Trinn for trinn

Du blir nå ledet inn i scenarioet. Les gjerne opp teksten for hele gruppen, slik at alle har samme situasjonsforståelse før dere går i gang med diskusjonen.

Bakgrunnsteppe

ABC er en mellomstor organisasjon som tilbyr spesifikke tjenester til private bedrifter og offentlige aktører. De har hovedkontoret sitt like utenfor en større by i Norge.

Selskapet har vokst over tid og ved hovedkontoret er det 48 kontorplasser og 64 ansatte. Mange av kontorplassene er i åpent landskap, og det kan til tider være både støy og uroligheter.

Ledelsen i ABC har en bevisst strategi om manglende kontorplasser, og har blant annet etablert gode løsninger for bruk av hjemmekontor. Flere medarbeidere jobber hjemmefra på egen jobb-PC via privat internett. ABC har i utgangspunktet gode sikkerhetssystemer i form av oppdaterte fjernaksess-løsninger, oppdatert programvare, og sikkerhetsrutiner hos den enkelte medarbeider for bruk av jobb-PC utenfor hovedkontoret.

Organisasjonen ABC er i et marked med stor konkurranse der vurderinger av økonomi og kostnader hele tiden er på agendaen. Kostnader til stadig nye tekniske løsninger og oppgraderinger må justeres og tilpasses etter varierende inntekter og stramme budsjetter. Gode tjenester, kvalitet, pris og omdømme er viktige faktorer for at ABC skal klare seg i det tøffe markedet, noe ledelsen i ABC stadig har fokus på.

Innledende scenario

Birger er en betrodd og erfaren medarbeider i ABC. Han arbeider mye med interne dokumenter, og noen av disse inneholder sensitiv informasjon. Birger benytter seg jevnlig av løsningen med hjemmekontor. Han passer på at fredagen ryddes for møter og reiseorganisasjon, og benytter seg ofte av hjemmekontorløsningen ved ukeslutt. Birger har et eget kontor mellom soverommene til tvillingene Marcus og Martinus, som for tiden går andre året på videregående skole med studiespesialisering innen VK2 Datateknologi og elektronikk.

En fredag da Birger har hjemmekontor må han ut et raskt ærend. Han glemmer imidlertid å lukke og låse jobb-PC-en når han forlater hjemmet. Denne fredagen har tvillingene besøk av en jevnaldrende kompis, Rohnny. Både Marcus, Martinus og Rohnny er svært datakyndige og bruker mye tid på kveldene på PC. Rohnny har sågar klart å hacke skolens intranett, og har mot betaling gjort noen mindre justeringer på karakterene til andre medelever uten at dette har blitt oppdaget av skolens ledelse. Rohnny har derfor opparbeidet seg et rykte blant en engere krets for sine dataferdigheter. Birger kjenner til noen av disse ferdighetene fra samtaler med sønnene Marcus og Martinus, men er ikke kjent med at han har hacket skolens intranett.

Når Birger kommer tilbake, er jobb-PC-en låst ved tidsstyrt autolukking. Han stusser likevel på at PC-en har flyttet litt på seg og at noen av papirene på kontorpulten er litt i uorden, men tenker ikke mer på det der og da. Tvillingene og Rohnny er fortsatt i huset da han setter seg ned igjen for å arbeide videre utover ettermiddagen og kvelden.

Noen uker senere mottar ledelsen i ABC en trussel per e-post. I e-posten som er skrevet på engelsk står det at datasystemene til ABC er hacket. Det er vedlagt flere interne og sensitive dokumenter som tilhører ABC. Den ukjente avsenderen krever å få overført kryptovaluta i form av 100 Bitcoin (BTC) til en egen Bitcoin-konto (såkalt Bitcoin-lommebok) som ikke er sporbar til noen enkeltperson. Hvis ikke kravet innfris i løpet av én uke, trues det med at de sensitive dokumentene blir offentliggjort og publisert på ulike nettsider. Det samme vil skje hvis politiet kobles inn. Det er ikke tvil om at offentliggjøring av innholdet i de sensitive dokumentene kan skade ABCs omdømme og påføre organisasjonen økonomiske tap.

På neste side finner dere noen diskusjonsspørsmål som kan hjelpe dere litt i gang med diskusjonen. Forsøk allikevel å komme opp med noen tanker om hvordan organisasjonen har, eller ville ha løst dette scenariet før dere går videre til neste side.

Her er noen aktuelle spørsmål for å få i gang diskusjonen.

• Har organisasjonen gjort vurderinger knyttet til et slikt scenario tidligere?
• Hvilke andre vinklinger av scenarioet kan det være aktuelt å diskutere?
• Hvordan kan dere benytte organisasjonens beredskapsplan?
• Hvordan kan dere benytte tidligere risikovurderinger organisasjonen har gjort?
• Hvordan leverer organisasjonen sine avtaleforpliktelser under disse omstendighetene?
• Hvordan leverer organisasjonens systemleverandører sine avtaleforpliktelser under disse omstendighetene?

Ytterligere relevante spørsmål for nettopp dette senarioet ligger under informasjon til øvingsleder.

På neste trinn vil dere finne noen gode råd å ta med seg i det videre arbeidet, men vi anbefaler å vente med å gå videre til neste trinn til alle har fått tatt del i diskusjonen.

