Skip to main content

Incident Response – beredskab og hjælp ved cyberangreb

Grunddisciplinerne skal være på plads. Men når uheldet er ude, skal organiseringen, håndteringen og beslutningskompetencen også kunne sættes i spil med kort varsel. Vi står selv for den tekniske recovery og har faste partnere inden for forhandling og forensic, så I får det fulde incident response-beredskab samlet et sted.

Tag en snak med os

Når uheldet er ude

Til alt held hører det statistisk til sjældenhederne, at virksomheder lukker efter hackerangreb. Men det gør ikke situationen bedre, når uheldet er ude. Industriel hacking og ransomware er ikke et nyt påfund; der er taget gidsler og betalt løsesum, siden angreb blev udført med sværd og økse.

Forberedelserne er sammenlignelige. Man har en velgennemtænkt plan, den er øvet og trænet igen og igen, og så viser det sig alligevel, at situationen og udgangspunktet er meget anderledes end forventet. For det er en opfindsom, innovativ og omskiftelig verden vi lever i, og det går stærkt.

Grunddisciplinerne skal være på plads, gennemarbejdet og naturligvis trænet. Dertil skal organiseringen, håndteringen og beslutningskompetencen være på plads, når uheldet er ude, og kunne sættes i spil med kort varsel.

Under 2 %

Af ledelser har gennemført en reel kriseøvelse

ca. 21 dage

Gennemsnitlig nedetid efter et ransomware-angreb

80 %

Af virksomheder har oplevet cyberangreb, der ikke var fuldt dækket af deres forsikring

Op til 12 %

Af virksomhedens egenkapital kræves typisk i løsesum af enkelte hackergrupper

20 %

Af danske virksomheder har en beredskabsplan, der involverer hele organisationen

Et recoveryforløb gennemgår fem faser

Et recoveryforløb gennemgår reelt fem hovedfaser, hvor hver fase kræver en bred vifte af faglige kompetencer, menneskelige kapaciteter samt god styring og kommunikation. Faserne eksekveres som udgangspunkt parallelt med en lille forskydning.

  1. Identificering og indramning
  2. Analyse og undersøgelse
  3. Forberedende recovery og rebuild
  4. Recovery og rebuild
  5. Afslutning og evaluering

Tre hovedfunktioner, adskilt ansvar, fælles forløb

Der er et klart behov for adskillelse og ansvar mellem de tre hovedfunktioner: incident response, forensic og technical recovery. 

Kommunikation, forhandling og håndtering (Incident Response) Leveres af Delta Crisis Management

Analyse og undersøgelse (Technical response and forensic) Leveres af specialiseret partner 

Recovery og Rebuild (Technical Recovery) Leveres af M Networks 

Vores team er forberedt og uddannet til håndtering af analyseopgaven, udarbejdelse af arkitekturen samt trænet i at tage lederskabet og sikre, at recoveryfasen gennemføres effektivt og stabilt, i tæt samarbejde med både Incident Response og forensic.

Vi har sikret bredden, men samtidig specialiseringen, ved at have et indgående samarbejde med partnere, der er specialiseret i Incident Response og forensic.

Fagligt dækker vi de fleste klassiske platforme, og via vores søsterselskab M Pact har vi adgang til en række specialister inden for mindre kendte platforme og it-løsninger.

Sådan arbejder vi

Vi arbejder ud fra faste principper, sikrer fremdrift og beslutningskraft, samt forventer og er forberedt på at løse det uventede, kan agilt skifte retning og planlægger efter, at forløbet er intenst og ofte længerevarende. Vores team er godt bekendt med at arbejde ud fra “de forhåndsværende søms princip” og en balance mellem fremdrift og arbejdsniveau gennem hele forløbet.

