Bilde av servere i maskinhall med blålig belysning.
Forskere har fulgt tre av kraftbransjens nettselskaper som gjennomførte beredskapsøvelser på IT-feltet. Ifølge artikkelforfatterne avslørte øvelsene svakheter som kunne vært kritiske ved reelle hackerangrep. Illustrasjonsfoto: Thinkstock

Hvorfor øves det så lite på IT-kriser?

  • Publisert 11.02.15

Beredskapsøvelser for IT-sikkerhet har lav prioritet i mange norske virksomheter. Det er uklokt.

Maria B. Line, stipendiat, NTNU og forsker, SINTEF
Nils Brede Moe, seniorforsker, SINTEF

Vi har fulgt tre av kraftbransjens nettselskaper som gjennomførte beredskapsøvelser på IT-feltet i form av skrivebordsøvelser. De skulle se for seg en og samme sikkerhetshendelse i flere faser – fra unormalt mye nettverkstrafikk ut mot Internett til at all mobilkommunikasjon og Internett-forbindelse er nede.

Avslørte kritiske svakheter

Øvelsene avslørte svakheter som kunne vært kritiske ved reelle hackerangrep. Desto mer betenkelig er det at norske virksomheter øver så lite på slik krisehåndtering. Effektiv respons krever trening. Dokumenterte prosedyrer og varslingslister må være på plass, men kunnskap og praktisk erfaring blant de ansatte er viktigere i kriser. Derfor bør beredskapsøvelser gjennomføres med jevne mellomrom. Trolig er det to grunner til at dette likevel ikke skjer:

Selskapene forstår ikke hvordan de skal øve effektivt. Alternativt kan det være at de ikke opplever stor nok nytte av å øve.

Slik kan det øves mer effektivt

Derfor studerte vi hvilke utfordringer nettselskapene møtte i øvelsene. Ut i fra funnene, har vi utarbeidet anbefalinger til hvordan virksomheter kan øve bedre og mer effektivt og dermed bli flinkere til å håndtere et trusselbilde i konstant endring.

Sjansen for et godt utbytte av øvelsen, øker med følgende grep: Deltakerne må ha en felles forståelse av målet, og øvelsen må ha kun ett mål. Grupper med bred kunnskap, og ikke enkeltpersoner, må håndtere oppgaven.

Sørg for å involvere ledelsen

Hyppige og korte øvelser bør avholdes, slik at alle får anledning til å delta. La øvelsen skje under tidspress, og sett av tid til refleksjon etterpå. Ha eksisterende dokumentasjon tilgjengelig, og sist men ikke minst: Involver ledelsen.

Den store fordelen med skrivebordsøvelser er at de legger til rette for diskusjon av roller, ansvar, prosedyrer, varsling, koordinering og beslutninger. De er også forholdsvis rimelig å gjennomføre. Men i tillegg må også mer operasjonelle øvelser avholdes.

Innlegget sto første gang i Teknisk Ukeblad 5. februar 2015