Varför behövs incidenthantering

Varför behövs incidenthantering

Många kanske ställer sig frågan varför Incidenthantering behövs på ett företag, här hittar ni några svar till denna fråga

Oavsett vad för typ av företag man är så kan det ske incidenter (olyckor, fel som inträffar) och det är då bra att ha en plan för hur dessa
ska behandlas.
Det var inte för så många år sedan som det var en Bank som fick problem med sitt Internetbaserade system och därmed gjorde att i princip alla deras Internetkunder inte kunde betala sina räkningar i tid. Detta var en incident som kanske skulle kunna ha klarats av om företag i fråga hade haft en uppdaterad och bra Incidenthanteringsplan.

Och vad har Sverige att säga om Incidenthantering ?. Enligt Post och Telestyrelsen (PTS) så har dom dokumenterat följande ”En organisations förmåga att förbereda sig inför och reagera på incidenter kan förbättras genom att incidenthanteringen blir en naturlig del i IT-säkrehetsabetet”.
Om det finns riktlinjer samt rutiner för hur Incidenthanteringen ska hanteras så minskar risken för att produktviteteten ska störas.

Vad gör ni om ni blir tex hackade

Det finns enorma mänger verktyg där ute som automatiskt försöker att hacka slumpmässigt valda ipnummer. Finns även de som aktivt bara går på vissa ipnummer som är associerade med olika företag. Så vad gör tex ert företag om ni skulle bli hackade. Om det finns en It-incidenthanteringsprocess på gång så ska en sådan beskriva hur man ska gå tillväga och vad man bör göra för att komma vidare. Självklart kommer en sådan process inte ha alla svar på exakt hur man ska göra men där ska finnas allt som ska behövas för att kunna gå vidare och både reda ut problemet och förhoppningvis även förbättra system så att detta inte händer igen.
En av de viktigaste sakerna med en IT-incidenthanterings process är egentligen att företag i fråga har kontakt med tillräckligt kompetenta partners som dom kan rycka in när det väl händer någonting.
Vi skulle vilja rekommendera Sentor som partner vid IT-Incidenthantering och även för deras säkerhetsanalyser eftersom dom har stor erfarenhet och expertis när det gäller IT-incidenthantering och även deras kunskap i att kunna spåra och hitta hur tex hackers har kommit in i nätverket.

IT-incidenthanteringsprocess

IT-incidenthantering med IT-incidenthanteringsprocess

För de företag som ska ha en IT-incidenthanteringsprocess så måste det finnas rutiner och även processer för hur olika delar av en IT-incident hanteras. När vi pratar om hantering så menar vi hur den registreras, arbetas med och även konklusionen av olika incidenter.
Om vi tittar på ITIL (Se vår sida om förkortningar), så ser vi hur dom tycker att en IT-incident ska hanteras.
Där har vi olika faser.
1. Upptäckande och registrerings fasen.
Det är här som information sammanställs och inhämtas. Påbörjar process för att få support från någon/några.

2. Klassificering.
Här ska man försöka matcha incidenten mot andra kända problem, även försöka bestämma incidentens prioritet.

3. Utredande och diagnos.
Här går det ut på att samla in så mycket information som möjligt samt även skapa en work-around om det finns någon sådan.
4. Lösning och hur man kommer tillbaka.
Här är det mening att det ska finnas en riktig lösning eller att man ska hitta en riktig lösning på problemet och även hur man ska återhämta sig från vad som har hänt.
5. Avslut av Incidenten.
Här ska organistationen bekräfta att lösningen är fungerande och även ska alla aktiviteter uppdateras med mer information.

6. Ägandeskap, övervakning.

Alltid måste det finnas en ägare till problemet/incidenten som gör att processen kommer vidare. Här går det ut på att övervaka och informera användare om vad som har hänt.

Överlag när det gäller Incidenthanteringsprocesser och utredning av IT-incidenter så gäller det att man kan behålla lugnet och inte göra något allt för hastigt. Analysera och förstå vad som har hänt och vad som kan hända om man inte gör någonting. Tänk och agera i grupp så att man inte gör något överilat. Vid efterforskning och granskning så var försiktig så att man inte skapar större problem. Ta gärna in hjälp utifrån så att man kan få mer kött på benen och expertishjälp. Begränsa informationsspridningen till de personer som verkligen behöver den, här gäller även att inte använda osäkra kommunikationskanaler såsom mail mm. Dokumentera och åter dokumentera vad som har hänt, vem som har ansvar, vem som äger problemen, vad och hur allting görs. Prioritera vad och vem som gör vad. Därefter så ska man ta bort problemet och även se till att alla lär sig utav incidenten genom analys och utbildning.

