Informasjon til øvingsleder

Innledende om scenarioet

Diskusjonsøvelsen tar for seg en utfordring med flere underliggende problemstillinger. Det er et mål at organisasjonen blir oppmerksom på farepotensialet, og gjør hensiktsmessige og nødvendige endringer i systemer, ledelse, rutiner og planverk.

Spørsmål for å drive diskusjonsøvelsen fremover

Det presiseres at ikke alle spørsmålene under er like relevant for den enkelte organisasjon. Her må øvingsleder på forhånd plukke spørsmålene til diskusjon på bakgrunn av relevans.

Hva gjør ledelsen?

Alternativ 1: Politianmelde pengekravet

  • Ved politianmeldelse vil det være muligheter for lekkasje av saken med påfølgende omdømmetap og dermed også store økonomiske tap. Hva hvis de økonomiske tapene ved en eventuell lekkasje overgår i sum selve pengekravet som forlanges?
  • Hvilke konsekvenser får dette for organisasjonen?

Alternativ 2: Ikke anmelde, men betale pengekravet

Organisasjonen ønsker ikke å anmelde, men vil prøve å kjøpe seg ut av trusselen og pengekravet.

  • Hva hvis dokumentene er sensitive i betydning av at ulovligheter avdekkes og at dette vil ikke være bra for organisasjonen at politiet (og allmennheten) får kjennskap til?
  • Hva hvis dokumentene viser direkte ulovligheter som kan medføre rettsak og mulig bøter/fengsel for enkeltpersoner i organisasjonen (særlig i ledelsen)?
  • Hva hvis ledelsen prøver å dekke over ulovlighetene?
  • Hva med å gå i dialog med hackerne/pengekreverne? Hva med å begynne å prute på beløpet – for så å betale et mindre pengekrav? Men hvilke garantier har organisasjonen for at det ikke kommer nye trusler og pengekrav i etterkant?
  • Hvilke konsekvenser får dette for organisasjonen?

Alternativ 3: Ingenting

Organisasjonen gjør ingenting – verken politianmelder eller betaler pengekravet. De velger å forholde seg passiv og neglisjere det hele.

  • Hva vil dette innebære og hvilke konsekvenser får dette for organisasjonen?

 

  • Hva gjør organisasjonen for å oppklare saken/komme til bunns i saken?
  • Hva har egentlig skjedd? Og hvorfor skjedde det?
  • Hvordan kartlegge hvilke dokumenter som har kommet/lekket ut?
  • Hvordan har sensitive dokument kommet i uriktige hender?
  • Hvem som står bak trusselen og pengekravet? Og eventuelt hvorfor?
  • Er det et egentlig reelt pengekrav og at noen vil tjene på dette økonomisk?
  • Eller er det noen som ønsker å ramme organisasjonen med å offentliggjøre sensitive dokumenter?
  • Er det interne lekkasjer og utro medarbeidere?
  • Er det mulighet for at en eller flere har blitt hacket?
  • Er det mulighet for at noen ubevisst og uvitende har gjort dokumentene lett tilgjengelig, for eksempel ved bruk av hjemmekontor?
  • Organisasjonen har åpent kontorlandskap der det er mange mennesker samlet uten særlige fysiske skiller. PC-ene står gjerne ulåst når enkeltpersoner er i interne møter, matpauser osv. Kan utpressingssituasjonen og pengekravet komme internt – altså fra en kyndig og utro medarbeider?
  • Hva gjør organisasjonen for å forebygge tilsvarende saker?
  • Hva bør organisasjonen gjøre vedrørende system for hjemmekontor? Ref. at de har etablert en praksis for omfattende bruk av hjemmekontor i stedet for fast kontor?
  • Hva bør organisasjonen gjøre vedrørende rutiner for hjemmekontor? Ref. etablerte sikkerhetsrutiner for bruk av jobb-PC utenfor hovedkontorets lokaler?
  • Hva bør organisasjonen gjøre for at hacking ikke kan skje ved hjemmekontor? På arbeidsplassen? Hvordan oppdateres ulike brannmurer?
  • Hvilke rutiner har organisasjonen for sikre wifi-nett på kontoret/kontorplassen? At de som har hjemmekontor har sikre wifi-nett?
  • Hva bør organisasjonen gjøre for å sikre tilgjengeligheten av sensitive dokumenter?
  • På hvilken måte er sikkerhetsarbeidet ivaretatt i organisasjonen? Har organisasjonen en egen sikkerhetsleder? En egen sikkerhetsorganisasjon? Og er IKT-sikkerhetsarbeidet en del av det generelle sikkerhetsarbeidet i organisasjonen?
  • På hvilken måte er IKT-sikkerhetsarbeidet forankret og ivaretatt hos ledelsen i organisasjonen? Hvordan prioriteres IKT-sikkerhetsarbeidet innad i ledelsen?
  • Hvilke tjenester innen IKT-sikkerhet kjøpes av underleverandører? Har organisasjonen kontroll på disse tjenesteleverandørene? Er noen av disse leverandørene utenlandske – eller har noen av disse leverandørene utenlandske underleverandører? Eventuelt hvor? Er dette i så fall en utfordring/et problem?
  • Har organisasjonen kjøpt leveranse av server-tjenester, sky-tjenester og/eller andre back up-løsninger? Hvem er leverandør av eventuelle slike kjøpte tjenester? Vet organisasjonen hvilken sikkerhet det er rundt disse kjøpte tjenestene – for eksempel stabilitet, kryptering, mot hacking o.s.v.?
  • Bør hendelsen anmeldes, hvorfor, hvorfor ikke?

Hva gjør Birger (den enkelte medarbeider) i en slik situasjon?

  • Hvis sjansen for å bli oppdaget vedrørende sin uforsiktighet på sitt hjemmekontor er svært liten – vil/bør Birger likevel fortelle om sin hendelse til ledelsen?
  • Hvilke konsekvenser får en eventuell varsling for Birger? Hva vil ledelsen gjøre? Hvilken kultur er det i organisasjonen for å håndtere en slik hendelse?