Trinn for trinn

Du blir nå ledet inn i scenarioet. Les gjerne opp teksten for hele gruppen, slik at alle har samme situasjonsforståelse før dere går i gang med diskusjonen.

Bakgrunnsteppe

Organisasjonen lagrer data både lokalt og i en skytjeneste. I skytjenesten lagres og behandles sensitiv informasjon om økonomi, organisasjonen, personell og andre interne og eksterne forhold. Det er i hovedsak her organisasjonen lagrer virksomhetskritisk informasjon og informasjon de av regulatoriske forhold er pålagt å beskytte, som fore eksempel personopplysninger. Dette området fungerer som et samarbeidsrom, og også som lagringsenheter for alle de ansatte.

I følge NorSIS hadde Mnemonic (som har ansvar for IT-drift for mer enn 100 av Norges største virksomheter) en økning i angrep på systemer på hele 20% bare i april 2020. Mange slike angrepstarter somphishing-angrep der ansatte klikker på fristende eller «logiske» lenker. Crackerne, altså de som hacker seg inn på systemene med ulike kriminelle motiver, kan automatisk få tak i passord som de kan benytte for å komme videre inn i systemene for å hente ut informasjonen de er ute etter. Under phishing-angrepet på Stortinget 1. september 2020 og mot sju kommuner i Innlandet uken etter, var det flere som klikket på lenke/word-dokument som ble sendt ut.

Din organisasjon har vært utsatt for et slikt angrep, og IT-avdelingen har jobbet på spreng med å rette opp i og spore eventuelle kapsler som høster ut informasjon.

Innledende scenario

Flere ansatte i virksomheten har fått en e-post som inneholder en lenke de har blitt bedt om å klikke på. Når de ansatte klikket på lenken fikk angriperne tilgang til de ansattes brukerID og innloggings-passord, og IT-avdelingen gikk raskt ut med obligatorisk endring av passord ved neste pålogging for å få alle til å bytte passord. Organisasjonen har valgt å gå ut med informasjon i media, og har besluttet å være åpne om hvilken type sensitiv informasjon som kan bli lekket.

Etter et par dager ringer mediekontakten i avisen Sensasjonen, og sier de sitter på informasjon om at sensitive personopplysninger fra organisasjonen faktisk er lekket. Lederen kaller derfor umiddelbart inn til møte med relevante parter i organisasjonen.
IT-avdelingen påstår raskt at det sikkert er noen som har gjenbrukt tidligere passord.

På neste trinn kommer noen spørsmål som kan hjelpe dere i gang med diskusjonen. Forsøk likevel å komme opp med noen tanker om hvordan organisasjonen har, eller ville ha løst dette scenarioet før dere går videre til neste trinn.

Her er noen aktuelle spørsmål for å få i gang diskusjonen.

• Har organisasjonen gjort vurderinger i forhold til et slikt scenario tidligere?
• Hvilke andre vinklinger av senarioet kan det være aktuelt å diskutere?
• Hvordan kan dere benytte organisasjonens beredskapsplan?
• Hvordan kan dere benytte tidligere risikovurderinger organisasjonen har gjort?
• Hvordan leverer organisasjonen sine avtaleforpliktelser under disse omstendighetene?
• Hvordan leverer organisasjonens systemleverandører sine avtaleforpliktelser under disse omstendighetene?

Ytterligere relevante spørsmål for nettopp dette senarioet ligger under informasjon til øvingsleder.

På neste trinn vil dere finne noen gode råd å ta med seg i det videre arbeidet, men vi anbefaler å vente med å gå videre til neste trinn til alle har fått tatt del i diskusjonen.

Her foreslår vi noen råd for det videre arbeidet med informasjonssikkerhet. Disse rådene er ikke uttømmende, men er i noen grad grunnleggende for arbeidet med informasjonssikkerhet.

• Gjør en god risikoanalyse av organisasjonens behov for beskyttelse av informasjon.
• Ta utgangspunkt i scenarioet, og vurder både konsekvenser og årsaker til at scenarioet oppsto. Bruk gjerne tilgjengelige veiledere på hvordan man utarbeider slike risikoanalyser, både for scenarier generelt og for informasjonssikkerhet spesielt.
• Lag en god beredskapsplan basert på risikoanalysen. Lag en plan for hvordan organisasjonen ønsker å håndtere et slikt scenario, og for hvem som får ansvar for å gjøre hva.
• Gå igjennom avtaler med samarbeidspartnere man utveksler informasjon med, for å sjekke ut samarbeidspartneres rutiner for sikring av informasjon.
• Gå igjennom avtaler med systemleverandør (intern eller ekstern), for å sjekke ut hvordan systemleverandør håndterer slike scenarier, og hvordan de eventuelt eskalerer hendelser dere ønsker å være involvert i.