Förebyggande syfte för en Incidenthanteringsprocess

Så se till att redan innan en incident sker ha kunskap och kontaktvägar ut till olika partners som kan bli inkallade och hjälpa till.
Se även till att vara uppdaterade av vad som händer, vilka hot som är aktiva ute idag och vilka som håller på att komma ut.
Finns flertal företag där ute som kan vara behjälpliga med detta så se till att redan på förhand ta ett som har kunskap och personal som kan vara behjälpliga här och göra det som behövs när det väl behövs.

Vi hoppas att detta gett er lite mer insyn i vad en IT-incidenthanteringsprocess ska innehålla. Det finns mycket material att läsa där ute och många kurser som ni kan gå. Oftast är det bäst att få hjälp utifrån till en del av arbetet men att företaget hittar en ägare till IT-Incidenthanterings rollen som gör det mesta jobbet själv.

Intrång

Intrång en form av Incident

Många tror att IT-incidenter bara är när det sker ett intrång i nätverket av hackers etc. Och beroende lite på vad det är för företag och deras verksamhet så kan det faktiskt vara ett av de vanligaste skälen till att det sker en incident. Men för vanliga företag så är det oftast andra problem som uppstår och som då blir en IT-incident.
Anledningen till att intrång och intrångsförsök oftast är de mest skrämmande incidenterna är att de oftast förstoras upp i media. Men även för att det finns en risk att information kan stjälas, produktiviteten sänkas, intäkter försvinna och självklart ett rykte som kan förstöras.
Därav är det tyvärr många som väljer att inte polisanmäla intrång utan dom tystnar ner det internt och går inte vidare med processen.
Intrång är ett rejält hot och det tillkommer dagligen nya sårbarheter och olika verktyg både automatiska och manuella som kan göra skada för ett företag. Som tur väl är så tillkommer det dagligen också ”vaccin” mot dessa sårbarheter i form av AV, IPS, Brandväggar och uppdateringar till sårbara program. Så se till att vara uppdaterad med nyaste uppdateringar och håll koll på nätverket och miljön så blir det svårare för hackers att komma in på nätet. Tyvärr så måste man nog säga att det i princip aldrig kommer att vara omöjligt för en person som verkligen vill komma in på ett nätverk att komma in, det krävs bara tillräckligt med resurser i form av tid, pengar och engagemang och att företaget i fråga inte sköter sitt jobb och säkrar upp sig. Så se till att utför säkerhetsanalys och ta in tredjepart personer som kan hjälpa till att bygga upp ett säkert nätverk med allt vad det krävs.

Kända svenska intrång

Genom åren så har många företag blivit utsatta för olika typer av intrång. Många utav dessa intrång i nätverk anmäls inte men andra anmäls. Några av de som blivit anmälda och uppmärksammade kommer här.

2006 så blev Socialdemokraternas nätverk utsatt för ett intrångsförsök. Det visade sig vara vara en person på 24-år som jobbade för Liberala ungdomsförbundet som gjorde detta intrånget. Intrånget skedde i SAPnet som var ett av Socialdemokraternas externa nät. Där hade personen i fråga loggat in åtminstone 3 gånger och haft tillgång till känslig information.

Hur upptäcker man IT-incidenter

Hur upptäcker man IT-incidenter

Om vi utgår lite från vad Statskontorets IT-kommission har sagt om vad en IT-incident är så ska vi försöka berätta lite mer om hur man kan

upptäcka dessa incidenter i systemet och kanske ge er lite tips och information om vilka företag ni kan ta hjälp av.

Avbrott i försörjningssystem

Med detta så ingår strömavbrott eller avbrott i telekommunikation.
Lättast här är att ha nätverksövervakning på alla de element som finns inne i ett produktionssystem. Då maskiner och utrustning övervakas

kontinuerligt. Ett sätt att skydda sig är också att skaffa UPS anordning och då även övervaka denna med någon form av

nätverksövervakning.

Teniska fel

Fel i tex datautrustning eller i den utrustning som krävs för att kommunikationen ska fungera.
Denna är lite svårare att se, men även här så om man övervakar det mesta med tex SPLUNK eller andra log hanteringsverktyg och även genom

nätverksövervakning så kan det vara möjligt att se om system beter sig såsom dom ska och därmed har man åtminstone mer koll än innan på

detta.
Detta kan vara ett av de svåraste felen att upptäcka då det kan uppstå lite hur som helst och behöver inte alltid se ut på samma

sätt.

Fysisk skada

Här menar dom fysiska skador så som tex bränder eller översvämningar.
Inom denna kategori företag som kan vara behjälpliga här så finns det en hel mängd olika företag. Dessa brukar oftast jobba inom Fysisk

Säkerhet.

