Decision-making in Incident Response

Når en krise virkelig inntreffer, er det helt avgjørende at man gjennomfører tiltak for å begrense skadene. Enten man må forholde seg til en pandemi, eller har fått uvedkommende i nettverket sitt, er man fullstendig avhengig av informasjon. Man må vite hva man forholder seg til, og hva som utgjør trusselen. Når man innfører strenge tiltak som går ut over arbeidet til bedriften, bør man være sikker på at tiltakene er de som gir mest valuta for pengene. Noen ganger må man rett og slett trekke ut internettkabelen, selv om det betyr at ingen ansatte får gjort jobben sin så lenge tiltakene praktiseres. Det er helt essensielt at beslutningene tas på et så solid datagrunnlag som mulig. Hvis det viser seg at man innfører dramatiske tiltak basert på "dårlig informasjon", så vil ikke tiltakene bare ha uønsket effekt, det vil også gjøre mer skade enn nytte. Det å kunne måle hvor god datagrunnlaget er før beslutningen tas, vil kunne indikere hvor fort man må revurdere tiltakene. mnemonic behandler årlig en rekke store cybersikkerhetshendelser, og står derfor ovenfor denne utfordringen regelmessig. mnemonic ønsker derfor å utvikle en metodikk og verktøy for å klassifisere datagrunnlag, slik at man lettere kan innføre de riktige tiltakene til riktig tid. Kunnskapen fra dette prosjektet vil i det minste kunne kaste lys over hvilke aktiviteter som er nyttige å gjennomføre når i cyberhendelseshåndtering, slik at hendelser håndteres så effektivt og presist som mulig.

Decision-making in incident response tar for seg utfordringene knyttet til håndtering av større informasjonssikkerhetshendelser. I et hendelseshåndterings-scenario er man avhengig av at man sitter på god og riktig informasjon for å kunne gjenopprette en normalsituasjon så raskt og rimelig som mulig. Likevel ligger det i fagfeltets natur at angriperen ikke ønsker å la seg avsløre uten videre. Hendelseshåndteringen er kattens lek med musen, hvor angriperen har oversikt og prøver å skjule sine spor, mens sikkerhetsekspertene på den andre siden prøver å avdekke hvem som egentlig skjuler seg bak angriperens maske. En av de største utfordringene i hendelseshåndtering, er hvorvidt man har fått god nok informasjon og overblikk til å velge og gjennomføre tiltak. Det er flere faktorer som spiller inn i denne utfordringen. Den første er attribusjon av informasjon. Klarer vi å knytte fakta og observasjoner til riktig trusselaktør, og har vi identifisert riktig trusselaktør? Den andre faktoren er hvorvidt vi stoler på informasjonen vi sitter på. Når vi skal bygge en profil på de aktuelle trusselaktørene er det nødvendig å innhente informasjon fra eksterne kilder. Naturlig nok er det ikke alle kilder som har samme notoritet, og ved konkurrerende informasjon fra flere kilder, vil det være nødvendig å vekte informasjonen. I beslutningstakning er det også en utfordring at man aldri kan være 100% sikker på at man tar den rette avgjørelsen. Det vil også være en utfordring å få sammenstilt informasjonen på en slik måte at man med trygghet kan fatte det som per forelagte faktum vil være det objektivt beste tiltaket. Hvis prosjektet resulterer i en brukbar modell for sammenstilling og vekting av informasjon på en måte som muliggjør tidligere og mer presise beslutninger, så vil dette både utvikle fagfeltet med sjumilssteg, og også spare bedrifter og samfunnet for store summer hvert eneste år i forhindrede tap fra hendelser.