Hændelseshåndtering

Formålet med en systematisk håndtering af hændelser er at minimere risikoen for brud på fortroligheden, integriteten eller tilgængeligheden.

En organisation bør have en ensartet og effektiv metode til at imødekomme brud på informationssikkerheden. Der skal følges op og evalueres på hændelser, så man kan igangsætte de rette organisatoriske, administrative og tekniske løsninger til at imødekomme samme typer hændelser fremover.

Begræns følgevirkninger ved at handle hurtigt

Hvis der konstateres sikkerhedsmæssige svagheder eller brud på sikkerheden, er det vigtigt, at der hurtigt rettes op på det, for at kunne begrænse eventuelle følgevirkninger.

Processen for hændelseshåndtering bør være systematisk og nem at gå til, og at rapportering sker hurtigst muligt, så snart eventuelle skadesbegrænsende aktiviteter er gennemført.

Som udgangspunkt er det systemejerens ansvar at beskrive processen for hændelseshåndteringen, da systemejeren dels har risikoansvaret, dels har det største kendskab til systemet og samarbejdsfladerne til leverandører, brugere og andre interessenter.

Underretningspligt

Statslige myndigheder er forpligtet til at underrette Center for cybersikkerhed (CFCS) ved større it-sikkerhedsmæssige hændelser, fx hacker- og overbelastningsangreb:

CFCS kan kontaktes på cert@cert.cfcs.dk eller telefon: 3332 5580.

Find overblik over de forskellige underretningsordninger i tilfælde af cyberangreb

Overblikket ligger på Center for Cybersikkerheds hjemmeside.

Proces for hændelseshåndtering

Tjekliste for den ansvarlige i en konkret håndteringssituation, når en hændelse er rapporteret: 

  • Vurder om der tale om en krisesituation.
    Hvis ja, i gangsæt relevant beredskab. Er der tale om læk af personfølsomme oplysninger, kontakt organisationens databeskyttelsesrådgiver (DPO).
    Hvis nej, fortsæt tjekliste
  • Foretag udbedring af problemet og lav en konsekvensvurdering.
  • Foretag en konsolidering af informationerne
  • Kommuniker relevante informationer til ledelsen og interessenter. 
  • Luk hændelsesforløbet.

Alle aktiviteter skal logges, også læring fra beredskabsindsatsen, hvis den i gangsættes.

Relevansen af aktiviteterne bør altid vurderes, og flere eller andre aktiviteter og aktører kan bringes i spil.

Sørg for systematik i håndteringen

  • Opret faste kanaler for rapportering.
    Dette sikrer, at en sikkerhedshændelse altid kan rapporteres, den rette information indsamles, og de rette aktører involveres.
  • Opbevar informationer om sikkerhedshændelsen med angivelse af tidspunkt og i elektronisk form af hensyn til en eventuel retslig efterforskning
  • Alle rapporterede informationer bør behandles efter en vurdering af fortrolighed og integritet.
    Så medarbejdere og andre kan være sikre på, at informationerne ikke eksponeres unødigt.
  • Vurder efter hver sikkerhedshændelse om behov for erfaringsopsamling og forebyggende indsatser, fx i form af tekniske eller styringsmæssige ændringer.
  • Beskriv specifikke interessenter, aktører og aktiviteter i forbindelse med rapportering af sikkerhedshændelser
  • Systemejeren/risikoejeren bør indsamle beviser for outsourcede systemer i samarbejde med driftsleverandøren, hvis hændelsen er opstået forsætligt.
    Vurderes hændelsen at have karakter af krise, følges gældende retningslinjer for beredskab.

It-kriminalitet er en sag for politiet

Målrettede it-kriminelle angreb politianmeldes og efterforskes. Som minimum bør muligheden for en politimæssig efterforskning overvejes i dialog med Rigspolitiets Nationale Cyber Crime Center (NC3) på telefon 22 83 44 39 eller via mail it-kriminalitet@politi.dk. Ved meget hastende forhold kan Rigspolitiets Kommunikationscenter kontaktes døgnet rundt på telefon 45 15 42 00.

Tilknytning til ISO 27001

Hændelseshåndtering behandles i afsnittene A.5.24-5.28 samt A.6.8 i ISO 27001:2022 - tidligere A.16 i ISO 27001:2013.

Center for Cybersikkerheds logo

Indholdet på denne side er skrevet i samarbejde med Center for Cybersikkerhed