De fleste er enige om at beredskapsøvelser er viktige. Det holder ikke med skriftlige planer for hva vi skal gjøre den dagen det smeller, da er vi avhengige av at vi vet hva vi skal gjøre, at vi evner å tenke kreativt og improvisere, og at vi greier å ta raske og riktige beslutninger. Hvis vi ikke øver, så får vi det heller ikke til i en krisesituasjon. Men hvordan kan vi best mulig øve på dette?
Mine intervjustudier i kraftbransjen viser at det øves altfor lite i dag. Men disse selskapene er veldig gode på generelle beredskapsøvelser – det er bare det at de så altfor sjelden bruker IT-sikkerhetshendelser som utgangspunkt for øvelsen. Er det noe spesielt med IT-sikkerhet som gjør det vanskeligere å øve? Er det spesielle hensyn som må tas i en slik øvelse? Eller er det bare lettere å prioritere øvelser som handler om stormer og branner og slikt som vi kjenner bedre på kroppen om det skulle inntreffe? Og i neste runde, hvis det gjennomføres en IT-sikkerhetsøvelse, hvordan kan denne øvelsen legges opp slik at den har stor nytteverdi og god læringseffekt?
I høst gjennomfører jeg en studie av slike beredskapsøvelser hvor det øves på å håndtere IT-sikkerhetshendelser. Jeg inviterer meg med som observatør når nettselskaper (i kraftbransjen) skal gjennomføre en slik øvelse og ser på hvordan samspillet er mellom deltakerne under diskusjonen. Øvelsene legges opp ut ifra en scenariobeskrivelse hvor deltakerne får påfyll av informasjon med jevne mellomrom. Målet med studien er å se på hvilke utfordringer de møter i en slik øvelse, hvor deltakerne er fra ulike deler av organisasjonen, og utarbeide anbefalinger til framtidige gjennomføringer av beredskapsøvelser for IT-sikkerhet.
Jeg veileder også to studenter i deres høstprosjekt, hvor oppgaven går ut på å beskrive hvordan en beredskapsøvelse for IT-sikkerhet kan og bør legges opp. Dette arbeidet går først og fremst fram til jul, men det er muligheter for en fortsettelse gjennom våren 2015.