Sådan skal du forholde dig før og efter et sikkerhedsbrud
Hold hackerne ude og undgå at vigtige beviser bliver ødelagte, såfremt skaden allerede er sket, lyder det fra Rasmus Riis Kristensen fra Rigspolitiets Nationale Cyber Crime Center (NC3), som også skal tale på IT-sikkerhed 2019.
NC3 og DANSK IT har sammen udgivet en vejledning i, hvordan man bør forholde sig før og efter et sikkerhedsbrud.
- Alt for mange efterforskninger, strander på baggrund af mangelfuld eller manglende bevisindsamling. Vi besluttede derfor at udarbejde en vejledning til virksomhederne, fortæller Rasmus Riis Kristensen, Technical Group Lead hos NC3. Han forklarer, at der er nogle helt konkrete ting man som virksomhed kan gøre, for at sikre sig, at politiet har de nødvendige spor til at kunne opklare en it-sikkerhedshændelse.
- Man bør følge sin computer incident response plan (CIRP), som alle virksomheder bør have. Hvis man ikke har det, bør man starte med at indsamle logs og sikre eventuelle datakilder så tidligt i processen som muligt. Det er vigtigt ikke at vente til bestyrelsen har besluttet at involvere politiet, for da er potentielle spor ofte overskrevne.
- I langt de fleste tilfælde er logfilerne der, hvor beviserne kan findes. Det er også derfor de skal indsamles så hurtigt som muligt, idet de ofte bliver overskrevne ret hurtigt for at spare plads.
Rasmus Riis Kristensen er taler på DANSK IT's IT-sikkerhedskonference, hvor han med oplægget ”Er din virksomhed klar til at blive hacket?” vil gå meget mere i dybden med vejledningen og give helt klare anbefalinger til, hvordan du bedst sikrer dine it-systemer.
Du kan stadig nå at tilmelde dig konferencen. Se hele programmet: