Per Lagerström
Många betraktar IT-attacker som en fråga som IT-avdelningen ska lösa. Men det är fel. Eftersom IT är en stödfunktion och en möjliggörare för alla delar av verksamheten så är det företagsledningen som måste ta ansvar för att hantera en IT-attack. Det menar Elin Richarz, expert på krishantering och medgrundare av företaget Murphy Solution. Det är först när någonting händer som de flesta organisationer inser hur deras IT-beroende ser ut.
- Jag brukar börja med att be en företagsledning att slå ihop sina datorer och fundera över hur mycket de kan göra utan sin dator. Och det är oftast nästan ingenting, konstaterar hon.
Nästa steg är att många organisationer tänker att ”det händer inte oss”, men den förnekelsen är det viktigt att bryta och istället förbereda sig på hur man klarar av det viktigaste i verksamhetens olika delar – helt utan IT-stöd.Elin Richarz har arbetat med krishantering i 17 år och tänkte länge att det värsta någon kunde drabbas av var terror-dåd. Utvecklingen de senaste åren har dock fått henne att tänka om.
- Cyberattacker är det värsta man kan drabbas av. Värre än terror, säger hon.
Verksamheten står still. Ledningsförmågan försvinner. Stressnivån ökar och organisationen blir i det närmast lamslagen. Det är vad som oftast händer direkt efter en lyckad cyberattack.
- Ofta kommer det här som en chock för organisationen, säger Elin Richarz.
Idag offentliggör oftare hotaktörerna att attackerna genomförts och vilken organisation som drabbats. Det finns positiva aspekter på det, menar Elin.
- Det gör att ingen kan gömma sig bakom en skämskudde längre. Vi är tvungna att börja samarbeta och ta hjälp av andra. Det är dock någonting som många organisationer har svårt för.
- Jag skulle säga att vi är katastrofalt dåliga på att ta hjälp av andra, säger Elin Richarz.
”IT-tekniker är inga kommunikatörer”
Hur ska en organisation rusta sig för att klara ett cyberangrepp? Elin möter ofta företagsledningar som skjuter över ansvaret för krishanteringen på IT-avdelningen. Men det är fel väg att gå.
- Jag kanske sticker ut hakan lite grann här, men IT-tekniker är oftast inte de bästa kommunikatörerna, och därför är det ju fel att låta dem ta ansvar för kriskommunikationen, konstaterar hon. När Elin får frågan om vems ansvaret egentligen är, väljer hon att hänvisa till den ansvarsfördelning som slås fast i det svenska Krishanteringssystemet, ett system som visserligen bara är ett krav för offentliga aktörer, men vars innebörd lika mycket är tillämplig på privata företag.
- Där framgår tydligt vem som är ansvarig för vad och att hela verksamheten delar på ansvaret. Då ser man också tydligt att det inte går att hantera en IT-attack som ett IT-problem, säger Elin Richarz.
Övning ger färdighet – även när det gäller cybersäkerhet
Att förbereda sig och öva på att hantera en cyberattack kan låta som en svår utmaning. Det gäller att dela upp övandet i flera steg. Det menar Elin Richarz, expert på krishantering och medgrundare av företaget Murphy Solution.
- Vi gör det ofta för svårt för oss när det kommer till den här typen av träning, säger hon.
Elin menar att vi dels behöver träna och öva mycket mer. Träna proaktivt, så att vi är bättre förberedda när en kris, som till exempel en cyberattack, inträffar. Hon delar in övandet i tre olika typer:
- Utforskande – när organisationen inte har någonting att stödja sig på, eller inte vet om de har några resurser eller system för att hantera kriser.
- Lärande – när organisationen har samlat ihop de resurser man har och behöver öka förståelsen för hur saker fungerar och framförallt hänger ihop.
- Prövande – när det handlar om att de system och stöd man har verkligen fungerar i praktiken.
Problemet är att många organisationer felaktigt tror att all träning och övning måste vara prövande. Då känns det ofta som en oöverstiglig utmaning att ta tag i. Det här är ett problem, eftersom vi behöver öva mycket mer, och framförallt träna i praktiken. De små momenten som tillsammans är det vi ska klara av när krisen väl inträffar. Som att få iväg ett sms-utskick till alla anställda, eller att ringa de där samtalen som måste göras.
- Jag gillar NanoLearning, säger Elin Richarz. Men jag önskar att det också fanns en typ av Nano-training, så att fler fick chansen att nöta in saker i praktiken.
Viktigt vara strategisk – även i kris
När Elin Richarz, expert på krishantering och medgrundare av företaget Murphy Solution, träffar organisationsledningar som drabbats av en cyberattack, är det ofta en ledning under hög stress och med visst tunnelseende hon möter.
- De fokuserar helt på det upplevda problemet, berättar Elin. Som IT-systemet, när det i själva verket är andra saker som är viktigare att prioritera.
Förståelsen och tålamodet för hur länge ett IT-stöd kan ligga nere är låg. Längden på den så kallade ner-tiden är heller inte det som är avgörande, utan hur organisationen kan bedriva de viktigaste delarna av verksamheten utan sitt IT-stöd.
- Att klara IT-attacker kräver robusthet, konstaterar Elin Richarz. Och kreativitet.
Ett av de viktigaste budskapen från Elin och hennes kollegor är att få ledningen att helt enkelt bara acceptera att ”IT ligger nere” – och att den kommer att göra det ett ganska långt tag. Viktigare är att fokusera på hur organisationen kan hantera sina viktigaste uppgifter under tiden. Något som både kräver robusta system och ett visst mått av kreativitet.
- Om våra digitala kommunikationskanaler ligger nere, vilka alternativ har vi. Om vi inte kan kommunicera med våra kunder och leverantörer som vanligt, hur gör vi i stället? Det är frågor som organisationer behöver ställa sig.
Lyssna på hela avsnittet på Spotify här:
Upptäck här hur Junglemap kan hjälpa er att höja kunskapsnivån inom informationssäkerhet hos alla era anställda.
