Decision-making in Incident Response

When facing a crisis, it is crucial that measures are taken to limit the damage. Whether you have to deal with a pandemic, or have had unauthorized access to your network, you are completely dependent on information. You have to know what you are dealing with and what constitutes the threat. When implementing strict measures that halts the work of the company, one should be sure that the measures are the ones that provide the most value for money. Sometimes you simply have to unplug the internet cable, even if that means no employees can do their job as long as the measures are practiced. It is essential that decisions are made on as solid data as possible. If it turns out that dramatic measures are implemented based on "bad information", then the measures will not only have an undesirable effect, it will also do more harm than good. Being able to measure how good the data is before the decision is taken will indicate how quickly the measures must be reassessed. mnemonic annually handles a number of major cyber incidents, and therefore faces this challenge regularly. Thus mnemonic wants to develop a methodology and tool for classifying data, so that it is easier to implement the right measures at the right time. The knowledge gained from this project will at least shed light on what activities are useful to perform when in incident management and response, so that said cyber incidents are handled as efficiently and accurately as possible.

Decision-making in incident response tar for seg utfordringene knyttet til håndtering av større informasjonssikkerhetshendelser. I et hendelseshåndterings-scenario er man avhengig av at man sitter på god og riktig informasjon for å kunne gjenopprette en normalsituasjon så raskt og rimelig som mulig. Likevel ligger det i fagfeltets natur at angriperen ikke ønsker å la seg avsløre uten videre. Hendelseshåndteringen er kattens lek med musen, hvor angriperen har oversikt og prøver å skjule sine spor, mens sikkerhetsekspertene på den andre siden prøver å avdekke hvem som egentlig skjuler seg bak angriperens maske. En av de største utfordringene i hendelseshåndtering, er hvorvidt man har fått god nok informasjon og overblikk til å velge og gjennomføre tiltak. Det er flere faktorer som spiller inn i denne utfordringen. Den første er attribusjon av informasjon. Klarer vi å knytte fakta og observasjoner til riktig trusselaktør, og har vi identifisert riktig trusselaktør? Den andre faktoren er hvorvidt vi stoler på informasjonen vi sitter på. Når vi skal bygge en profil på de aktuelle trusselaktørene er det nødvendig å innhente informasjon fra eksterne kilder. Naturlig nok er det ikke alle kilder som har samme notoritet, og ved konkurrerende informasjon fra flere kilder, vil det være nødvendig å vekte informasjonen. I beslutningstakning er det også en utfordring at man aldri kan være 100% sikker på at man tar den rette avgjørelsen. Det vil også være en utfordring å få sammenstilt informasjonen på en slik måte at man med trygghet kan fatte det som per forelagte faktum vil være det objektivt beste tiltaket. Hvis prosjektet resulterer i en brukbar modell for sammenstilling og vekting av informasjon på en måte som muliggjør tidligere og mer presise beslutninger, så vil dette både utvikle fagfeltet med sjumilssteg, og også spare bedrifter og samfunnet for store summer hvert eneste år i forhindrede tap fra hendelser.