Muntlig övning ger också färdighet

Säkerhet för information kräver, precis som nationell säkerhet (läs: militär), övning.

Tyvärr finns det inte så många bra, vägledande exempel som är allmänt kända. Rick Rescorla som evakuerade Morgan Stanley från WTC är i och för sig ett men det är inte direkt it, övningar som Cyber Europe förekommer ibland men det är samarbete mellan stater,  emellanåt görs mindre övningar i disaster recovery lokalt på företag, det rör dock inte attacker.

Jag tänker mig lokala övningar som är scenariobaserade, oförberedda och som genomförs i verkligheten. Precis i stil med den övning som Facebook genomförde i höstas:

Early on Halloween morning, members of Facebook’s Computer Emergency Response Team received an urgent e-mail from an FBI special agent who regularly briefs them on security matters. The e-mail contained a Facebook link to a PHP script that appeared to give anyone who knew its location unfettered access to the site’s front-end system. […]

The FBI e-mail, zero-day exploit, and backdoor code, it turns out, were part of an elaborate drill Facebook executives devised to test the company’s defenses and incident responders. The goal: to create a realistic security disaster to see how well employees fared at unraveling and repelling it.

Jag ryser när jag läser artikeln. Fan vad bra. Trots detta är det alltså flera som ”absolut inte” vågar skicka privata meddelanden med Facebook.

Säkerhet handlar bara delvis om att förhindra intrång, att kunna upptäcka och agera är viktigare. Det är ett exempel på generella åtgärder mot specifika sårbarheter.

Tyvärr är de oerhört resurskrävande, ett billigare alternativ är det Försvarsmakten kallar muntliga stridsövningar. De kan förstås genomföras med mer eller mindre resurser, men på enklaste sätt:

  1. Samla patrullen,
  2. ge orientering om läget (”tivinote” för de som lärde sig den),
  3. delge patrullens order och
  4. ”prata igenom” hela lösandet av uppgiften från början till slut med hjälp av en karta.

Chefen som leder övningen ska förstås se till att lösandet inte går för smidigt utan regelbundet ta upp omfall: vad gör vi om det eller det händer?

Jag föreslog det här för den ansvarige på en säkerhetsgrupp på ett relativt litet svenskt företag för något år sen. Som alla andra så kämpade de med att de inte hade tillräckliga resurser. Trots detta verkade det som att de nästan alltid hade en timme över på fredagar efter klockan två…

Mitt förslag hette Halvtimmen (mest för att Timmen lät lite avskräckande, det kommer förmodligen att ta en timme), tanken var att man skulle samlas i ett konferensrum varje fredag, presentera ett scenario och sedan diskutera vad man skulle göra om det hände idag.

Det är två outputs som är relevanta här. Dels blir man snabbt varse om hur (dålig) kontroll man har, hur mycket man borde ha gjort tidigare och hur liten chans man har att hantera det (resurserna igen). Men framförallt blir man tvungen att öva, och det kostar inte mer resurser än den där halvtimmen eller timmen.

Om det dessutom kombineras med eftermiddagsfika är det ännu lättare att klämma fram ”gratistid”. Om du har rätt personal i säkerhetsgruppen kommer de gladeligen byta ut en ”vanlig” fika mot Halvtimmen.

Jag kan förstås inte publicera originalförslaget men jag hittade lite av mina anteckningar kring förslag på scenarion. Det går att komma på hur många som helst.

Halvtimmen

För varje scenario ska man fokusera på tre frågor:

  • Vad gör vi för att hantera situationen på en gång?
  • Hur borde vi har förberett oss på situationen?
  • Hur kan vi undvika att situationen uppstår i framtiden?

Den första frågan omfattar den muntliga stridsövningen, de övriga två fångar erfarenheter och det är dessa som kräver resurser utöver halvtimmen. Hör av dig om ni har tillämpat liknande muntliga övningar tidigare, det vore intressant att höra erfarenheter.