Hændelsesrespons

Hændelsesrespons (incident response) er den organiserede og planlagte tilgang til at opdage, inddæmme, eliminere og genoprette efter en cybersikkerhedshændelse. En veldokumenteret og øvet hændelsesresponsplan reducerer markant skaden og genoprettningstiden ved et angreb.

Tilbage til ordbog

Hændelsesrespons-faserne

NIST's incident response framework (SP 800-61) definerer fire faser:

Forberedelse: Etablér planer, teams og værktøjer inden en hændelse opstår. Det inkluderer at definere roller, udarbejde playbooks og sikre, at logning og overvågning er på plads.
Detektion og analyse: Opdage, identificere og klassificere hændelsens omfang og alvorlighed ved hjælp af overvågningsværktøjer, trusselsefterretninger og etablerede indikatorer for kompromittering.
Inddæmning, eliminering og genopretning: Begræns skaden, fjern årsagen og genopret normal drift. Denne fase indebærer ofte isolering af berørte systemer, fjernelse af malware og gendannelse fra backups.
Post-incident-aktivitet: Gennemfør en grundig efteranalyse, dokumentér erfaringer og opdatér procedurer for at forhindre gentagelse.

Hændelsesresponsplanen

En hændelsesresponsplan (IRP) dokumenterer, hvad organisationen gør, når en sikkerhedshændelse opstår. Den bør indeholde:

Kontaktlister og eskaleringsprocedurer for nøglepersoner
Kommunikationsplaner for både interne og eksterne interessenter
Klart definerede roller og ansvar for responsteamet
Playbooks for specifikke hændelsestyper (ransomware, databrud, phishing)
Kriterier for bestemmelse af hændelsens alvorlighedsgrad
Lovmæssige og regulatoriske notifikationskrav

Test din plan: En plan, der aldrig er øvet, er ikke en plan. Regelmæssige tabletop-øvelser, hvor teamet simulerer en hændelse, afslører huller og sikrer, at alle kender deres roller under pres. Årlig testning er et minimum; kvartalsvise øvelser anbefales for højrisikoorganisationer.

CSIRT og incident response-teams

Et CSIRT (Computer Security Incident Response Team) er en dedikeret gruppe med ansvar for hændelsesrespons. Selv uden et dedikeret sikkerhedsteam bør der udpeges klare roller: hvem leder responsen, hvem kommunikerer med ledelsen, hvem kontakter myndigheder, og hvem er teknisk ansvarlig.

Notifikationsforpligtelser

Visse hændelser udløser lovbestemte notifikationspligter. GDPR artikel 33 kræver anmeldelse til Datatilsynet inden 72 timer ved brud, der medfører risiko for de registrerede. NIS2 kræver initial notifikation inden 24 timer. DORA har lignende krav for finansielle virksomheder. Hændelsesresponsplanen skal inkludere en klar proces for hver type notifikation.

Ofte stillede spørgsmål om hændelsesrespons

Hvad er hændelsesrespons?

Hændelsesrespons er den organiserede og planlagte tilgang til at opdage, inddæmme, eliminere og genoprette efter en cybersikkerhedshændelse. Formålet er at minimere skaden, reducere genoprettningstiden og forhindre gentagelse.

Hvad er de fire faser i hændelsesrespons?

Ifølge NIST SP 800-61 er de fire faser: forberedelse, detektion og analyse, inddæmning/eliminering/genopretning og post-incident-aktivitet. Hver fase har specifikke mål og aktiviteter.

Hvad bør en hændelsesresponsplan indeholde?

En hændelsesresponsplan bør indeholde kontaktlister, eskaleringsprocedurer, kommunikationsplaner, roller og ansvar, playbooks for specifikke hændelsestyper, klassifikationskriterier for alvorlighed og lovmæssige notifikationskrav.

Hvad er et CSIRT?

Et CSIRT (Computer Security Incident Response Team) er en dedikeret gruppe med ansvar for håndtering af cybersikkerhedshændelser. Det kan være et internt team eller en ekstern tjeneste, og nationale CSIRT'er koordinerer hændelsesrespons på landeniveau.

Hvor ofte bør man teste sin hændelsesresponsplan?

Årlig testning er et minimum, men kvartalsvise tabletop-øvelser anbefales for højrisikoorganisationer. Testning afslører huller i planen og sikrer, at teammedlemmer kender deres roller under pres.