9. januar 2021 ble en norsk kommunes arbeidshverdag satt tilbake 30 år i tid på grunn av et dataangrep. Fortsatt er ikke alle systemer tilbake i normal drift. Er du forberedt på det samme?
I januar i 2021 opplevde Østre Toten kommune å bli angrepet av et løsepengevirus. Alle kommunens datasystemer ble kryptert og låst, og hackere krevde løsepenger for å gi tilgangen tilbake. Da 1300 ansatte kom på jobb hadde de kun penn og papir til å hjelpe seg.
Følgene av angrepet var enorme. Gjenopprettingskostnaden var alene på over 30 millioner kroner. I tillegg har Datatilsynet varslet en bot på 4 millioner.
Kostnadene for gjenoppretting vil for de fleste bedrifter være alvorlige. Men, det er ofte ikke her de største kostnadene ligger. Særlig for de små og mellomstore virksomhetene vil tiden det tar å komme tilbake til normal drift være den største økonomiske faren. Når man ikke kan produsere varer eller yte de tjenestene man tjener penger på, kan det bety en helt reell fare for at virksomheten bukker under.
Selv de dyreste og de beste systemer vil før eller siden ha feil som kan utnyttes av personer med onde hensikter. Selv med gode rutiner og godt innarbeidede instrukser for IT-sikkerhet så er man også til enhver tid bare ett ubetenksomt klikk unna å ha åpnet dørene for et angrep. Dette betyr at man må planlegge for at en hendelse før eller siden vil skje.
Det er da viktig å ha gjort en risikovurdering av hva det vil kunne bety å være uten datasystemer på kort og lang sikt. Sticos anbefaler å starte med de største og mest åpenbare utfordringene, og så bygge videre på disse. Noen stikkord:
Beredskapsplanen må kunne gi veiledning til alle disse problemstillingene som oppstår ved et dataangrep. Mange virksomheter har planer for å håndtere hendelser som brann, flyulykker eller oversvømmelser, men ofte mangler det en plan ved dataangrep. Dataangrep skjer langt hyppigere enn andre ulykker, og er derfor vel så viktig å planlegge for. Metoden er lik, så om man har beredskapsplaner fra før kan man få gjort mye med relativt lite arbeid.
Enkelt sagt skal en beredskapsplan inneholde informasjon om hvem som gjør hva og hvordan dersom man blir utsatt for et dataangrep. Planen må ta utgangspunkt i risikovurderingen man har gjort, og beskrive hvordan de situasjonene enten kan unngås eller ha så små konsekvenser som mulig.
Lyst til å lære mer om personvern og informasjonssikkerhet? Sjekk ut vårt nettkurs om temaet
Ved en datasikkerhets-krise må man sørge for at man har orden på hvem som har ansvar:
Kriseteamet må i fellesskap vurdere hva som skal gjøres. Beredskapsplanen må derfor inneholde konkrete forslag til tiltak, som også gir veiledning til hvordan tiltakene kan gjennomføres. Detaljene her vil komme an på situasjonen i den enkelte virksomhet. Utgangspunktet må her også være risikovurderingen.
Eksempel på tema som bør vurderes:
Når beredskapsplanen er på plass, gjenstår det å informere ledelse og medlemmer av kriseteamet. Planen bør gjennomgås, og vi anbefaler at man “snakker seg gjennom” en tenkt krisesituasjon, nærmest som en brannøvelse, for å se om planen har svakheter og for å forsikre seg om at alle er kjent med innholdet.
Så er det fristende å legge planen i skuffen og håpe at man aldri får bruk for den. Men husk, virksomheter endrer seg, og verden endrer seg raskt. Situasjoner man tenkte på for et år siden vil kanskje kreve andre tiltak enn i dag. Derfor bør planen komme opp av skuffen en gang i året for gjennomgang, bevisstgjøring, og øving.
Få aktuelle nyheter innen personal, regnskap, økonomi og personvern. Følg Sticos på Facebook, LinkedIn og meld deg på vårt nyhetsbrev.