FOA-vurdering
Når hendelsen må eskaleres og møtes med reaktive tiltak
Utdraget beskriver hva virksomheten gjør når en IKT-hendelse ikke lenger er under kontroll. Da skal hendelsen eskaleres til krisehåndteringsfunksjonen når omfanget øker og konsekvensene blir alvorlige for forretningsprosessene. Teksten peker også på hvilke umiddelbare tiltak som kan brukes for å begrense skade: sette inn personell, innkapsle eller blokkere angriperen, og stanse aktiviteter som sprer eller opprettholder kompromittering. Praktisk betyr dette at virksomheten må ha en tydelig terskel for når normal hendelseshåndtering ikke er nok, og hvilke inngripende tiltak som da skal settes inn.
Betydning for anskaffelser
Brukes når man vurderer overgang fra ordinær hendelseshåndtering til krisehåndtering, og hvilke reaktive tiltak som faktisk kan iverksettes for å stanse spredning, isolere angrep og redusere konsekvenser for virksomhetens prosesser.
Sentrale kildepunkter
- Omfangsøkning og alvorlige konsekvenser utløser eskalering til krisehåndteringsfunksjonen.
- Virksomheten skal undersøke om hendelsen er under kontroll før videre tiltak.
- Internt og eksternt personell kan allokeres for å håndtere hendelsen.
- Innkapsling og blokkering brukes for å hindre spredning.
- Truende eller kompromitterende aktiviteter kan termineres i systemer.
- Komprimerte eller berørte interne servere kan stenges ned dersom de kan brukes for videre angrep.
Fulltekst
kriseresponsaktiviteter iverksettes ved å eskalere til krisehåndteringsfunksjonen. Eksempler på reaktive tiltak er: • Allokering av internt og eksternt personell for å håndtere hendelsen. • Innkapsling og blokkering av inntrenger for å hindre spredning. • Terminering av truende eller kompromitterende aktiviteter i systemer, for eksempel ved å stenge ned kompromitterte, interne servere som kan benyttes for videre angrep.