På neste trinn blir dere nå ledet inn i andre del av senarioet. Start gjerne med en åpen diskusjon før dere finner frem diskusjonsspørsmålene.

Her blir dere ledet inn i noen nye momenter i scenarioet.

Lotte, som jobber med økonomi, har blitt oppringt av en IT-medarbeider, som litt lett stresset forteller at det kan se ut som om det er via hennes konto crackerne har kommet seg inn. Han ber om passordet hennes, slik at han kan få kommet inn på hennes konto for å sjekke om dette stemmer. Lotte oppgir passordet, og jobber videre som vanlig.

Etter en liten tid får hun imidlertid en uggen følelse. Klarer ikke IT-avdelingen å komme inn på hennes konto uten at hun oppgir passordet? Hun ringer IT-avdelingen, og det viser seg at ingen derfra har kontaktet henne om dette.

Også denne gangen finner dere noen spørsmål som kan hjelpe dere litt i gang med diskusjonen på neste trinn.

Bruk disse spørsmålene for å komme videre i diskusjonen.

• Hva ville utviklingen i scenarioet ha betydd i organisasjonen deres?
• Ville det blitt noen endringer i forhold til det som ble diskutert under Bakgrunnsteppe og innledende scenario?
• Hvordan kunne konfidensielle opplysninger i organisasjonen kommet på avveie i dette tilfellet?
• Hvordan kunne organisasjons integritet blitt påvirket i dette tilfellet?
• Hvordan ville mangel på tilgjengelighet av disse opplysningene påvirket organisasjonen?
• Hvordan ville GDPR og personvern bli overholdt i din organisasjon i dette scenarioet?

Når dere har diskutert andre del av scenarioet, så kommer det også denne gangen noen råd for videre arbeid med informasjonssikkerhet. Disse er presentert på neste trinn.

Her presenterer vi noen nye råd for det videre arbeidet med informasjonssikkerhet. Disse rådene er heller ikke uttømmende, men er også i noen grad grunnleggende for arbeidet med informasjonssikkerhet.

• Vurder hvilken informasjon som er av konfidensiell art i organisasjonen. Planlegg hvordan organisasjonen kan sikre den konfidensielle informasjonen.
• Vurder hvordan organisasjons integritet kan bli påvirket i dette tilfellet. Planlegg hvordan organisasjonen kan beholde sin integritet etter en slik hendelse.
• Vurder hvordan mangel på tilgjengelighet av informasjon kan påvirke organisasjonen.
• Planlegg hvilken informasjon som bør være tilgjengelig til enhver tid, og hvordan organisasjonen bør jobbe med dette.
• Vurder hvordan GDPR og personvern overholdes i din organisasjon i forhold til dette senarioet.

På neste trinn blir dere nå ledet inn i siste del av scenarioet. Start gjerne med en åpen diskusjon også denne gangen, og benytt rådene dere allerede har fått.

Nå blir du ledet inn i siste del av scenarioet. Denne gangen anbefaler vi at dere benytter de råd dere hittil har fått for å diskutere utviklingen i scenarioet.

IT-avdelingen har fått kontroll på hvilken informasjon som er lekket, og har formidlet det videre til ledelsen. Ledelsen ser seg nødt til å informere både de interne og de eksterne dette gjelder, men lurer nå på om de bør fortsette å informere om dette i media, fordi de tror organisasjonen kan miste troverdighet.

På neste og siste trinn gjøres en oppsummering av diskusjonsøvelsen og dere får også presentert anledning til å delta på evalueringsundersøkelsen.

Vi håper dere nå har hatt noen spennende og oppklarende diskusjoner, og at øvelsen var nyttig for din virksomhet. Ta gjerne en titt på de øvingsmålene dere definerte og se om dere fikk diskutert disse. 

Nå er det lurt å notere seg "funn" og erfaringer sett opp mot virksomhetens beredskapsplaner og se om noe skal justeres. 

Fyll gjerne ut evalueringsundersøkelsen. Dette vil gi oss verdifullt underlag for å gjøre øvelsene enda bedre. 

Gå til spørreundersøkelse

Vel gjennomført, og lykke til med nye øvelser!