Sabotage

Här uppstår incidenter som kommer från Sabotage och vandalisering.
Denna kategori kan egentligen ge uttryck i nästan alla ovanstående incidenttyper. Beroende lite på hur sabotaget ser ut, men för att

övervaka sig mot en del av sabotage från Internet så kan det vara bra att ha IDS, IPS samt brandväggsskydd som skyddar sig mot externa

sabotage attacker. Går man djupare in på hot så finns det olika proxyservrar som kan skydda mot specifika attacker mot specifika typer av

applikationer. Tex så finns det WAF ”brandväggar” (Web Application Firewall) som försöker skydda applikationer mot alla former av SQL

injectioner, CSS angrepp och en hel den injektion attacker. Marknaden är stor och det gäller egentligen att hitta en bra partner som kan

vara behjälplig när det gäller denna form av applikation samt även managering utav dessa. Tyvärr så kräver IDS, IPS, Brandväggar av alla

dess form att man övervakar dom för att få ett bra resultat. Så välj en partner som har stor erfarenhet av installation, konfigurering och

managering av dessa former av enheter. Företagen i fråga bör även ha en tjänst som är aktiv 24/7.

Företag som vi kan rekommendera.
IPS och IDS övervakning av nät
Brandväggsövervakning

Användare

Användare kan även vara en del i att upptäcka IT-incidenter, eftersom det oftast är dom som jobbar mest aktivt med olika system så kan det

även vara dom som först upptäcker när någonting är fel. Så med rätt säkerhetsutbildning, policies för användarna så kan dom vara en viktig

del i motarbetandet och upptäckande fasen av IT-incidenter.

Vad är en IT-incident

Vad är en IT-Incident

Så vad är en Incident, om vi pratar om alla Incidenter så kan det vara allting som är av misstag, olyckor eller helt enklet riktade attacker mot någonting. Det vi kommer att prata om här på denna sida är IT-incidenter. Så hädanefter så när vi talar om incidenter så menar vi IT-incidenter.
En incident kan vara mycket men oftast så brukra dom vara sammanlänkade till utebliven produktivitet av någon form. Vare sig det är hackers eller en person som själv skapat en incident så brukar resultatet oftast bli att det blir någon form av utebliven produktivitet.

Vad säger olika institut om incidenter

Statskontorets IT-kommission säger följande om Incidenter.
”En IT-incident är en oönskad och oplanerad störning och drabbar eller påverkar ett IT-system. En IT-incident kan resultera i allvarliga negativa konsekvenser för ägaren av systemet”.

Om vi går efter ITIL så säger ITIL följande ”Any event which is not a part of the standard operation of a service and which causes, or may cause, an interruption to, or a reducation in, the quality of that service.

SITIC säger följande. ”En verklig eller uppfattad händelse av säkerhetskritisk karaktär i en dator eller ett nätverk”.

Sveriges Statskontor delar upp incidenter i olika grupper.

  • Avbrott i försörjningssystem – strömavbrott eller avbrott i telekommunikation kan resultera i IT-incidenter
    .
  • Tekniska fel- fel i tex datautrustning eller i den utrustning som krävs för kommunikation kan resultera i IT-incidenter.
  • Fysisk skada – fysiska skador så som tex bränder eller översvämningar kan orsaka IT-incidenter
  • Sabotage – IT-incidenter kan även komma från sabotage eller vandalisering.
  • Och vi måste nog hålla med Sveriges Statskontoret IT-kommissionen att detta är det bästa sättet att förklara en IT-incident.

Första inlägg på incidenthantering.se

Med denna sida hoppas vi kunna sprida lite av den kunskapen vi har inom incidenthantering och hur detta ska skötas. Det är viktigt att det finns en incidenthanteringsplan innan alla hackers har möjlighet att utföra ett intrångsförsök på just ert nätverk. Vi kommer även att försöka skriva lite mer om vad man kan göra för att skydda sig från just att hackers kommer åt ens nätverk. Fast själva grundiden med denna sida är att vara ett hjälpmedel i hanteringen om Incidenter och annat. Vi ska även försöka rekommendera olika företag som kan vara behjälpliga när det gäller just incidenthanteringsprocessen och att starta upp en process kring incidenthantering. Så hoppas att ni kommer att hitta det ni letar efter här.

Förkortningar

Förkortningar för Incidenthantering

Ni kommer att hitta flertal olika förkortningar som finns i IT världen.

Här kommer några.
ITIL står för Information Technology Infrastructure Library och är en upsättning dokument som beksirver hur man hanterar en

IT-infrastruktur. Dokumenten är sammanställda av Brittiska Office of Government Commerce (OGC).
Där kan ni läsa om hur olika IT-relaterade uppgifter kan hanteras.

Vi kommer att uppdatera denna lista lite då och då när vi tycker det finns förkortningar som bör uppdateras.