Introduktion
OHB genomför Secifys Cyber War Game
Ett Cyber War Game är en aktivitet som görs i en begränsad förbestämd grupp som till exempel en ledningsgrupp eller en IT-avdelning. Under en dryg timmes tid får man tillsammans uppleva och träna praktiskt på att hantera olika typer av informationssäkerhetsrelaterade incidenter och attacker.
Bakgrund
Det kan börja med något litet som att en anställd tappar sin mobiltelefon utomlands och den hittas av en person som väljer att utnyttja situationen. Det kan också börja med att ett säkerhetshål påträffas och känslig data läcker ut på nätet. När den första incidenten är ett faktum så sätts ett händelseförlopp igång där deltagarna utifrån sina vanliga roller får träna på att agera på oförutsedda händelser. Som exempel kan man behöva hantera kommunikation med kunder och media, aktivera en krishanteringsplan, jobba efter de rutiner som finns, kommunicera internt, anmäla till myndigheter, osv.
Syftet är att på ett kreativt och lite mer lättsamt sätt skapa medvetenhet kring informationssäkerhet, och därmed föra upp frågan på agendan.
Adela Åberg
Head of IT på OHB Sweden
Hej Adela, och tack för att du ville ställa upp på en intervju om era upplevelser av Cyber War Game. Vad är din roll på OHB?
Jag är Head of IT på OHB Sweden, ett bolag i den multinationella koncernen OHB SE.
Ni har ju valt att genomföra ett Cyber War Game tillsammans med oss på Secify, varför ville du genomföra detta?
På OHB har vi alltid tagit säkerhetsfrågan på största allvar, och nu under pandemin ser vi hur frågan seglat upp på mångas dagordning. Även om frågan var viktig innan, har den blivit än mer aktuell nu.
Vi jobbar med samma utmaning som många andra organisationer, nämligen hur vi medvetandegör frågan om säkerhet hos våra kollegor. Hur förmedlar vi kunskap och information på ett smart och effektivt sätt?
I samma veva som vi bestämde oss för att genomföra den här aktiviteten hade det kommit ett önskemål från ledningen med en utbildning för att höja medvetandet. Jag kände att ett Cyber War Game kunde fungera som ett bra sätt att kicka igång dialogen kring säkerhet och bestämde mig för att testa det här. Det kändes som ett lite annorlunda och oväntat sätt att utbilda och testa hela organisationen – inklusive mig själv!
Vilken förkunskap hade gruppen av säkerhet?
Vi befinner oss i en bransch där ett säkerhetstänk har funnits med länge och har alltid ställt höga krav på oss själva, däremot är det givetvis en skillnad i medvetenhet mellan olika roller. Vissa befinner sig längre ifrån frågan än andra baserat på vad deras arbetsuppgifter går ut på.
Detta är ju helt naturligt och precis som det ska vara – min tanke med aktiviteten var att höja medvetenheten även hos de som sällan kommer i kontakt med frågan i sitt ordinarie arbete.
Det är lätt att tro att man har bättre koll än man faktiskt har, särskilt sedan när det gäller att prestera under press. Detta gäller ju även mig själv, varför jag valde att låta Secify planera aktiviteten med minimal inblandning från mig. Jag ville ha ett ärligt test på allas vår kapacitet!
Vad hade du för förväntningar inför spelet?
Jag hoppades att det skulle vara så enkelt och okomplicerat som möjligt så att man får upp ett intresse och att mina kollegor känner att det känns spännande och intressant.
För mig var det också självklart att jag själv skulle ha en minimal inblandning i planeringen och genomförandet. Jag bokade upp aktiviteten och gav lite förhandsinformation om vår organisation, men inte mer än så. Jag ville vara så lite involverad som möjligt för att kunna få ett ärligt utanför-perspektiv. Det var helt enkelt viktigt att det skulle vara ett så verkligt scenario som möjligt – ev. stress och panikkänslor som kan uppstå ville även jag känna!
Vilken typ av information gav du utbildningsledaren på förhand för att vi skulle kunna planera ert Cyber War Game?
Fabian fick en komplett företagspresentation där jag berättade om vår verksamhet.
Utöver det fick de mycket kort information om inre och yttre säkerhet, våra affärskritiska system, samt vissa nyckelpersoner in mot IT.
Hur var känslan och upplevelsen under själva spelet?
