I januar i 2021 opplevde Østre Toten kommune å bli angrepet av et løsepengevirus. Alle kommunens datasystemer ble kryptert og låst, og hackere krevde løsepenger for å gi tilgangen tilbake. Da 1300 ansatte kom på jobb hadde de kun penn og papir til å hjelpe seg.
Følgene av angrepet var enorme. Gjenopprettingskostnaden var alene på over 30 millioner kroner. I tillegg har Datatilsynet varslet en bot på 4 millioner.
Kostnadene for gjenoppretting vil for de fleste bedrifter være alvorlige. Men, det er ofte ikke her de største kostnadene ligger. Særlig for de små og mellomstore virksomhetene vil tiden det tar å komme tilbake til normal drift være den største økonomiske faren. Når man ikke kan produsere varer eller yte de tjenestene man tjener penger på, kan det bety en helt reell fare for at virksomheten bukker under.
Planlegg for det verste
Selv de dyreste og de beste systemer vil før eller siden ha feil som kan utnyttes av personer med onde hensikter. Selv med gode rutiner og godt innarbeidede instrukser for IT-sikkerhet så er man også til enhver tid bare ett ubetenksomt klikk unna å ha åpnet dørene for et angrep. Dette betyr at man må planlegge for at en hendelse før eller siden vil skje.
Det er da viktig å ha gjort en risikovurdering av hva det vil kunne bety å være uten datasystemer på kort og lang sikt. Sticos anbefaler å starte med de største og mest åpenbare utfordringene, og så bygge videre på disse. Noen stikkord:
- Stans i produksjon, salg, tjenesteyting,
- lønnssystemene er utilgjengelige,
- systemer for fakturering er nede,
- digital kommunikasjon kan ikke brukes,
- sensitive opplysninger er stjålet,
- man får omdømmetap og medieoppmerksomhet, og
- plikt til å varsle tilsynsmyndigheter.
Beredskapsplan
Beredskapsplanen må kunne gi veiledning til alle disse problemstillingene som oppstår ved et dataangrep. Mange virksomheter har planer for å håndtere hendelser som brann, flyulykker eller oversvømmelser, men ofte mangler det en plan ved dataangrep. Dataangrep skjer langt hyppigere enn andre ulykker, og er derfor vel så viktig å planlegge for. Metoden er lik, så om man har beredskapsplaner fra før kan man få gjort mye med relativt lite arbeid.
Hva må en beredskapsplan inneholde?
Enkelt sagt skal en beredskapsplan inneholde informasjon om hvem som gjør hva og hvordan dersom man blir utsatt for et dataangrep. Planen må ta utgangspunkt i risikovurderingen man har gjort, og beskrive hvordan de situasjonene enten kan unngås eller ha så små konsekvenser som mulig.
Lyst til å lære mer om personvern og informasjonssikkerhet? Sjekk ut vårt nettkurs om temaet
Ved en datasikkerhets-krise må man sørge for at man har orden på hvem som har ansvar:
- Hvem tar endelige avgjørelser og er den som kan erklære krise?
- Hvem tar den tekniske ledelsen?
- Hvem sørger for dokumentasjon av hendelsen og arbeidet med gjenoppretting?
- Hvem sørger for varsling til tilsynsmyndighetene, kunder, og samarbeidspartnere?
- Hvem vurderer situasjonen for de ansatte og håndterer grep som må gjøres og kommunikasjon?
Kriseteamet må i fellesskap vurdere hva som skal gjøres. Beredskapsplanen må derfor inneholde konkrete forslag til tiltak, som også gir veiledning til hvordan tiltakene kan gjennomføres. Detaljene her vil komme an på situasjonen i den enkelte virksomhet. Utgangspunktet må her også være risikovurderingen.
Eksempel på tema som bør vurderes:
- Hvordan varsles kriseteamet og hvor samles man?
- Plan for gjenoppretting av systemer, f.eks. fra backup eller ved sletting og reinstallering av programvare.
- Instruks for når innhenting av ekstern bistand er nødvendig, hvem man kontakter og hvordan.
- Rutine for varsling til politiet og lovpålagt varsling til Datatilsynet.
- Plan for hvordan permitteringer av ansatte skal gjennomføres dersom det blir nødvendig.
- Kartlegging av muligheter for leie av lokaler/produksjonsutstyr for å sikre videre drift.
- Plan for hvordan kommunikasjon med media og i sosiale medier skal gjennomføres.
Når beredskapsplanen er på plass, gjenstår det å informere ledelse og medlemmer av kriseteamet. Planen bør gjennomgås, og vi anbefaler at man “snakker seg gjennom” en tenkt krisesituasjon, nærmest som en brannøvelse, for å se om planen har svakheter og for å forsikre seg om at alle er kjent med innholdet.
Så er det fristende å legge planen i skuffen og håpe at man aldri får bruk for den. Men husk, virksomheter endrer seg, og verden endrer seg raskt. Situasjoner man tenkte på for et år siden vil kanskje kreve andre tiltak enn i dag. Derfor bør planen komme opp av skuffen en gang i året for gjennomgang, bevisstgjøring, og øving.
Få aktuelle nyheter innen personal, regnskap, økonomi og personvern. Følg Sticos på Facebook, LinkedIn og meld deg på vårt nyhetsbrev.