Påhälsningar från hackare hör inte till ovanligheterna för svenska verksamheter idag. Alla råkar någon gång ut för säkerhetsincidenter i sin informationshantering. Många klarar sig undan med blotta förskräckelsen. Att en utomstående har tagit sig in i en server förblir kanske okänt för allmänheten, och hackaren får inte alltid tag i känslig information. Om ingen skada är skedd, då är det väl bara att gratulera och fortsätta med verksamheten som vanligt?
Nja, som ansvarsfull CSO svarar man förstås nej på den frågan. Och det är inte säkert att det går lika bra nästa gång. Så se till att vara redo!
På svenska universitetsnätverket Sunet har man tagit ett professionellt grepp om saken och byggt upp en så kallad CERT (Computer Emergency Response Team), en särskild arbetsgrupp som samordnar arbetet med incidenthantering. Den har funnits i nuvarande form sedan år 2000 och har i uppgift att följa utvecklingen, hålla kontakt med omvärlden, koordinera IT-säkerhetsarbetet, utbilda personalen samt, inte minst, fun­gera som kontaktpunkt vid incidenter.
– Vi handlägger inte incidenter direkt utan detta sköts lokalt ute på högskolorna. Däremot så samordnar vi och förmedlar kontakter samt hjälper till att trycka på om det behövs för att få någon att reagera, säger Torbjörn Wictorin som är ansvarig för Sunets CERT.

På Sunet, som tillhandahåller nät för ett åttiotal svenska högskolor, universitet och organisationer, är öppenhet ett ledord. Statistik kring rapporterade incidenter publiceras externt på Sunets hemsida. Där kan man bland annat se dagens, månadens och årets fördelning av olika typer av portscanningar.
Blotta tanken på en sådan öppenhet skulle få de flesta företagsledare i näringslivet att rysa. Men Torbjörn tycker att det är bra.
– Att hålla allt för sig själv blir man inte klokare av. Man behöver ju inte prata om vilka svagheter vilka maskiner har, man kan prata om det hela i större perspektiv.

En hackare kan inte dra några slutsatser om sårbarheter av den publicerade statistiken. Snarare tvärtom: alla ser att Sunets miljö är övervakad och kontrollerad.

Fortfarande tyst i näringslivet
Sunets CERT fungerar alltså som ett samordnande organ. På högskolorna och universiteten finns sedan lokala IRT-enheter (Incident Response Teams) som sköter det dagliga arbetet. Sunets CERT består av en handfull medarbetare, vilka också fungerar som den lokala IRT-enheten för Uppsala universitet.
Torbjörn Wiktorin har inget emot att berätta om hur Sunets CERT fungerar. Men han vet att det är ganska tyst ute i näringslivet.
– Möjligen är det inte så tyst som förr, men det finns fortfarande de som tror att det är mer trovärdigt att säga ”vi har inga incidenter” än ”vi hade 546 incidenter förra året”. Fast det första uttalandet tyder egentligen mest på att organisationen har noll koll.

Att varje företag bör hålla sig med någon form av CERT, det vill säga en formaliserad funktion för incidenthantering, tycker han är självklart.
– Oavsett storlek ska någon vara ansvarig, och en kontaktväg finnas tillgänglig.

Agerar slumpmässigt
Men hur ser det egentligen ut i andra svenska företag när det gäller incidenthantering? Suresh Ramasuppu, konsult hos Secode med ett förflutet hos Teliasoneras CERT, tycker att det kan bli betydligt bättre. Enligt honom är det väldigt få svenska företag eller myndigheter som har en incidenthanteringsfunktion värd namnet. Eller ens incidentrapporteringsrutiner.
– Man har problem när man inte vet var i företaget incidenterna sköts, och än mindre hur det görs. Det kan vara den som administrerar ett system eller som råkar vara inne i det just nu som tar tag i frågan, säger han.

Helt overksamma är svenska företag inte, påpekar han, men ofta saknas struktur och samordning. Man agerar på något sätt, kanske hinner man med ett par av stegen i en klassisk incidentutredning (se faktaruta), som att stoppa spridningen och minimera skadan. Men om det vill sig illa prioriteras andra arbetsuppgifter.
Eller så tryter utredarkompetensen vilket kan leda till att viktiga spår förstörs och att frågor om orsak och verkan förblir obesvarade.
Suresh har stött på stora företag som visserligen har tillgång till rätt kompetens men som inte hinner utreda allvarliga incidenter, eftersom personalen har annat för sig. Lösningen blir ofta att hastigt hyra in en konsult. Inget fel i konsulter, tycker förstås Suresh, men man sparar värdefull tid om man i förväg har ett strukturerat arbetssätt och en organisation där konsulten ingår.
– Tiden är en mycket viktig faktor vid utredningen av en incident, säger Suresh.

Ett annat vanligt problem, enligt Suresh, är att man rapporterar incidenterna och utreder vissa av dem, men att det är slumpmässigt vilka.
– Det man missar med ett sådant arbetssätt är mönster, lågintensiva attacker där hackarna medvetet undviker att dra till sig uppmärksamhet istället för att sparka in dörren och spreja ”I was here”. Numera finns det skräddarsydda hackerverktyg för detta ändamål.

