Hendelseshåndtering
Denne veiledningen beskriver viktigheten av å ha en god håndtering av sikkerhetshendelser. Uten en policy og rutine på dette området er det svært vanskelig å ha oversikt over hva som skjer i virksomhetens IKT systemer og nettverk. Veiledningen gir en oversikt over ulike prosesser som er aktuelle i forbindelse med at en IT-sikkerhetsrelatert hendelse inntreffer. Med IT-sikkerhetsrelatert hendelse menes en episode som fører til brudd på konfidensialitet, data- eller systemintegritet og/eller tilgjengelighet.
Risikostyring
Risikostyring er en viktig del av arbeidet med informasjonssikkerhet i enhver virksomhet. I
denne prosessen kartlegges hvilke verdier man ønsker å beskytte og hvilke trusler som eksisterer
mot disse verdiene. Gjennom dette vil man kunne identifisere hvilke typer hendelser som kan oppstå
og derfor må håndteres på en passende måte.
Mer informasjon
NorSIS veiledning om risikostyring
Mer informasjon
NorSIS veiledning om risikostyring
Planlegging
Virksomheten må ha en plan for hvordan sikkerhetsrelaterte hendelser skal håndteres. Uten
prosedyrer for dette, vil en enkelt hendelse kunne ha store konsekvenser for
forretningsdriften.
Mer informasjon
Handbook for Computer Security
Incident Response Teams (CSIRTs)
Incident handling / forensics FAQs
ISO/IEC TR 18044 Information security incident management (må kjøpes)
Incident handling / forensics FAQs
ISO/IEC TR 18044 Information security incident management (må kjøpes)
Responsteam
Et eget team som tar seg av IT-sikkerhetsrelaterte hendelser hjelper virksomheten med å
begrense omfanget og konsekvensene av slike hendelser for en relativt lav kostnad. Det kan
imidlertid gi en positiv effekt at dette teamet har et kontinuerlig godt samarbeid med både ledelse
og øvrige ansatte, og ikke er usynlig i virksomheten så lenge det ikke inntreffer hendelser som
krever aksjon.
Et slikt team kalles gjerne et CSIRT – Computer Security Incident Response Team. Oppgavene til et CSIRT kan inkludere:
Et slikt team kalles gjerne et CSIRT – Computer Security Incident Response Team. Oppgavene til et CSIRT kan inkludere:
analyse av sårbarheter og nye trusler, samt mottiltak til disse
koordinering av respons mot alle typer IT-sikkerhetsrelaterte hendelser
undersøkelse av alle hendelser, inkludert misbruk, ondsinnet kode, svindel og tyveri
problemløsning, opprydding i etterkant av en hendelse
opplæring av ansatte i virksomheten, holdningsskapende arbeid
Denne typen team har vist seg å fungere best i virksomheter hvor det er gjensidig tillit mellom teamet og de øvrige ansatte.
Begrepet ”CERT” – Computer Emergency Response Team – er kanskje noe mer kjent enn ”CSIRT”, men de brukes gjerne om hverandre. CERT er muligens et noe eldre begrep og forbindes gjerne med CERT/CC i USA, som kan sies å være forgjengeren til alle slike responsteam. Det viktigste er imidlertid ikke hva slags benevnelse som brukes på et slikt team, men at oppgaver og roller er tydelig definert.
Logging
Logging og innbruddsdeteksjon er de eneste sikkerhetsmekanismene som personer og bedrifter har
for å detektere at noe unormalt har skjedd på deres maskin eller nettverk. Logging er også den
eneste måten å få svar på viktige spørsmål som dukker opp når en har vært så uheldig å bli utsatt
for et datainnbrudd:
1. Når skjedde innbruddet?
2. Hvem ble påvirket av dette?
3. Hvilke deler av systemet/maskinen/nettet er påvirket?
4. Hvem er angriperen?
5. Hvorfor skjedde dette?
6. Hva skjedde?
7. Hvordan kan jeg sikre at det ikke skjer igjen?
Dette er kritiske spørsmål som bør besvares før bedriften restituerer seg etter et angrep.
Det å logge hendelser på egne systemer vil gjøre det enklere å spore opp kilden til uønskede hendelser, som f.eks. virus og ormer. I tillegg vil logging sikre spor som vil kunne være viktige for oppfølgingen av saken f. eks i forbindelse med en anmeldelse til politiet.
Deteksjon, oppdagelse av hendelse/ sikkerhetsbrudd
Inntrengningsdeteksjon vil si å overvåke trafikken på en enkelt datamaskin eller et nettverk
og analysere den for å se om det er spor etter inntrengning. En inntrengning kan ses på som et
forsøk på å komme seg forbi eksisterende sikkerhetsmekanismer, altså et forsøk på å kompromittere
konfidensialitet, integritet og/eller tilgjengelighet i et system.
Varsling
Det må etableres rutiner for varsling i forbindelse med sikkerhetshendelser, både varsling for
å sikre nødvendige tiltak i organisasjonen, og varsling til enkeltbrukere der dette er nødvendig.
Disse varslingsrutinene må gjøres kjent for alle i virksomheten, slik at enhver vet hvor de skal
henvende seg i et gitt tilfelle.
For at hver enkelt skal være i stand til å varsle rette instans og gi så komplette opplysninger som mulig om hendelsen, må man være i stand til å klassifisere den aktuelle hendelsen. Momenter som må vurderes i denne sammenhengen, er alvorlighetsgrad, konsekvens, kostnad og omfang.
