Testa krisen innan krisen testar er
När organisationer börjar sitt kontinuitetsarbete inom cybersäkerhet gör de ofta det mest logiska: de analyserar risker, kartlägger beroenden och skriver planer. Men erfarenheten visar att förståelsen för vad som verkligen är kritiskt ofta uppstår först när en kris händer på riktigt eller spelas upp i en realistisk övning.
Strategisk rådgivare
Det rationella sättet att börja kontinuitetsarbete inom cybersäkerhet är ofta det minst praktiska.
Organisationer börjar med analyser. Kartlägger risker. Skriver planer.
Men först när en kris spelas upp i en övning blir det tydligt vad som faktiskt måste fungera när systemen slutar göra det. Det vet organisationer som redan har upplevt en cyberkris.
När Maersk drabbades av NotPetya cyberattacken 2017 slogs stora delar av världens största containerrederis it-system ut på några timmar. Bokningssystem, terminalsystem och interna nätverk slutade fungera.
Plötsligt blev prioriteringarna brutalt tydliga. Det handlade inte längre om riskmodeller eller systemarkitektur – utan om att hålla godsflödena igång och få terminalerna att fungera, ibland med papper, telefoner och manuella rutiner.
Krisen gjorde något som få analyser klarar: den visade exakt vilka system och processer som verksamheten faktiskt var beroende av.
Den typen av insikt är svår att nå i teorin, men uppstår nästan alltid i en realistisk övning. En cyberövning kastar organisationen rakt in i ett scenario där systemen ligger nere, kunderna väntar på svar och besluten måste fattas snabbt trots bristfällig information. På några timmar uppstår frågor som annars kan ta månader att identifiera i analyser och workshops.
Vilka tjänster måste fungera först?Hur länge kan verksamheten stå stilla?Vad är viktigast att rädda – data, produktion eller förtroende?Och vem fattar besluten när informationen är ofullständig?
I en sådan situation möts perspektiven från ledning, verksamhet och it på riktigt. Det som tidigare varit abstrakta risker blir konkreta prioriteringar.
För it-avdelningen blir det tydligt hur tekniska beroenden påverkar verksamheten. För ledningen blir det uppenbart att cyberrisker inte bara är en teknisk fråga, utan en affärs- och förtroendefråga.
Det är ofta först där den gemensamma förståelsen uppstår.
”En krisövning är i grunden ett sätt att upptäcka vad som verkligen är viktigt – innan verkligheten gör det åt oss.”
När organisationen väl har upplevt krisen i miniatyr förändras också förutsättningarna för det fortsatta arbetet. Kontinuitetsplaner blir mer träffsäkra. Kritiska processer identifieras snabbare. Ansvarsfördelning och beslutsvägar klarnar.
Övningen ersätter förstås inte analyser, planer och tekniska skydd. Men den kan fungera som startpunkten som gör resten av arbetet relevant.
För i en tid där cyberhoten utvecklas snabbare än organisationers planeringscykler finns en enkel lärdom:
Det är först när systemen slutar fungera som vi verkligen förstår vad som måste göra det.
Ateas cybersäkerhetsförmåga byggs upp av ett antal närbesläktade funktioner, där samtliga bidrar till att förhindra och stoppa cyberintrång.
