Informasjon til øvingsleder

Innledende om scenarioet

Sårbarhetsvarsling er melding om en eller flere sårbarheter i en eller flere av organisasjonens digitale tjenester. Slike meldinger kan komme fra flere kilder, for eksempel organisasjonens underleverandører, CERT, tilbydere av IT-sikkerhetstjenester, medier, brukere av organisasjonens digitale tjenester eller en gruppe som gjerne omtales som etiske hackere.

Denne øvelsen er avgrenset til sårbarhetsvarsling fra etiske hackere. Dette er en gruppe som favner bredt når det gjelder ferdigheter, kunnskap og motivasjon. Noen har økonomiske motiver. Noen kan være så ivrige etter å utforske sårbarheter at de begår straffbare handlinger. Andre frykter at virksomheter politianmelder lovlig varsling og ønsker dermed å varsle anonymt. Noen etiske hackere opererer i en gråsone som kan reise spørsmål om hvor etiske de egentlig er.

En sårbarhetsvarsling fra en etisk hacker angir ikke nødvendigvis hvor omfattende sårbarheten er, på hvilke måter sårbarheten kan utnyttes og eller hvor alvorlige konsekvenser utnyttelse av sårbarheten vil være for organisasjonen som mottar varselet. Et sårbarhetsvarsel kan heller ikke utelukke at sårbarheten allerede er utnyttet av andre trusselaktører.

Dersom en etisk hacker opplever at varselet blir ignorert eller håndtert på en dårlig måte kan vedkommende ta kontakt med andre aktører eller fortsette å utforske organisasjonens sårbarheter.

Diskusjonsøvelsen har som mål og gjøre bedriften oppmerksom på utfordringene, samt å gjøre nødvendige tiltak i form av organisatoriske rutiner for å håndtere denne typen henvendelser.

Spørsmål for å drive diskusjonsøvelsen fremover

  • Er det et reelt varsel?
  • Kan man håndtere dette selv uten hjelp fra hackeren?
  • Hvilke undersøkelser bør organisasjonen umiddelbart gjøre selv?
  • Sjekk av evt. publiseringsløsninger, arkiv.
  • Hvem i organisasjonen bør delta i håndteringen? Hvilke planer har man for å håndtere slike saker?
  • Bør eksterne aktører involveres eller varsles?
  • Bør man gjøre teknisk undersøkelse på relevant IT-utstyr?
  • Bør man undersøke uvanlig aktivitet i IT-systemer?
  • Hva har organisasjonen av logg og overvåkningsfunksjoner som kan underbygge realiteten?
  • Har vi eller kan vi utføre penetrasjonstest som finner svakheten?
  • Har organisasjonen gode nok patche-rutiner?
  • Har organisasjonen gjort en kvalitetssikring av nødvendig sikkerhet i hele infrastrukturen, og er dette en kontinuerlig aktivitet?
  • Dersom informasjonen normalt ikke skal være lagret på tjenesten som er beskrevet i varselet, kan et filsystem være tilkoblet ved en feil eller kan det være en kopi av filene som noen utenom vanlige rutiner har lagret der varsleren har funnet dem?
  • Bør man varsle underleverandør av IT-tjenester?
  • Bør man varsle eksternt responsmiljø (SOC/CSIRT/SRM/CERT)?
  • Bør organisasjonen ta kontakt med varsler, anmelde forholdet eller forsøke å rydde opp selv?
  • Inneholder varselet en sannsynlig beskrivelse?
  • Blir påstandene underbygget av bevis?
  • Representerer meldingen en god form for varsling / sårbarhetsvarsling?
  • Hvorfor har ikke varsler gitt noen tekniske detaljer om sårbarheten? (Ønske om belønning? Ung og uerfaren entusiast?)
  • Bør organisasjonen tilby belønning for varsling? (økonomisk eller symbolsk)
  • Bør organisasjonen ta kontakt med politiet og eventuelt levere en anmeldelse?
  • Skal andre myndigheter varsles? (F.eks. Datatilsynet eller Finanstilsynet?)
  • Hvilken melding til mediene bør forberedes i tilfelle det kommer henvendelser om denne saken?
  • Bør organisasjonen sende ut en pressemelding på eget initiativ?
  • Har organisasjonen behov for å publisere retningslinjer og kontaktadresse for sårbarhetsvarsling?
  • Bør organisasjonen kreve at underleverandører har publisert tilsvarende?