When Norsk Hydro got hit by a ransomware attack, they didn't panic. The aluminum company started investigations immediately and have been showing excellent crisis communication skills.
Norsk Hydro otti kolauksen, mutta heillä todennäköisesti oli suunnitelma
Huhtikuu 26, 2019 at 14:31
Emme voi tietää varmasti, mitä Norsk Hydrossa tapahtuu ja miten he ovat prosessissaan edenneet. Mutta kukapa ei rakastaisi kunnon spekulaatiota.
Maaliskuussa 2019 norjalainen alumiinivalmistaja Norsk Hydro joutui harvinaisen ikävän kiristysohjelmahyökkäyksen kohteeksi. Yhtiö joutui sulkemaan osan tehtaistaan ja pyöritti toimintojaan viikkoja manuaalisesti. Norsk Hydro sai kuitenkin kyberturvayhteisöltä kehuja nopeasta ja asiallisesta kriisiviestinnästään.
Norsk Hydro on maailmanlaajuinen alumiiniyhtiö, joka toimii 40 maassa ja jolla on 35 000 työntekijää. Kun tällaiseen yhtiöön iskee kyberhyökkäys ja viestintä on täsmällistä ja selkeää, voimme olettaa, että he ovat harjoitelleet kriisiä varten. He ovat tienneet, että kun kyberhyökkäys iskee, prosessit A, B ja C lähtevät liikkeelle. He olivat sopineet, kuka tekee mitäkin ja milloinkin.
Taustalla todennäköisesti Incident Response -alusta
Koska norjalaisyhtiön toiminta on ollut niin jämptiä, työntekijöiden tietokoneiden taustalla on todennäköisesti pyörinyt jonkinlainen Incident Response (IR) -alusta, jonne on tehty määrityksiä. Esimerkiksi jos hakkerit lukitsevat yrityksen tietokoneen, järjestelmä hälyttää IT-vastaavat, viestintävastaavat ja kolmannet osapuolet ja osoittaa heille ennalta sovitut tehtävät vasteaikoineen.
Työkalu voi myös hoitaa osan rutiinitehtävistä automaattisesti ilman, että kenenkään tarvitsee puuttua niihin. Näin vältytään siltä ylimääräiseltä vaivalta, että kun tietoturvahäiriö osuu kohdalle, ei ruveta siinä vaiheessa miettimään, että mitäs nyt pitäisi tehdä.
Norsk Hydron kaltaisessa yrityksessa kyberhyökkäys on siis ennakoitu, sen varalle on määritelty prosessi, joka on pitkälle automatisoitu ja dokumentoitu hyvin.
Sen sijaan, että itse tilanteessa syytellään muita, toimenpiteet on sovittu etukäteen ja prosessi nähdään selkeästi kirjattuna työkalussa. Tositilanteessa jokainen tietää, mitä on meneillään ja mitä pitää tehdä seuraavaksi.
Automaattinen dokumentaatio
Kyberhyökkäyksestä seuraa usein rikostutkinta tai ainakin jonkinlainen selvitys viranomaisille on tehtävä. Miten pidetään huoli siitä, että yrityksellä on selkeä dokumentaatio siitä, mitä on tehty?
Incident Response -työkalujen yksi suuri arvo on siinä, että ne tekevät sen käytännössä automaattisesti. Ne dokumentoivat, mitä toimenpiteitä on tehty ja milloin, mitkä toimenpiteet liittyvät omiin prosesseihin ja mitkä ovat rikollisten aiheuttamia. Näin tapahtuneesta saadaan ns. ”audit trail”. Tällöin ei kenenkään tarvitse muistaa kirjata tapahtumia tilanteessa, kun on muutenkin kiire ja hätä. Eikä kenenkään tarvitse jälkikäteen muistella, mitä tulikaan tehtyä meidän osaltamme.
Automaattisen dokumentaation avulla yritys voi osoittaa toimineensa oikein. Jos puutteita ilmenee, virheistä on helppo oppia, kun todellinen toiminta on kirjattu ylös.
Excel-himmeleiden sijaan IR-alustaan määritellään avainrooleille tietyt vastuut tiettyihin tilanteisiin. Kun työntekijä aloittaa tietyssä roolissa, hän pääsee alustan avulla puikkoihin. Isot organisaatiot ovat monimutkaisia, joten kun kyberkriisi iskee, voidaan luottaa automaattiseen alustaan, joka kertoo, kenen tulee reagoida ja miten missäkin vaiheessa. IR-alustat kytkeytyvät yrityksen muihin työkaluihin ja monet tehtävät pystyy hoitamaan yhdessä näkymässä ilman hyppelyitä sovelluksesta toiseen.
Jokaisella tulisi olla suunnitelma
Yritykset miettivät kuumeisesti tällä hetkellä, miten he voivat varautua kyberhyökkäyksiin ilman, että henkilöstöä tarvitsisi kuormittaa sillä liikaa. Eritasoisia kyberhyökkäyksia esiintyy niin usein, että yrityksiltä kuluu valtavasti aikaa aloittaa jokainen tutkimus puhtaalta pöydältä. Merkittävä osa tästä perustyöstä on mahdollista automatisoida Incident Response -alustoilla.
Hydro joutui tilanteeseen, jossa sen kaikki järjestelmät olivat alhaalla, eikä tietokoneita saanut kytkeä verkkoon. Siinä tilanteessa ei kukaan halua alkaa suunnittella, että kuka soittaa palveluntarjoajalle ja pyytää heitä tekemään... ...niin, mitä heidän kannattaisi tehdä ensimmäisenä? Mitä jos palveluntarjoaja ei vastaa? Kuka siellä toimikaan vastuuhenkilönä? Kun kyberhyökkäys on ennakoitu ja toimintatavoista on sovittu etukäteen eri osapuolten kanssa, se myös siirtää vastuuta eri osapuolille.
Jokaisen yrityksen olisi syytä kysyä: Miten juuri me olemme varautuneet? Mikä on meidän suunnitelmamme?
Jos tilanteita varten on harjoiteltu ja suunnitelma on ajan tasalla, voi seurata kyberhyökkäys-uutisointia tyynemmällä mielellä. Onnettomuuksia tapahtuu, rikollisuus muuttaa muotoaan, mutta pahan päivän varalle voi varautua. Sitten voikin keskittyä muihin, inspiroivimpiin asioihin.
Kun ystäväni sai ajokortin, hän sai isältään kertakäyttökameran (tämä oli aikaa ennen kännykkäkameroita). ”Kun kolari tapahtuu, ei hätää”, ystäväni isä sanoi tyttärelleen. ”Otat vain valokuvat tällä kameralla ja soitat vakuutusyhtiöön.” Vaikka ystävälleni aina sattui ja tapahtui, hänestä tuli itsevarma kuski – hansikaslokerossa olevan kertakäyttökameran ansiosta. Jos jotain tapahtuisi, hänellä oli suunnitelma.
JOKO TEILLÄ ON SUUNNITELMA X? Suunnitelma B on aina hyvä olla, mutta se on usein se vaihtoehto, johon et halua tarttua – etenkin tietoturvallisuudessa, jossa jo suunnitelma A:n pitäisi toimia. Älä jää odottelemaan suunnitelma B:tä, ota käyttöön suunnitelma X. Lue lisää: nixu.com/planX