Telekom ligger i täten
Men det finns naturligtvis undantag – företag som har tänkt till och liksom Sunet arbetar på ett strukturerat sätt med incidenthantering.
– Historiskt sett har telekombranschen och universiteten kommit längst. De har varit mer utsatta för angrepp än andra och därför bättre medvetna om hot och risker, säger Suresh.

De svenska universiteten har, liksom Sunet, länge använt begreppet IRT, Incident Response Team, för sin incidentutredning fast på senare år har även benämningen CSIRT, Computer Security Incident Response Team blivit allt vanligare. Och i större organisationer talar man om CERT, Computer Emergency Response Team.
Även om få har kommit igång fullt ut tycker sig Suresh märka en spridning av arbetssättet i näringslivet. Särskilt bankerna och vissa storföretag börjar satsa på incidenthantering nu.
– Särskilt i USA där företag har kommit längre än vad vi i Europa har. Olika lagkrav där håller företag ansvariga för hanteringen av känslig information och att de vet hur de ska hantera brott mot informationssäkerheten, säger han.

Som han ser det finns det många fördelar för en CSO att arbeta strukturerat med incidenthantering. Genom att utreda orsakerna till en viss incident kan du få fram värdefull information om hur du ska förbättra företagets skydd. Dessutom får du ett bra underlag till organisationens övergripande riskhanteringsarbete.
Att ha en utpekad CERT-funktion borgar för att incidenthanteringen blir samordnad, konsekvent, snabb och prioriterad. Det minskar i sin tur risken för onödiga avbrott. Dessutom är det utmärkt ur marknadsföringsperspektiv: Ni visar att ni är ett företag som arbetar professionellt med incidenter, och som lär er av era misstag.
Förutom de rent praktiska konsekvenser som en slarvigt hanterad incident kan resultera i är många företag styrda av lagar, standarder och branschkrav som skärper kraven på god incidenthantering. USA:s Sarbanes-Oxley Act och EU:s motsvarighet Chapter 8 fastställer båda att ledningen ska vara fullt ansvarig för att företagets kritiska information är skyddad och för att incidenthantering sköts professionellt. Och ISO 17799 och PCI DSS är exempel på standard respektive branschkrav som kräver att organisationen har en effektiv incidenthanteringsprocess. Här fyller en CERT en självklar roll.

Virtuell organisation
Vilka företag bör då ha en egen CERT? Suresh tycker att alla stora företag och myndigheter med affärskritiska eller verksamhetskritiska IT-system ska ha en fullt bemannad incidenthanteringsfunktion. Mindre organisationer kan däremot nöja sig med en virtuell organisation.
– Hos många företag kan det vara svårt att motivera heltidstjänster för CERT-personal. Kostnaderna kan väga mer än fördelarna. Då är den virtuella konstelletionen ett alternativ.

En virtuell enhet är informell och fungerar som en frivillig brandkår ungefär. De som ingår leds och sammankallas av IT- eller informationssäkerhetschefen vid behov.
– Det är alltså inte deras huvudsyssla att hantera incidenter och säkerhetsfrågor, säger Suresh och lägger till att en virtuell CERT inte ens behöver befinna sig i den egna organisationen. Den kan också vara utkontrakterad.

En av fördelarna med ett sådant upplägg kan vara att den totala kostnaden för att hantera IT-säkerhetsincidenter blir lägre. Det är ofta en attraktiv lösning för små- eller medelstora företag. Men det kan också vara ett alternativ för större företag som inte har tillgång till dedikerad IT-säkerhetspersonal som kan ingå i en CERT.

Rätt storlek på gruppen
Om du trots allt väljer att skapa en intern CERT gäller det att den är rätt dimensionerad.
En bra fingervisning om hur stor gruppen bör vara är att en utredare ska hinna med ett nytt ärende per dag, samtidigt som han eller hon har tio öppna ärenden att arbeta på. För att ett ärende ska ”platsa” hos CERT:en gäller det att dess konsekvenser riskerar att drabba många användare, att de inverkar negativt på företagets image eller hotar informationssäkerheten i stort. Det är något som CERT-personalen bör ha kompetens att bedöma själv, vilket leder oss in på profilen på gruppens medlemmar.
Visst ska en utredare vara expert på de tekniska orsakerna till en incident, men det gäller också att kunna göra sig förstådd bland mer affärsinriktade medarbetare och ledare. Och, som sagt, att ha tillräcklig verksamhetskännedom för att kunna
fokusera resurserna till rätt händelser, det vill säga de som har störst inverkan på affärsverksamheten i stort.

