Att inte ha rutiner för incidenthantering och utredning är en tickande bomb när det gäller den reaktiva IT-säkerheten. IT-avdelningens prioriteringar stämmer inte alltid överens med ledningens.
Enligt PTS Mörkertalsundersökning från 2005 har endast hälften av alla organisationer en dokumenterad rutin för hur IT-säkerhetsincidenter skall rapporteras internt. Oacceptabla siffror! Eftersom internrapportering är grundläggande inom incidenthantering (BITS 2006:1 13:2), är det nära till hands att dra slutsatsen att man i hälften av fallen inte har någon rutin alls för hur en IT-säkerhetsrelaterad incident ska hanteras.
Utan dokumenterade och inarbetade rutiner agerar ofta systemadministratörer godtyckligt och ostrukturerat vid en incident. Beslut som att t.ex. koppla ur nätverkssladden fattas helt utan tanke på vilka följder det får och utan bedömning av resursens värde för organisationen. Är det exempelvis företagets Webbplats som går ner kan det leda både till betydande inkomstbortfall och till trovärdighetsförluster för organisationen. Incidenthanteringsrutinen måste följaktligen vara baserad på en korrekt utförd riskanalys för att ha något värde.
Vanligt förekommande är att administratörer enbart städar i det system som varit iblandad i en extern incident. Det kan, med en aning tur, räcka för att hålla angriparen borta, i alla fall från just det specifika systemet. Om incidenten inte utreds grundligt och korrekt är det lätt att missa att angriparen kanske faktiskt också lyckats ta steget över till ett annat system och även där har en bakdörr. Detta skulle en korrekt incidenthantering och en datorforensisk utredning ha påvisat.
Det är också lätt att bli riktigt mörkrädd när man hör talas om systemadministratörer som utan en tanke raderar trojaner som hittats vid de schemalagda anti-virusgenomsökningarna av ett system. Möjligen har trojanen enbart nyligen adderats till signaturfilen från tillverkaren, men kan ha funnits en längre tid på systemet och redan ha hunnit tjäna sitt onda syfte.
Även när det gäller interna incidenter så är vikten av en väl inarbetad rutin och skickliga incidentutredare av stor vikt. Det behövs genomarbetade och förutbestämda kommunikationsvägar, som t.ex. kontakt med fackförbund och personalavdelning. På den tekniska sidan finns stor risk att en oerfaren utredare missar viktig information eller behandlar den felaktigt.
IT-säkerhetsbranschen har i flera år påpekat att även ledningen måste engageras i IT-säkerhetsfrågor, och att de måste styra och prioritera organisationens arbete även inom IT-säkerhetsområdet. Nu blåser det nya vindar. IT-säkerhetsfrågor och då speciellt hur organisationen hanterar IT-säkerhetsincidenter har hamnat högre upp på dagordningen och uppmärksammas även utanför IT-avdelningen. Ta till vara på detta för att införa rutiner och kompetens i den utsträckning som krävs.
© 2006 Pontus From, Certezza AB
Pontus From