4.3.6 Gjennomfør nødvendige aktiviteter i etterkant av hendelsen

FOA-vurdering

Etter hendelsen: avklar årsak, rapporter og lær av det som skjedde

Når en IKT-hendelse er håndtert, skal virksomheten følge opp med undersøkelser, rapportering og læring. NSM peker på at omfanget av oppfølgingen styres av virksomhetens kompetanse og kapasitet, og at arbeidet kan utføres av internt eller eksternt personell. Det sentrale er å finne rotårsaken, forstå angrepsmåte og hendelsesforløp, og lage en oppsummering som ledelsen kan bruke. Veilederen fremhever også at relevante parter, herunder sektorvise responsmiljøer og/eller NSM NCSC, skal involveres ved behov. Når hendelsen er lukket, skal virksomheten raskt evaluere det som skjedde og bruke erfaringene til å forbedre sikkerhetstiltak, hendelsesprosesser, opplæring og prosedyrer. Poenget er å hindre at de samme feilene gjentas og å fange opp nye sårbarheter.

Betydning for anskaffelser

Kilden brukes når anskaffelsen eller kontrakten gjelder IKT-sikkerhetstiltak, hendelseshåndtering, beredskap eller oppfølging etter sikkerhetshendelser. Den er særlig relevant ved vurdering av hvordan leverandør, intern funksjon eller responsmiljø skal dokumentere, undersøke og rapportere en hendelse, og ved spørsmål om læringspunkter skal innarbeides i prosedyrer og sikkerhetstiltak.

Sentrale kildepunkter

• Oppfølgingen etter en hendelse skal omfatte undersøkelser av rotårsak.
• Det skal klarlegges type skadevare, trusselaktør, angrepsvektor og verktøy.
• Hendelsesforløpet og trusselaktørens handlemåte skal beskrives.
• Virksomheten skal lage en oppsummering som ledelsen kan forstå og ta stilling til.
• Relevante parter, inkludert sektorvise responsmiljøer og/eller NSM NCSC, kan involveres.
• Etter lukking av hendelsen skal virksomheten evaluere og lære av erfaringene.
• Læringen skal brukes til å forbedre sikkerhetstiltak, hendelsesprosesser, opplæring og prosedyrer.