Beredskapsøvelser for IT-sikkerhetshendelser prioriteres altfor lavt i dag. Til dels skyldes dette trolig at selskapene ikke forstår hvordan de skal øve effektivt eller at de ikke opplever stor nok nytte av å øve. Derfor har vi studert hvilke utfordringer nettselskapene (kraftbransjen) møtte underveis i en øvelse for å komme fram til noen anbefalinger om hvordan de kan øve bedre og mer effektivt. Våre resultater er også viktige for at norsk næringsliv skal bli flinkere til å håndtere et trusselbilde som er i konstant endring.
Vi har observert beredskapsøvelser, gjennomført som skrivebordsøvelser, i tre ulike nettselskap. To av disse hadde ikke gjennomført en slik øvelse tidligere. Alle tre brukte det samme scenarioet i sin øvelse, noe som gjorde det mulig for oss å sammenligne hvordan selskapene tar beslutninger når en hendelse inntreffer, og hvordan utvalg av deltakere og tidspress påvirker beslutningsprosessen. Scenariet beskriver en IT-sikkerhetshendelse i flere faser – fra unormalt mye nettverkstrafikk ut mot Internett, til at all mobilkommunikasjon og Internett-forbindelse er nede.
Alle tre nettselskapene hadde ulike typer personell med i øvelsen: IT/IT-sikkerhet, kontrollsystemer/kontrollrom, nettverk og noen fra beredskapsledelsen. De organiserte øvelsen på hver sin måte:
- Åtte deltakere og en fasilitator. Beredskapskoordinator deltok som observatør.
- 14 deltakere fordelt på tre grupper og en gruppeobservatør i hver gruppe. Beredskapskoordinator deltok som observatør her også, og gikk mellom gruppene under øvelsen.
- 12 deltakere, hvorav fem tilhørte beredskapsledelsen. To fasilitatorer. Beredskapsledelsen ble tilkalt når det var behov ut ifra hvordan scenarioet utviklet seg.
Vår studie bekreftet viktigheten av å gjennomføre denne typen beredskapsøvelser for IT-sikkerhetshendelser. I ett selskap lærte de at det må øves på å knytte hendelser som inntreffer med lengre tids mellomrom til hverandre; en forstyrrelse som oppstår en dag kan ha en sammenheng med noe som hendte tre måneder tidligere. De konkluderte med at de ikke ville ha avdekket dette hvis det var en virkelig hendelse. I et annet selskap innså deltakerne at det er endel huller i informasjons-utvekslingen mellom ulike miljøer internt i dag, og de diskuterte tiltak for å forbedre dette. Dessuten var det ulike oppfatninger om hvorvidt det diskuterte scenariet var realistisk eller ikke, hvilket indikerer et behov for å utvikle en felles forståelse av aktuelle trusler og mulige konsekvenser. Ved en virkelig hendelse ville det ikke være tid til slike diskusjoner, og mangelfull informasjonsutveksling og ulik forståelse av mulige konsekvenser av angrepet kan være katastrofalt.
Det finnes ikke en “korrekt” måte å gjennomføre en skrivebordsøvelse på, men vi fant noen utfordringer som gikk igjen uavhengig av organisering, og vi har utarbeidet anbefalinger til hvordan disse utfordringene best kan møtes i framtidige øvelser:
- Ha kun ett mål med øvelsen – løse scenarioet på en effektiv måte.
- All nødvendig kompetanse må være tilstede i gruppa. Ha gjerne en fasilitator som kan støtte gruppa, slik at de kan lære seg å ta felles beslutninger.
- Gjennomfør øvelser ofte for å sikre at alle får deltatt. Begrens tiden som brukes på hver øvelse for å gjøre det lettere for de som er travelt opptatt å finne tid.
- For at en øvelse skal framstå som realistisk, bør det være et visst tidspress. Det må også settes av god tid til refleksjon rett etter selve øvelsen, da dette øker utbyttet vesentlig.
- Ha eksisterende dokumentasjon tilgjengelig under øvelsen, som det vil være i en ekte krisesituasjon. Bruk tid i etterkant på å gå gjennom dokumentasjonen for å finne og oppdatere eventuelle avvik. Hvis den ikke ble brukt under øvelsen, diskuter hvorfor.
- Inkluder alle typer personell som vil komme til å ha en rolle i en ekte krisesituasjon.
I tillegg til skrivebordsøvelser må også mer operasjonelle øvelser gjennomføres. Det er viktig å ha en helhetlig tilnærming til beredskapsøvelser for IT-sikkerhetshendelser og inkludere hele organisasjonen, akkurat som for andre typer beredskapsøvelser. Jo mer realistisk øvelsene er, jo bedre forberedt er organisasjonen på å møte ekte krisesituasjoner når de oppstår. Det er likevel umulig å forberede seg på alt. Trening i kreativt arbeid og koordinering under tidspress er den beste forberedelsen en kan gjøre.
Resultatene fra studien er i sin helhet presentert i artikkelen Understanding Collaborative Challenges in IT Security Preparedness Exercises av Maria B. Line og Nils Brede Moe. Den er akseptert til konferansen ICT Systems Security and Privacy Protection (IFIP SEC), som arrangeres i Hamburg 26.-28. mai 2015. Forfatterne har dessuten skrevet et debattinnlegg i Teknisk ukeblad basert på denne studien, samt blitt intervjuet av fagbladet Energiteknikk nr 2 2015 og Gemini 10.03.2015.