Allt har ett pris
En CERT kostar pengar. Hur vet man att den är värd satsningen?
Ett bra första steg för att motivera (eller avråda från!) en CERT är att samla in statistik kring vad inträffade incidenter respektive incidenthantering kostar idag. Sannolikt har ni alltså redan haft någon typ av utredningsarbete – och frågan är om det är billigare eller dyrare i drift än vad en utpekad CERT är. Viktigt här är att väga in alla kostnader, även dolda. Incidentutredningarna kanske stjäl tid från personal som borde arbeta med annat. Vad kostar det indirekt? Man kan också kolla vad revisorer har sagt om incidenthanteringen tidigare – finns det anmärkningar här så är det ett mycket starkt argument för en CERT.
Att därefter sätta upp mål och följa upp CERT:ens verksamhet garanterar att satsningen är försvarbar även i fortsättningen.
Obligatoriskt är att ha ett rent effektivitetsmål, så att gruppen tar vara på arbetstiden väl: ett visst antal utredda ärenden per månad till exempel. Men det är också viktigt att löpande jämföra gruppens kostnader med de kostnader som har undvikits, vilket kan vara nog så knepigt.
– För att förenkla förfarandet kan man titta på ett antal vanligt förekommande variabler, som stillestånd för kundtjänst, eller vad man förlorar på att en viss tillämpning inte kan nås. Det gör att det blir enklare att göra löpande mätningar, säger Suresh Ramasuppu.

Andra faktorer att väga in är naturligtvis nedlagd tid och timkostnaden för incidentutredare, driftpersonal och ledningspersonal. En CERT bör utveckla egna sätt att mäta sin effektivitet som passar organisationen den jobbar med.
Det är också viktigt att komma överens om en relevant avgränsning för CERT:ens ansvarsområden. Annars kan det bli struligt rent organisatoriskt. I vissa företag kanske en stulen dator hanteras som en fysisk säkerhetsincident, vilket utreds någon annanstans i företaget. Men om det finns inloggningsinformation till olika funktioner i datorn, som det sedan visar sig att en obehörig använder, måste CERT:en veta det.
Här är det oerhört viktigt att de inblandade avdelnin­garna har förtroende för varandra.
En lösning kan vara att lägga allt säkerhetsarbete på en organisation, som tar hand om alla typer av incidenter. En annan variant, som Suresh förespråkar, är att ha ett säkerhetsforum samt ett gemensamt incidenthanteringssystem, där olika säkerhetsorganisationer ser varandras incidenter. Då minskar man också risken för att ärenden hamnar mellan stolarna eller bara utreds delvis.
Hur man än gör tycker han att incidentgruppen ska stå utanför IT-avdelningen för att undvika en jävsituation. IT-avdelningens serviceavtal kan ju stå i konflikt med utredningsarbetet.
– En incident som tar lång tid att utreda kan hålla ett system avstängt, medan IT har krav på sig att få upp det. Och IT-avdelnin­gen kan vilja dölja incidenter eller förminska betydelsen av dem av rädsla för att bli kritiserad för att ha brustit i sitt säkerhetsansvar mot systemägaren.

Håll dig uppdaterad
För att CERT-gruppen ska kunna göra ett bra jobb är det viktigt att informera resten av verksamheten om att man finns och varför. På så vis ökar man säkerhetsmedvetandet bland de anställda och gör dem mer benägna att rapportera om incidenter och oegentligheter. Förhoppningsvis skapar det även en positiv syn på gruppens arbete, vilket är nog så viktigt. För att kunna verka effektivt måste CERT:en ha ett nära samarbete med flera andra avdelningar, exempelvis IT-avdelningen, HR samt företagets jurister och pressansvariga. Så det gäller att värna om relationerna.
Att ha tillgång till statistik när det gäller historiska incidenter internt är nödvändigt för en CERT. Det finns flera verktyg för att skapa en sådan databas, dels kommersiella program som BMC Remedy, dels open source-program som RTIR (Request Tracker Incident Response) och OTRS (Open Ticket Request System)
Men minst lika viktigt är att hålla sig informerad om vad som händer i andra företag. De publika källorna är få. Sans.org är ett exempel, Post- och Telestyrelsens Sitic som samlar in frivillig information från svenska företag är ett annat. Men där måste du vara medlem.
Det vanligaste är dock att man deltar i slutna CERT-nätverk, något som är mycket värdefullt, enligt Suresh. På så vis får du tillgång till information långt innan den blir publik, exempelvis kring nya hackningsmetoder. Dessutom får du möjlighet att delta i stängda e-postlistor där du kan få hjälp av andra om du går bet på en incident.
– Som CERT är det A och O att engagera sig med andra CERT:ar. Det är ett givande och tagande, säger Suresh.

Läs mer:

Fakta

10 steg mot en fullvärdig CERT
1. Identifiera nyttan med en CERT.
2. Säkra stöd från ledning – så att incidenthanteringen integreras med affärsverksamheten.
3. Identifiera ansvarsområde, vilka användarna är av funktionen (nyuppsatta constituency) samt vilka tjänster som ska tillhandahållas och när (SLA).
4. Identifiera resurser och kostnader.
5. Säkerställ finansieringen.
6. Ta fram en verksamhetsplan.
7. Ta fram rutiner och verktyg.
8.Utbilda personalen.
9. Informera resten av organisationen om den nystartade enheten.
10.Öva!

Mer information här