Alla var direkt väldigt engagerade vilket var otroligt roligt. Man tog det på allvar och gick in för att prestera så gott man kunde. Samtidigt upplevde jag att folk verkligen hade roligt!
Jag upplevde att några under spelets gång fick en hel del insikter, såväl om sina egna kunskaper som om kollegors. En viss press och stress byggdes upp och sådant för alltid med sig insikter om vad som kan förbättras och idéer om hur man borde agera vid dessa typer av incidenter.
En hel del aha-upplevelser märktes av!
För oss blev särskilt den mediala träningen väldigt värdefull. Vi befinner oss i en kritisk bransch och det är ett rimligt scenario att kontakt med media skulle bli aktuell vid någon typ av säkerhetsincident. Här fick vi träna på hur vi får prata, vad vi får säga, osv.
Hur upplevde du reaktionen efteråt?
Direkt efter spelet var det framför allt en positiv känsla; många uttryckte att det var skönt att det inte var på riktigt. Man hade fått sig en aha-upplevelse i vad som skulle kunna hända.
Dessutom var det tydligt att förståelsen för att detta är verkligt växte; man insåg att detta är något som verkligen kan hända. Detta är relevant såväl i vår bransch som i dagens samhälle i stort.
Spelet ledde till flera konkreta åtgärder rörande ex. uppdatering av dokumentation, policies och rutiner och hur vi tillser efterlevnad av desamma.
Vi passade även på att utföra en simulerad phishingattack mot hela organisationen där vi direkt kunde fånga upp behov av utbildning och kommunikation.
Något som var särskilt viktigt för oss som organisation att trycka på var att det fanns medlemmar i ledningsgruppen som ”gick på” mailet och klickade på länken. Detta ville vi kommunicera till resten av organisationen för att visa att det är okej att göra fel bara man vågar prata om det. Att jobba för att skapa en säkerhetskultur är otroligt viktigt.
Varför tycker du att det är så viktigt att få med sig alla kollegor i informationssäkerhetsarbetet?
Det viktigast att förstå är att verksamheten äger sin egen data. Det är inte jag som ansvarig på IT som äger ex. kundlistor, HR-system eller annat.
På IT tillhandahåller vi system, verktyg och rutiner som stötta för att ta hand om och förmedla datan – men ansvaret måste fördelas över verksamheten.
Detta måste tydliggöras i verksamheten, och genom att prata om detta med kollegor och hela tiden hålla ämnet vid liv så utvecklas vi och blir ständigt bättre.
Nu har det ju gått ett par månader sedan ni utförde spelet; vad blev den viktigaste effekten av den här aktiviteten?
Vi har fått med oss mycket som jag nämnt, men jag skulle vilja sammanfatta det i tre punkter:
- Vår informationssäkerhets-resa fick sig en rejäl boost! Innan har det ibland varit lite ”vi tar det sen”. Tidigare har ansvariga funnits på IT-sidan; nu finns även en utpekad informationssäkerhetsansvarig som sitter på verksamhetssidan.
- Phishingen har medvetandegjort den uppenbara risken som ens egna mailkorg utgör. Medvetenheten har ökat kring att granska misstänkta mail, samt vid minsta osäkerhet kommunicera med IT.
- Säkerhetskultur har även den fått sig en boost; man vågar prata mer öppet. Man har även förstått att misstag är okej och att de inte ska döljas.
Tror du att detta är något som skulle vara bra för andra verksamheter att göra, och varför i så fall?
Cyber War Game är verkligen något jag skulle rekommendera andra verksamheter att göra.
Det är ett bra sätt för att ständigt bli bättre samt för att träna på och testa sina rutiner.
Från IT-avdelningens sida kan man testa att göra det för att motivera och engagera. Man har kanske något annat man egentligen vill sätta en spotlight på, och då kan man använda detta som en katalysator.
Som jag ser det finns det inget att förlora på att göra det; om så bara för att få bekräftat att 100% av rutinerna satt om det skulle vara så.
Slutligen vill jag bara trycka på att det helt enkelt är en rolig sak att göra tillsammans i en arbetsgrupp. Det måste ju inte vara just ledningsgruppen som vi valde att engagera, utan kan ex. vara en IT-avdelning eller liknande.
Vi har ju även valt att genomföra ett penetrationstest och hela den resan tycker jag också att man ska fundera på att genomföra. Det för med sig mycket.