deg å sikre deg mot innbrudd, så ta kontakt, så forteller jeg deg gjerne mer om hvordan vi jobber for å forebygge og sikre bedriften din mot cyberkriminalitet. 

 

1.mars holdt vi et IRT webinar om nettopp dette. Ønsker du å se opptak av webinaret? Last det ned her.

New call-to-action