Her foreslår vi noen råd for det videre arbeidet med informasjonssikkerhet. Disse rådene er ikke uttømmende, men er i noen grad grunnleggende for arbeidet med informasjonssikkerhet.

• Gjør en god risikoanalyse av organisasjonens behov for beskyttelse av informasjon.
• Ta utgangspunkt i scenarioet, og vurder både konsekvenser og årsaker til at scenarioet oppsto. Bruk gjerne tilgjengelige veiledere på hvordan man utarbeider slike risikoanalyser, både for scenarier generelt og for informasjonssikkerhet spesielt.
• Lag en god beredskapsplan basert på risikoanalysen. Lag en plan for hvordan organisasjonen ønsker å håndtere et slikt scenario, og for hvem som får ansvar for å gjøre hva.
• Gå igjennom avtaler med samarbeidspartnere man utveksler informasjon med, for å sjekke ut samarbeidspartneres rutiner for sikring av informasjon.
• Gå igjennom avtaler med systemleverandør (intern eller ekstern), for å sjekke ut hvordan systemleverandør håndterer slike scenarier, og hvordan de eventuelt eskalerer hendelser dere ønsker å være involvert i.

På neste trinn blir dere nå ledet inn i andre del av senarioet. Start gjerne med en åpen diskusjon før dere finner frem diskusjonsspørsmålene.

Her blir dere ledet inn i noen nye momenter i scenarioet.

Birger og to andre medarbeidere blir kalt inn til ledelsen og informert om e-posten, truslene og pengekravet. Birger har arbeidet med flere av dokumentene som er vedlagt e-posten, men ikke alle. Noen av dokumentene er det kollegaene som har arbeidet med. De får beskjed om å ikke s snakke om saken med andre før ledelsen har bestemt seg for hvordan organisasjonen skal håndtere trusselen og pengekravet. Ledelsen sier at det er snakk om mye penger, men at skadepotensialet er stort hvis dokumentene blir publisert.

Også denne gangen finner dere noen spørsmål som kan hjelpe dere litt i gang med diskusjonen på neste trinn.

Bruk disse spørsmålene for å komme videre i diskusjonen.

• Hva ville utviklingen i scenarioet ha betydd i organisasjonen deres?
• Ville det blitt noen endringer i forhold til det som ble diskutert under Bakgrunnsteppe og innledende scenario?
• Hvordan kunne konfidensielle opplysninger i organisasjonen kommet på avveie i dette tilfellet?
• Hvordan kunne organisasjons integritet blitt påvirket i dette tilfellet?
• Hvordan ville mangel på tilgjengelighet av disse opplysningene påvirket organisasjonen?
• Hvordan ville GDPR og personvern bli overholdt i din organisasjon i dette scenarioet?

Når dere har diskutert andre del av scenarioet, så kommer det også denne gangen noen råd for videre arbeid med informasjonssikkerhet. Disse er presentert på neste trinn.

Her presenterer vi noen nye råd for det videre arbeidet med informasjonssikkerhet. Disse rådene er heller ikke uttømmende, men er også i noen grad grunnleggende for arbeidet med informasjonssikkerhet.

• Vurder hvilken informasjon som er av konfidensiell art i organisasjonen. Planlegg hvordan organisasjonen kan sikre den konfidensielle informasjonen.
• Vurder hvordan organisasjons integritet kan bli påvirket i dette tilfellet. Planlegg hvordan organisasjonen kan beholde sin integritet etter en slik hendelse.
• Vurder hvordan mangel på tilgjengelighet av informasjon kan påvirke organisasjonen.
• Planlegg hvilken informasjon som bør være tilgjengelig til enhver tid, og hvordan organisasjonen bør jobbe med dette.
• Vurder hvordan GDPR og personvern overholdes i din organisasjon i forhold til dette scenarioet.

På neste trinn blir dere nå ledet inn i siste del av scenarioet. Start gjerne med en åpen diskusjon også denne gangen, og benytt rådene dere allerede har fått.

Nå blir du ledet inn i siste del av scenarioet. Denne gangen anbefaler vi at dere benytter de råd dere hittil har fått for å diskutere utviklingen i scenarioet.

Birger tenker tilbake på fredagen for noen uker siden da han fant uorden på hjemmekontoret sitt. Rohnny var på besøk hos tvillingene samtidig som han var ute et ærend. Hjemmekontoret var ulåst, og en del sensitive dokumenter lå muligens litt lett tilgjengelig på skjermen. Samtidig er han usikker på om hans private Internett er sikkert nok, og hvor mange av egne venner og vennene til Marcus og Martinus som nå egentlig har tilgang.

På neste og siste trinn gjøres en oppsummering av diskusjonsøvelsen og dere får også presentert anledning til å delta på evalueringsundersøkelsen.

Vi håper dere nå har hatt noen spennende og oppklarende diskusjoner, og at øvelsen var nyttig for din virksomhet. Ta gjerne en titt på de øvingsmålene dere definerte og se om dere fikk diskutert disse. 

Nå er det lurt å notere seg "funn" og erfaringer sett opp mot virksomhetens beredskapsplaner og se om noe skal justeres. 

Fyll gjerne ut evalueringsundersøkelsen. Dette vil gi oss verdifullt underlag for å gjøre øvelsene enda bedre. 

Gå til spørreundersøkelse

Vel gjennomført, og lykke til med nye øvelser!