DYNAMO 54 09 18 DTU 21
Det globale
WannaCry-ransomwareangreb
inficerede mere end 300.000
computere i 150
lande i maj 2017.
KILDE: CENTER FOR CYBERSIKKERHED, FORSVARETS EFTERRETNINGSTJENESTE
I december 2015
blev store dele af
Ukraine mørklagt
i seks timer som følge
af malwaren ’KillDisk’,
der lagde en række
kraftværker ned.
KILDE: RAPPORTEN ’THE FUTURE MARKET FOR CYBERSECURITY IN DENMARK’
ligger på at identificere og tage kontrol
over virksomhedens svage punkter.
”Når man kender virksomhedens
sårbarheder, kan man designe strukturer
som f.eks. teams og kommandoveje,
der giver organisationen de
egenskaber, der gør, at den kan reagere
hurtigt ved f.eks. cyberangreb,” siger
Daniel Sepulveda Estay.
Tre vigtige faktorer
Gennem sin forskning har han identificeret
tre vigtige faktorer, der gør virksomheder
modstandsdygtige over for
cyberangreb: fleksibilitet, redundans og
reaktionstid.
Fleksibilitet er vigtig i krisens akutte
fase og består i at mobilisere eksisterende
ressourcer i virksomheden. Det
kan f.eks. være at allokere medarbejdere,
der kan slippe de sædvanlige
opgaver og i stedet hjælpe med at få
overblik over angrebets omfang, håndtere
konsekvenser som forsinkelse af
produkter og services samt kommunikere
med kunderne.
I krisens næste fase er redundans
– en slags virksomhedens plan B –
vigtig. Her mobiliserer virksomheden
yderligere ressourcer i krisehåndteringen.
Det kan være i form af f.eks.
ekstra servere med backup eller et
alternativt netværk af leverandører,
som man har haft stående standby.
Den tredje vigtige faktor, tid, handler
om reaktionstiden, hvormed virksomheden
bringer fleksibilitet og redundans
i spil. Tidsfaktoren er afgørende
for virksomhedens modstandsdygtighed:
”Den tid, det tager at mobilisere og
udnytte både fleksibilitet og redundans,
er afgørende for, hvor længe og hvor
dybt krisen påvirker virksomheden,”
siger Daniel Sepulveda Estay.
Kend sårbarhederne
Har man først opbygget en cybermodstandsdygtig
virksomhed, vil den
ikke alene være modstandsdygtig over
for cyberangreb, men også over for
andre hændelser som strejker, ulykker,
terror eller ekstremt vejr, siger Daniel
Sepulveda Estay. Det hele kræver dog,
at virksomheden kigger indad:
”Vi kan ikke styre, hvad der kommer
udefra, men vi kan forsøge at styre,
hvordan vi vil reagere, hvis en krise
opstår. Ved at kigge på organisationen
i sin risikoanalyse får man øje
på virksomhedens sårbarheder. De er
vigtige at kende, hvis man vil have en
modstandsdygtig organisation, som
kan klare et cyberangreb,” siger Daniel
Sepulveda Estay.
Daniel Sepulveda Estay, postdoc,
DTU Management Engineering,
dasep@dtu.dk