Sånn bidro Defendable-plattformen i Tomra-hendelsen
De kriminelle er inne, men du vet ikke akkurat hvor. Du vet ikke hva de har tilgang til, hva de er på jakt etter eller hvordan de jobber. Hvordan jobber du trygt med å håndtere hendelsen da? Det var situasjonen da Tomra ble angrepet i juli 2023, men heldigvis hadde vi løsningen klar.
Midt i sommerferien gikk alarmen hos den norske industrigiganten Tomra. Det var oppdaget tegn på at uvedkommende hadde tilgang til kritiske systemer, og som én av Tomras sikkerhetspartnere ble Defendable raskt kontaktet for å bistå med å håndtere hendelsen.
De første timene av en hendelse er alltid de mest utfordrende, og det er veldig mange spørsmål som må besvares – helst så fort som mulig.
– Hvilke systemer er kompromittert? Hvilke systemer er trygge å bruke? Hva er trusselaktøren på jakt etter? Hvordan kan vi kaste dem ut? Hva kan vi gjøre for å sikre driften på kort sikt? Det er bare noen av spørsmålene vi må få svar på når vi håndterer en hendelse, forteller Håkon Prestvik.
Han er fagleder for hendelseshåndtering i det norske cybersikkerhetsselskapet Defendable og var en del av teamet som stilte opp på Tomras hovedkontor i Asker midt i sommerferien.
Kommunikasjon, både internt i teamet som håndterer hendelsen, med selskapet som helhet og eksternt, er med andre ord noe av det aller viktigste i en tidlig fase. Det gjør at hendelsen kan håndteres så effektivt som mulig, samtidig som man kan sikre mest mulig av den daglige driften i selskapet.
Og jo mer avansert en trusselaktør er, jo større er sjansen for at de følger med på nettopp dette.
Du kan ikke stole på noe
Resulatet er at du ikke kan bruke epost, Teams, Slack, Confluence eller noen av de andre verktøyene dere har til å kommunisere om hendelsen. Da risikerer dere at trusselaktøren tilpasser aktiviteten sin, og at dere i verste fall tror at hendelsen er ryddet opp i – mens den i realiteten bare blir satt på pause til et senere tidspunkt.
Med andre ord: Når du har en aktiv hendelse med en trusselaktør i systemet ditt kan du ikke stole på noe annet enn fysiske møter og telefonsamtaler som kommunikasjonskanal.
Og alle som har prøvd å håndtere et stort og komplekst prosjekt med hundrevis av forskjellige deler og like mange involverte, vet at det i praksis er umulig uten digital samhandling i dag.
Da våre hendelseshåndterere kastet seg i bilen for å stille på Tomras hovedkontor, var nettopp dette én av de første oppgavene de satte i gang med: Å sette opp en out-of-band-plattform for å kunne håndtere hendelsen så sikkert og effektivt som mulig.
Hva er en out-of-band-plattform?
Kort fortalt er Defendables out-of-band-plattform en løsning for å etablere og drifte en separat løsning for sikker kommunikasjon og samhandling når et selskap er utsatt for et dataangrep.
Løsningen er satt opp på et par timer, og gjør at både de som faktisk håndterer hendelsen og nøkkelpersonell som skal videreføre driften i selskapet kan jobbe så effektivt og trygt som mulig – med de samme verktøyene som de er vant til fra før.
– Med en effektiv out-of-band-plattform får du et komplett Microsoft-miljø som allerede er herdet, helt adskilt fra de påvirkede systemene og mulighet for å legge på funksjonalitet som for eksempel Atlassian-stacken for å styre prosjekter underveis på samme effektive måte som mange er vant til, sier Prestvik.
Dermed blir det mulig for ledelsen å jobbe trygt med å holde så mye som mulig av driften gående, samtidig som interne ressurser og det som trengs av ressurser fra Defendable kan jobbe effektivt med å håndtere hendelsen – uten at noen trenger å bekymre seg for at trusselaktøren følger med på hva som skjer.
Out-of-band-plattformen blir også aktivt overvåket døgnet rundt av Defendables eget Cyber Defence Center. Det sørger for at alle eventuelle trusler mot miljøet blir oppdaget og håndtert med én gang de oppstår.
Målet er å kunne avvikle en out-of-band-plattform så fort som mulig, og Defendable er både Microsoft-partner og samarbeider med distributører som gjør at dere får en fleksibel plattform som du bare betaler for så lenge dere trenger den.
