Cybersecurity & Infrastructure Security Agency (CISA) och MSB har publicerat några artiklar om cybersäkerhet och vad man ska tänka på. Vi kommer att summera upp dessa här indelat i de olika kategorierna, men även lägga till några av våra egna tankar på vad som är viktigt. CERT-SE påminner om vad som måste göras. Dom presenterar tre kategorier (nämnda nedan) som bör ses över löpande.
Cyberbrottsligheten har ökat markant under pandemin de senaste åren. Det påverkar allt från små till stora företag. Vi såg ex hur vissa av Coops system fick Ransomware, men även en kommun i Sverige.
Allmänt
Se till att det finns ett team redo och utbildade om man blir utsatt för ett cyberangrepp. Det är viktigt att det finns bland annat en generell krisplan, information om hur man återläser de absolut viktigaste systemen.
Varje företag måste identifiera sina viktigaste system och applikationer och implementera backup & säkerhet som är i linje med de förväntningar man har. Ett exempel är att man har dokumenterat vilka system som är produktions kritiska och att man har rutiner om dessa system slutar fungera. Vi brukar använda oss av tre olika kategorier där man har olika förväntningar för varje kategori.
Röda system
Dessa är produktions kritiska och företaget kan ej producera utan dessa system. Förväntningarna är oftast högre på att kunna återställa systemen snabbt, men även att man inte förlorat data en längre tid tillbaka. Många tar backuper en gång om dagen och detta kan vara väldigt många timmars produktion som inte går att återställa. På “röda” system tar man oftast ex. system backup var fjärde timme och databas/applikations backup var 15: de minut.
Det ska finnas ordentlig dokumentation, Systemen anslutna till UPS: er och i många fall redundans.
Blåa system
System som är viktiga för produktionen men som fortfarande går att producera utan. Oftast relativt höga förväntningar på att kunna återställa systemet inom några timmar och fortfarande inte tappa data någon längre tid tillbaka.
Gröna system
Här hittar vi oftast applikationer som underlättar vissa uppgifter, det kan exempelvis vara en spegling utav en annan dator. Dessa system är oftast viktigare att det finns en fullständig dokumentation kring än att funktionen återställs på några timmar.
För all personal
- Utbilda personalen i nätfiske genom utbildningar, träning och automatiserade tester.
- Använd en lösenords hanterare för att generera unika lösenord till varje applikation.
- Att alla rapporterar avvikande funktionalitet och händelser i företagets IT-system.
- Installera säkerhets uppdateringar för både operativsystem men även de programvaror man använder. Det ska göras på alla enheter även telefoner, surfplattor mm.
- Använd inte privata enheter som inte kontrolleras av företaget.
- Använd alltid multifaktorsautentisering.
För teknisk och driftpersonal:
- Multifaktorsautentisering för alla applikationer och inloggningar.
- Använd alltid VPN för att få åtkomst till företagets tjänster eller andra nätverks enheter.
- Minsta möjliga behörighet för användare, enbart administratörer ska kunna installera programvaror. Användare ska inte komma åt utdelade filer som dem ej har behov utav.
- Implementera system där användare får be om behörighet till tjänster, och att minst en person behöver godkänna (ex närmaste chef) denna begäran.
- Kontrollera och testa säkerhetskopior så dessa motsvarar de behov som finns.
- Använd ZeroTrust så man endast tillåter godkända programvaror.
- Kontrollera så att alla portar och protokoll som ej används är blockerade.
- Att det finns verktyg där man snabbt kan identifiera ovanlig nätverkstrafik och att man sparar loggar för att kunna utreda vad som har hänt.
För IT-Chefer:
- Nästan alla organisationer väger säkerhet & drift mot kostnader och risker för produktion. Detta betyder att det är viktigt att en IT-Chef får vara med i beslutsprocessen vid exempelvis upphandling av nya programvaror eller stora förändringar i företaget.
- Alla säkerhets incidenter ska rapporteras oavsett om incidenten blivit blockerad av säkerhetsprogram eller inte.
- Medverka och genomföra regelbundna tester av processer vid ett cyber angrepp. Viktigt alla alla förstår sin roll och vad som ska göras vid en attack. (Detta inkluderar all personal, diverse chefer och ledningsgrupp)
- Efter analys av verksamhetens system få en budget där man både kan åtgärda sårbarheter som finns, men även en långsiktig plan på förbättringar över tid.
- Planera för det värsta, Se till att det finns dokumenterade åtgärder vid intrång av IT-systemen.