Vi lever och gör affärer i en värld med cyberrisker. Varje dag riktas företag och konsumenter med attacker av varierande raffinement, och det har blivit allt tydligare att alla anses vara rättvist spel. Organisationer av alla storlekar och branscher faller offer, och cyberrisken blir snabbt en av de mest förekommande hoten.

När störningar uppträder från cyberattack eller andra datainlysningar har de inte bara en direkt ekonomisk inverkan, men en fortsatt inverkan på rykte. Till exempel, Carphone Warehouse blev offer för en cyberattack 2015, vilket resulterade i att kompromettera data som hör till mer än tre miljoner kunder och 1000 anställda. Även om det ledde till ekonomiska förluster från remedieringskostnaderna, vilket innehöll en £ 400.000 böter från Informationskommissionärens kontor (ICO), ledde det också till att konsumenterna ifrågasatte om deras uppgifter var riktigt säkra med återförsäljaren och om det bara var säkrare att handla på andra ställen. Den förlusten i konsumenternas förtroende är oerhört svårt att klaga tillbaka, särskilt i en tid då klagomål kan sändas på sociala medier och delas hundratals eller tusentals gånger.

För att lyfta på ytterligare granskning visade sitt moderbolag - Dixons Carphone - i juni 2018 att det hade blivit utsatt för en cyberattack som hade börjat i juli 2017. Hackers nåde 5,9 miljoner bankkort och 1,2 miljoner personuppgifter, med attacken anses vara tillräckligt allvarlig för att inleda en utredning från GCHQ. Medan Dixons Carphone uppgav att olyckan inte var relaterad till den från och med 2015, är varumärkena så nära anpassade att Carphone Warehouse återigen var förknippad med en stor överträdelse.

Företagen bedöms på deras svar på incidenter

Att förebygga cyberattack är svårare med den utvecklande sofistikationen av attacker som överträffar den teknik som används för att försvara sig mot dem. Vidare bedöms företagen - av konsumenter och tillsynsmyndigheter - om hur de svarar. Hur snabbt de anmäler relevanta intressenter, informationen och de råd som tillhandahålls, samt hur effektivt de kan ansluta klyftan, har alla effekt på nivån på den finansiella nedgången och bakslaget. Dessa faktorer pekar på det tvingande behovet för företagen att ha ett proaktivt Cyber-Security Incident Response Team (CSIRT) på plats.

Organiserad från experter från hela företaget kommer den att bli välborrad genom omfattande och regelbunden testning och planering, så att den omedelbart kan vidta lämpliga svar på incidenter av ökad sofistikering och komplexitet.

En annan fördel med ett sådant team är att den proaktiva regelbundna testningen gör det möjligt för företagen att identifiera eventuella existerande sårbarheter så att de kan anslutas innan de utnyttjas ondskanligt. När företagen växer och utvecklas, växlar nätverk och processer, så testning måste vara en kontinuerlig ansträngning för att säkerställa att cybersäkerheten fortfarande är hög.

Komma igång med CSIRT

Det finns några viktiga överväganden som ska göras innan du startar ett program. Dessa inkluderar operativa och tekniska problem - till exempel säkra nödvändig utrustning - samt bestämma resurser och finansiering som behövs för nybildade lag. Företagen måste också se till att befintliga lag inte lämnas shorthanded och fortfarande kan utföra sitt ansvar.

Som med något lag, ökar effektiviteten hos CSIRT kraftigt när den har ett definierat mål. När alla inom laget är tydliga på sin roll, är det lättare för dem att dra i samma riktning. Lag bör struktureras på ett sätt som ger varje medlem ansvar och ansvarsskyldighet, men definierar också vem som har det sista ordstävet.

Under planeringsfasen är det också viktigt att ta bort eventuella områden med dubbelarbete. Att återuppta aktiviteter och processer är ett slöseri med resurser och försenar helt enkelt tiden för att nå det önskade resultatet. Företagen kan identifiera var överlappningar och luckor finns genom att analysera sina nuvarande program för cyberrespons. Detta kommer också att belysa företagets nuvarande incidensresponsmöjligheter, effektiviteten hos befintliga varningskällor, samt bestämma eventuella begränsningar.

Välja det mest effektiva laget

Idealiskt bör CSIRT bestå av personal från hela företaget för att säkerställa att det finns en bra kompetensfördelning och att kraven från alla berörda intressenter kan uppfyllas.

En viktig komponent ska vara en affärschef. De opererar på affärsidans frontlinje och är ansvariga för att förvalta ett företags verksamhet och anställda. Om en händelse skulle vara så allvarlig att kritiska system måste stängas av för att mildra ytterligare skador, kommer en företagschef ombord att hjälpa företaget att bestämma effekterna av stillestånd.

Teknisk kunskap ska tillhandahållas av en representant för IT-teamet. Det är viktigt att tydliga riktlinjer fastställs för hur IT-personal och CSIRT ska interagera och vilka åtgärder som ska vidtas av var och en under responsoperationer. Om CSIRT kräver tillgång till nätverks- och systemloggar för analysändamål, bör åtkomstnivå och synlighet tydliggöras.

Efterfrågan på eventuella förlust av data kan leda till rättsliga förfaranden, därför är det viktigt att en lagmedlem är närvarande för att fastställa ansvar. Med sin expertis kommer de också att vara avgörande för att säkra företaget genom att granska avtal om upplysningar och utveckla lämplig formulering för att kontakta andra webbplatser och organisationer.

Övriga medlemmar bör bestå av revisions- och riskhanteringsspecialister - eftersom värderingsmetoder och sårbarhetsbedömningar kommer att spela en nyckelroll i planeringen av strategin - liksom en företrädare för personal och PR. Den förstnämnda kommer att hjälpa till med att utveckla arbetsbeskrivningar för att anställa CSIRT-personal och utforma policyer och förfaranden för att avlägsna interna anställda som befinner sig i obehörig eller olaglig datoraktivitet. Den senare kommer att ansvara för att ta itu med extern kommunikation, hantera mediafrågor och hjälpa till att utveckla pressmeddelanden och riktlinjer för informationsutbyte.

I en ålder där företag som drabbas av cyberattackar är en daglig förekomst, är det viktigt att företagen har proaktiva händelsesponslag som kan bidra till att minska hotet mot rykte. Brottseffekterna pågår och om företag inte kan flytta snabbt för att hantera dem, kan de spira ut ur kontrollen. En välpreppad CSIRT som är full av kompetens från hela företaget är ett kraftfullt verktyg som dramatiskt ökar cybersäkerheten. När incidensresponsen är smidig och väl planerad kommer det berörda företaget att ses mer positivt av tillsynsmyndigheter och, än viktigare, kommer det att mildra den kraftiga minskningen av konsumentförtroendet som kan vara dödligt för andra mindre förberedda företag.

Fransk Caldwell, Chief Evangelist, på Metric

  • Kolla även vår raundup av de bästa internetsäkerhetssviterna