Rubriken andas inte en optimistisk framtidstro, men konsekvensen av att vi har en global och inkluderande it-infrastruktur har fortfarande inte nått alla. Varje gång det ansluts en enhet direkt, eller indirekt, till internet ökar det organisationens exponering. Samtidigt sker det med en hastighet som ingen längre har riktig koll över.
Uppfattningen är att incidenterna inte ökar i samma takt vilket är positivt. Däremot är effekterna av incidenterna allt mer kännbara. Inte minst när allt fler ägg samlas i samma korg och att korgarna samlats obetänkt. Oftast är den enskilda korginnehavaren helt ovetandes om hur äggkorgarna samlas, vilka fler som förvarar sina ägg där och hur hotbilden mot de övriga korginnehavarna ser ut.
Det är enorma mörkertal när vi talar om informationssäkerhetsrelaterade incidenter, men de som möter dagens ljus ger ändå de nödvändiga stickprov som visar på samhällets utmaningar. Det faktum att mycket är höljt i dunkel, och att de som drabbas har delegerat ansvar i flera led gör det inte enklare. Det finns också en tendens att det råder en tystnadskultur hos dem som har fått det delegerade ansvaret, inte sällan flera led bort från den som påverkats, vilket är allt annat än önskvärt. Det kan knappast vara en långsiktigt hållbar taktik för den seriösa aktören.
Personuppgiftsrelaterade incidenter med ett oklart ansvarsläge visar ofta på allvaret av det inträffade då det blir svårutrett när information från den som inte fullföljt sitt ansvar uteblir. Det blir också tydligt att den som är dataskyddsombud (DSO) inte alltid agerar utifrån det ansvar som följer av avsnitt 4 i Dataskyddsförordningen[1]. Att arbeta självständigt, oberoende och utan att bli påverkad av andra inom organisationen är en svår uppgift mitt i en brinnande incident. Dataskyddsombudets roll i incidenthanteringen är att ta de registrerades perspektiv, även när organisationen skriker efter verksamhetsperspektivet, och ge råd om hur den personuppgiftsansvarige bäst efterlever skyddsreglerna för just de registrerade. Det är inte någon enkel uppgift! Sannolikt är det en förklaring till varför flera organisationer som använder samma tjänst från samma leverantör med samma underleverantör inte rapporterar incidenter till tillsynsmyndigheten på ett likartat sätt. De organisationer som väljer att inte rapportera av olika anledningar uppmärksammas också just genom frånvaron av rapporteringen. Även det väcker tillsynsmyndighetens intresse.
Förhoppningen är såklart att inte behöva hamna mitt i en större incident. Dessvärre ökar cyberattackerna för var dag och det är inte längre rimligt att tänka “Varför skulle det drabba oss? Vi är ingen viktig spelare eller har ingen data av värde”. Incidenthanteringsrutiner och kontinuitetsplaner ska finnas inom alla organisationer som har skyddsvärd information och har verksamhetskritiska processer. Förarbetet är A och O för att hantera en större incident. Möjligheten att begränsa en incidents påverkan på verksamheten är stor, framförallt om man dragit lärdomar av andras incidenter eller tidigare incidenter.
En viktig lärdom är att även ställa krav på underleverantörer som gör att incidenthanteringen underlättas över tid likväl som att lösningen går att revidera över tid. Lägg märke till just skrivningen ”över tid”. Det är många krav som uttrycks att de ska vara uppfyllda vid en given tidpunkt, kanske vid ingången av en affär. Givet att det är en föränderlig värld är det svårt att exempelvis ställa krav på rätt tekniska och organisatoriska skyddsåtgärder som ska vara effektiva även om ett år och tre år varför tidsaspekten måste beaktas vid kravställningen.
För de organisationer som drabbats är just frånvaron av reflektion kanske den största bristen. När väl det akuta skedet i informationssäkerhetsincidenten är hanterat så infinner sig en tid av återhämtning. Den backlogg som incidenten har skapat är en anledning till att reflektionen uteblir, en annan är att att återhämtningen snabbt byts mot att hantera ytterligare en incident och den nyss inträffade incidenten hamnar i glömska. Inte helt ovanliga scenarios. Att lära av egna, men även andras incidenter, är av yttersta vikt för att undvika att hamna där igen.
Sommaren är för många en tid av reflektion. Jag säger inte att den lediga tiden i sommar ska användas för att reflektera över vårens incidenter, utan just för att undvika att ledigheten i sommar kantas av det, behöver reflektionen och lärandet ske innan.
För din skull, för organisationens skull, och för de registrerades skull!
[1] Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).