Incident response gennem vores partnerskab med Delta Crisis Management

Som partner med Delta Crisis Management, kan vi tilbyde et komplet beredskab mod cyberangreb. Delta er Nordens førende rådgiver inden for håndtering af alvorlige cyberangreb med særlig specialisering i ransomware. Teamet består blandt andet af tidligere forhandlere og specialister med erfaring fra FBI, Scotland Yard og danske myndigheder, kompetencer, der omsættes til konkret beslutningsstøtte for ledelser.

Beredskabet er bygget op om to dele: forberedelsen før et cyberangreb og hjælpen, når angrebet er der.

Før et cyberangreb: Executive Crisis Readiness (ECR)

ECR er ledelsesberedskabet, der sikrer, at direktion og bestyrelse kan træffe de rigtige beslutninger i de første kritiske timer. Det kan tegnes som en samlet pakke eller som tre selvstændige elementer.

Den samlede ECR-løsning indeholder:

  • En skarp, testet kriseplan med tydelige roller og beslutningsveje
  • En realistisk kriseøvelse med topledelsen
  • Garanteret 24/7/365 adgang til beredskab og uddannede forhandlere
  • Samarbejde med myndigheder, IR-teams, forsikringsselskaber og advokater
  • Adgang til specialiseret krisekommunikation via BRO Kommunikation

Eller som tre selvstændige elementer, hvis I kun har brug for en af delene:

  • 24/7 Hotline: døgnberedskab med garanteret respons
  • Executive Crisis Exercise: realistisk øvelse med topledelsen
  • Crisis Plan: udarbejdelse eller opdatering af jeres kriseberedskabsplan

Når et cyberangreb sker: Incident Response

Hvis I bliver angrebet, kan I ringe direkte til Delta døgnet rundt. Som ECR-kunde har I garanteret adgang inden for 1 time. Tid er en af de mest værdifulde valutaer i et cyberangreb, og som kunde slipper I for at bruge kritiske timer på at finde hjælp. 

Hjælp er også tilgængelig for virksomheder, der ikke har en ECR-aftale på forhånd, men her vil onboarding og almindelige timepriser tage længere tid og koste mere. Forberedelse betaler sig.

Hyppigt stillede spørgsmål

Er det ikke en opgave for IT-afdelingen?

Ransomware er ikke en IT-hændelse. Det er en forretningshændelse, der påvirker hele organisationen. Når et angreb sker, opstår der straks spørgsmål, der ikke kan løses af IT: Skal vi lukke produktionen? Skal kunder informeres? Skal myndigheder kontaktes? Skal vi forhandle? Disse beslutninger ligger hos CEO, CFO og COO, ikke hos IT.

Vi er en mindre virksomhed, er det her relevant for os?

Mindre og mellemstore virksomheder er i praksis ofte mere attraktive mål end store virksomheder, typisk på grund af færre sikkerhedsressourcer, lavere beredskab og større sandsynlighed for hurtig betaling. Samtidig er mange SMVer kritiske leverandører til større virksomheder, hvilket gør dem til oplagte mål i supply chain-angreb.

Kan vi ikke bare ringe efter hjælp, når det sker?

Det kan I, men de første timer i et cyberangreb er ofte de mest afgørende. Hvis roller, beslutningsstruktur og strategi ikke er afklaret på forhånd, går værdifuld tid tabt. Organisationer uden forberedelse bruger ofte dage på at etablere kontrol, mens forberedte organisationer kan gøre det på timer.

Vi har en stærk IT-sikkerhed, er det så ikke nok?

God IT-sikkerhed reducerer risikoen, men eliminerer den ikke. Selv de mest modne organisationer kan blive ramt. Forskellen ligger derfor i beredskabet efter angrebet.

Skal vi tage en snak om jeres beredskab?

Vi tager gerne en snak med jer om, hvor I står i dag, og hvad der giver mening som næste skridt. Det er uforpligtende, og I bestemmer selv tempoet bagefter.

Udfyld formularen, så vender vi tilbage hurtigst muligt.


Tal med en rådgiver