Håndtering af hændelser

Formålet med en systematisk håndtering af hændelser er at minimere risikoen for brud på fortroligheden, integriteten eller tilgængeligheden.

Hvis der konstateres sikkerhedsmæssige svagheder eller brud på sikkerheden, er det vigtigt, at der hurtigt rettes op på det, inden det bliver udnyttet. Især når der er mistanke om brud på sikkerheden, er det vigtigt, at der handles hurtigt for at kunne begrænse eventuelle følgevirkninger.

Afgørende for måden at håndtere hændelser på (og effekten af denne håndtering) er, at processen er systematisk og nem at gå til, og at rapportering sker hurtigst muligt, dvs. senest umiddelbart efter eventuelle skadesbegrænsende aktiviteter er gennemført. 

Som udgangspunkt er det systemejerens ansvar at beskrive processen for hændelseshåndteringen, da systemejeren dels har risikoansvaret, dels har det største kendskab til systemet og samarbejdsfladerne til leverandører, brugere og andre interessenter. 

Proces for hændelseshåndtering

Procestegningen nedenfor giver et bud på en tjekliste for den ansvarlige i en konkret håndteringssituation. Der bør dog altid være en vurdering af relevansen af aktiviteterne, herunder om der skal bringes flere eller andre aktiviteter og/eller aktører i spil. 

Figur

Sørg for systematik i håndteringen

  • Der bør oprettes faste kanaler for rapportering. Dette sikrer, at en sikkerhedshændelse altid kan rapporteres, den rette information indsamles, og de rette aktører involveres. 
  • Informationer om sikkerhedshændelsen bør af hensyn til en eventuel retslig efterforskning opbevares med angivelse af tidspunkt og i elektronisk form.
  • Alle rapporterede informationer bør behandles efter en vurdering af fortrolighed og integritet på en sådan måde, at medarbejdere og andre kan være sikre på, at informationerne ikke eksponeres unødigt.
  • Efter hver sikkerhedshændelse bør det vurderes, om der er behov for at iværksætte et forløb, der sikrer relevant erfaringsopsamling og forebyggende indsatser, fx i form af tekniske eller styringsmæssige ændringer.
  • Specifikke interessenter, aktører og aktiviteter i forbindelse med rapportering af sikkerhedshændelser bør beskrives i den enkelte organisation. 
  • Systemejeren/risikoejeren bør indsamle beviser for outsourcede systemer i samarbejde med driftsleverandøren, hvis hændelsen er opstået forsætligt. Vurderes hændelsen at have karakter af krise, følges gældende retningslinjer for beredskab.

It-kriminalitet er en sag for Rigspolitiet

Målrettede it-kriminelle angreb politianmeldes og efterforskes. Som minimum bør muligheden for en politimæssig efterforskning overvejes i dialog med NITES på telefon 33148888 eller via mail it-kriminalitet@politi.dk. Ved meget hastende forhold kan Rigspolitiets Kommunikationscenter kontaktes døgnet rundt på tlf 45154200.