For at hver enkelt skal være i stand til å varsle rette instans og gi så komplette opplysninger som mulig om hendelsen, må man være i stand til å klassifisere den aktuelle hendelsen. Momenter som må vurderes i denne sammenhengen, er alvorlighetsgrad, konsekvens, kostnad og omfang.
Gjenoppretting
Så snart som mulig etter at en hendelse er oppdaget, bør man begynne gjenopprettingen, dvs å
få systemene tilbake til normal drift. Et hjelpemiddel i denne prosessen er sikkerhetskopier
(backup), både av original programvare og egne data. Ved alvorlige kompromitteringer kan det være
nødvendig med full reinstallering av datasystemer. For at gjenopprettingen skal bli 100% vellykket,
er det viktig at hendelsen og dens konsekvenser kartlegges så grundig som mulig.
Nærmere undersøkelser
Parallelt med gjenoppretting bør man starte med nærmere undersøkelser av hendelsen. For det
videre arbeidet med informasjonssikkerhet, er det viktig å finne opprinnelsen og årsaken til det
som inntraff. Kun etter slike undersøkelser er virksomheten i stand til å ta de nødvendige
forholdsregler og endringer i tekniske og organisatoriske tiltak for å hindre at noe tilsvarende
skjer igjen.
Bevissikring kan være en viktig del av disse undersøkelsene dersom hendelsen var en kriminell handling og man ønsker å gå videre med saken. Det finnes verktøy som virksomheten selv kan anskaffe for å sikre bevis, alternativt kan man ta kontakt med eksterne spesialister på området. Dersom saken skal anmeldes, vil det være naturlig å kontakte politiet for bistand til bevissikring.
Resultatet av slike undersøkelser vil normalt inngå som en del av rapporteringsgrunnlaget (se under).
Bevissikring kan være en viktig del av disse undersøkelsene dersom hendelsen var en kriminell handling og man ønsker å gå videre med saken. Det finnes verktøy som virksomheten selv kan anskaffe for å sikre bevis, alternativt kan man ta kontakt med eksterne spesialister på området. Dersom saken skal anmeldes, vil det være naturlig å kontakte politiet for bistand til bevissikring.
Resultatet av slike undersøkelser vil normalt inngå som en del av rapporteringsgrunnlaget (se under).
Rapportering
En IT-sikkerhetsrelatert hendelse skal alltid rapporteres. Virksomheten må ha egne
retningslinjer på hvilke typer hendelser som skal rapporteres til hvilke instanser. Retningslinjene
for rapportering må ses i forhold til retningslinjene for varsling nevnt over; rapportering har som
hovedformål å dokumentere hendelser for senere bearbeiding, mens varsling er mer relatert til
skademinimalisering i hendelsesøyeblikket.
Avhengig av hvilken sektor man hører innunder, kan man ha plikt ifølge lovverket til å rapportere sikkerhetshendelser til tilhørende statlige tilsyn eller tilsvarende organ. I andre sammenhenger kan det være tilstrekkelig med intern rapportering av enkelthendelser.
Dersom det dreier seg om en kriminell handling, og virksomheten ønsker å anmelde saken, skal man ta kontakt med sitt lokale politikammer. Dette må skje så snart som mulig i tilfelle det skulle være behov for å sikre bevis for ugjerningen.
Senter for informasjonssikring (SIS) ønsker å motta rapporter om alle mulige IT-sikkerhets¬relaterte hendelser. Hos SIS kan du få råd og hjelp når du er midt oppi en krisesituasjon. All informasjon knyttet til konkrete hendelser behandles i tråd med den aktuelle virksomhetens krav til konfidensialitet.
Avhengig av hvilken sektor man hører innunder, kan man ha plikt ifølge lovverket til å rapportere sikkerhetshendelser til tilhørende statlige tilsyn eller tilsvarende organ. I andre sammenhenger kan det være tilstrekkelig med intern rapportering av enkelthendelser.
Dersom det dreier seg om en kriminell handling, og virksomheten ønsker å anmelde saken, skal man ta kontakt med sitt lokale politikammer. Dette må skje så snart som mulig i tilfelle det skulle være behov for å sikre bevis for ugjerningen.
Senter for informasjonssikring (SIS) ønsker å motta rapporter om alle mulige IT-sikkerhets¬relaterte hendelser. Hos SIS kan du få råd og hjelp når du er midt oppi en krisesituasjon. All informasjon knyttet til konkrete hendelser behandles i tråd med den aktuelle virksomhetens krav til konfidensialitet.
Tips til beslutningstakere
Skaff deg en oversikt over hvilke myndighetsinstanser man er pliktig å forholde seg til
innenfor din virksomhet
- Lær av andre virksomheters måte å organisere responsteam
- Delta på arrangementer hvor IT-sikkerhetsfolk møtes
- Hold fokuset på informasjonssikkerhet på et jevnt høyt nivå blant alle medarbeidere
- Vær bevisst på at ledelsen alltid fungerer som forbilder, både positivt og negativt
Tips til deg som er midt oppi en situasjon
Skaff til veie så mye informasjon om hendelsen som mulig, dette er viktig for å få oversikt i øyeblikket og for å få ryddet ordentlig opp etterpå. Kanskje kan også noe komme til nytte som bevismateriale i en evt. rettssak.
Ta kontakt med Norsk senter for informasjonssikring
Vurdér om hendelsen bør anmeldes eller ikke, ta evt. kontakt med ditt lokale
politikammer
Sist oppdatert: 2006-11-06
