Håndtering av informasjonssikkerhetshendelser blir ofte sett på primært som en teknisk øvelse: Maskiner har blitt infisert, systemer er nede, eller man oppdager mistenkelig aktivitet i nettet – og nå må maskiner oppdateres, brannmurkonfigurasjoner sjekkes, osv. Det tekniske arbeidet som gjøres for å få kontroll over situasjonen er selvfølgelig helt nødvendig. Flere studier peker imidlertid på kommunikasjon og samarbeid som en nøkkel til å oppnå effektiv håndtering av hendelser i et langsiktig perspektiv.
Standarden ISO/IEC 27035 beskriver hvordan man kan etablere prosesser for å håndtere informasjonssikkerhetshendelser på en strukturert måte. Arbeidet deles opp i fem faser, og involverer alt fra planlegging, til deteksjon av hendelser, vurdering av situasjonen, det å komme med en respons, og det å lære fra hendelser.
I 2005-2008 gjorde vi en studie av hva den norske oljesektoren tenkte og gjorde når det kom til håndtering av informasjonssikkerhetshendelser – spesielt relatert til overgangen til integrerte operasjoner der mer og mer ble styrt fra land. Noen av funnene vi fant da var:
- Mange manglet en enkelt plan som håndterte hele prosessen med håndtering av informasjonssikkerhetshendelser. Ofte var det flere ulike planer som var relevante og dekket deler av prosessen. Planen var dermed lite tilgjengelig.
- Leverandører var i liten grad involvert i planlegging av hendelseshåndtering, selv om operatøren ofte ville være avhengig av samarbeid med leverandører for å håndtere hendelser.
- Scenariotrening ble ofte gjennomført for hendelser relatert til for eksempel HMS. Dette ble imidlertid sjelden eller aldri gjort for informasjonssikkerhetshendelser.
- Ulike holdninger og kultur hos prosessingeniører og IT-folk førte til liten grad av tillit mellom disse to gruppene. Effektiv deteksjon og håndtering av hendelser var imidlertid avhengig av at disse gruppene samarbeidet og forstod hverandres behov og prioriteringer.
- Informasjonssikkerhet ble sett på mest som en teknisk greie.
- Informantene var enige i at læring fra hendelser var veldig viktig. Læring var imidlertid vanskelig å få til i praksis.
Disse funnene peker alle på behov for å få til bedre samarbeid og kommunikasjon relatert til håndtering av informasjonssikkerhetshendelser.
I ettertid har det blitt gjort flere studier av andre forskere, og disse fremhever mange av de samme utfordringene. En studie så på hvordan man gjennomførte læring fra hendelser i et stort finansfirma. En annen identifiserte hvordan hendelser ble detektert og diagnostisert hos forskjellige virksomheter. Begge fremhever behovet for å kommunisere med mange aktører – for å bli varslet om mulige hendelser, for å finne ut hva som faktisk skjer, for å informere relevante aktører, og for å spre lærdom i ettertid.
Fokus på den tekniske siden av hendelseshåndtering går også igjen i studiene. Læringsprosesser involverer primært teknisk personell, og håndteringen er primært fokusert på tekniske tiltak. Og selv om det i noen tilfeller blir vurdert om de tekniske sårbarhetene kan være symptomer på underliggende svakheter ved rutiner og organisering, blir slike lærdommer ofte ikke spredt i stor nok grad til rette vedkommende. Lærdommer fra hendelseshåndteringen blir også i for liten grad brukt som underlag for risikovurderinger. Dette handler ikke om vond vilje, men heller om lav bevissthet rundt hvem som kan ha interesse av å motta informasjon. Fokuset på brannslukking kan også skyve mer langsiktige hensyn til side.
Det har tidligere på denne bloggen blitt pekt på utfordringene sikkerhetsfolk ofte har med å kommunisere med ledelsen. Jeg har ikke svaret på hvordan vi løser problemene med kommunikasjon relatert til informasjonssikkerhet. Men jeg tror det er viktig å starte med en erkjennelse – en erkjennelse av at informasjonssikkerhet ikke bare handler om det tekniske, og en erkjennelse av at også de som ikke egentlig jobber med informasjonssikkerhet kan ha en viktig rolle i å øke sikkerheten og også håndtere de brudd som måtte skje. Mange har en slik erkjennelse også i dag. Det er mye fokus på å øke sikkerhetsbevisstheten hos alle ansatte. Det er også fokus på viktigheten av ledelsesinvolvering. Men når det kommer til stykket – når vi kommer inn på de tekniske og avanserte delene av informasjonssikkerhetsarbeidet, som det å håndtere uønskede hendelser – er vi da interesserte i å ta jobben med virkelig å involvere andre? En av studiene nevner kommunikasjon som en av fem nøkkelferdigheter i arbeidet med hendelseshåndtering. Kanskje bør det gis større anerkjennelse til de sikkerhetsfolkene som er gode på kommunikasjon, samarbeid og involvering?
Kommenter gjerne på innlegget – det ville være interessant å høre flere sine tanker om dette temaet!
For de som ønsker mer informasjon om de studiene som er nevnt over så er de dokumentert i følgende artikler:
- M. G. Jaatun, E. Albrechtsen, M. B. Line, I. A. Tøndel, and O. H. Longva, “A framework for incident response management in the petroleum industry,” International Journal of Critical Infrastructure Protection, vol. 2, pp. 26-37, February 2009.
- R. Werlinger, K. Muldner, K. Hawkey, and K. Beznosov, “Preparation, detection, and analysis: the diagnostic work of IT security incident response,” Information Management & Computer Security, vol. 18, pp. 26 – 42, 2010.
- A. Ahmad, J. Hadgkiss, and A. B. Ruighaver, “Incident response teams – Challenges in supporting the organisational security function,” Computers & Security, vol. 31, pp. 643-652, 2012.