Sikkerhetshendelser er en realitet i dagens digitale verden. Fra virusangrep til ransomware, trusler kan lamme både private og bedriftskritiske systemer. For sikkerhetsanalytikere handler det om å identifisere, analysere og raskt respondere for å minimere skade.
Hovedpunkter:
- Hva er en sikkerhetshendelse? Et brudd på datasystemers konfidensialitet, integritet eller tilgjengelighet.
- Vanlige trusler: Ransomware, phishing, virus/malware og datainnbrudd.
- Tegn på problemer: Trege systemer, uautoriserte endringer, uvanlig nettverkstrafikk.
- Verktøy: SIEM-systemer, nettverksovervåking, EDR-løsninger og sårbarhetsskannere.
- Respons: Rask inneslutning, fjerning av trusselen og trygg gjenoppretting av systemer.
Effektiv håndtering bygger på teknisk kompetanse, klare prosedyrer og samarbeid med eksterne eksperter ved behov.
Hvordan identifisere sikkerhetshendelser
Å oppdage sikkerhetshendelser raskt er avgjørende for å begrense skade og sikre normal drift. For å skille mellom vanlige systemproblemer og faktiske sikkerhetstrusler trenger sikkerhetsanalytikere både teknisk kompetanse og effektive verktøy. Det handler om å oppdage uvanlig aktivitet før den eskalerer til noe større.
Prosessen starter ofte med automatiserte varsler fra sikkerhetssystemer. Men disse alene er ikke nok – manuell analyse er nødvendig for å bekrefte om en hendelse faktisk har skjedd. Et stort antall falske alarmer kan gjøre det vanskelig å oppdage ekte trusler, så analytikere må prioritere og vurdere alvorlighetsgraden av hver hendelse. Denne vurderingen er avgjørende for å forstå hvilke typer trusler som kan oppstå.
Vanlige typer sikkerhetshendelser
Når man har etablert hvordan hendelser identifiseres, er det viktig å kjenne til de vanligste truslene.
- Ransomware-angrep: Disse angrepene krypterer filer og krever løsepenger for å gi tilgang igjen. For bedrifter kan dette føre til store økonomiske tap og driftsforstyrrelser.
- Phishing-angrep: Disse inkluderer alt fra generelle falske e-poster til mer målrettede spear-phishing-forsøk. Målet er ofte å stjele påloggingsinformasjon eller installere skadelig programvare.
- Virus og malware: Selv med moderne antivirusløsninger, dukker det stadig opp nye varianter som kan unngå tradisjonelle deteksjonsmetoder. Trojanske hester, som utgir seg for å være legitime programmer, er en vanlig metode.
- Datainnbrudd: Dette kan skje gjennom svake passord, utdaterte systemer eller utnyttelse av sårbarheter. Resultatet kan være tyveri av personopplysninger, økonomiske data eller bedriftshemmeligheter.
Tegn på sikkerhetsbrudd
Det finnes flere signaler som kan indikere at noe er galt:
- Uvanlig systemytelse: Datamaskiner som blir trege, programmer som krasjer ofte, eller systemer som bruker unormalt mye båndbredde, kan være tegn på skadelig aktivitet.
- Uautoriserte endringer: Nye brukerkontoer som opprettes uten tillatelse, endringer i systeminnstillinger eller filer som flyttes eller slettes uten forklaring, kan tyde på et brudd.
- Avvikende nettverksaktivitet: Uventet datatrafikk til ukjente servere, spesielt i perioder med normalt lav aktivitet, kan indikere et pågående angrep.
- Sikkerhetsprogramvarsler: Varsler fra antivirus eller anti-malware-programmer bør tas på alvor, spesielt hvis de gjentar seg eller rapporterer om oppdagede trusler.
- Brukerrapporter: Meldinger fra brukere om mistenkelig oppførsel, for eksempel uautoriserte e-postutsendelser, kan være en indikasjon på at en konto er kompromittert.
Når slike tegn oppdages, bruker analytikere spesialiserte verktøy for å undersøke og overvåke situasjonen videre.
Deteksjonsverktøy og metoder
Flere verktøy og metoder hjelper sikkerhetsteam med å identifisere og håndtere trusler:
- SIEM-systemer (Security Information and Event Management): Disse samler og analyserer loggdata fra ulike kilder for å oppdage mønstre som kan indikere angrep. Eksempler inkluderer Splunk, IBM QRadar og Microsoft Sentinel.
- Nettverksovervåkingsverktøy: Verktøy som Wireshark og SolarWinds gir sanntidsinnsikt i nettverkstrafikk og kan avdekke mistenkelige aktiviteter.
- Endpoint Detection and Response (EDR): Løsninger som CrowdStrike Falcon og Microsoft Defender for Endpoint overvåker enheter for tegn på kompromittering og kan stoppe trusler i sanntid.
- Sårbarhetsscannere: Verktøy som Nessus og OpenVAS identifiserer sikkerhetshull i systemer og applikasjoner, slik at de kan utbedres før de utnyttes.
- Logganalyse: Gjennomgang av system-, applikasjons- og sikkerhetslogger hjelper med å oppdage avvik fra normal aktivitet.
- Threat Intelligence-tjenester: Tjenester som VirusTotal og AlienVault gir oppdateringer om nye trusler og angrepsmetoder, slik at analytikere kan holde seg oppdatert på det aktuelle trussellandskapet.
Ved å kombinere disse verktøyene og metodene kan sikkerhetsteam effektivt identifisere og håndtere trusler før de forårsaker alvorlig skade.
Hvordan analysere sikkerhetshendelser
Når en sikkerhetshendelse oppdages, er det avgjørende å analysere den systematisk for å forstå omfanget, årsaken og konsekvensene. En grundig og rask analyse legger grunnlaget for en effektiv respons og kan bidra til å forhindre lignende hendelser i fremtiden.
Men det er viktig å finne balansen. En for hastig konklusjon kan føre til feil tiltak, som i verste fall kan forverre situasjonen eller slette viktige spor. Derfor bør analysen følge en tydelig struktur som sikrer at alle relevante detaljer blir fanget opp.
Trinn for hendelsesanalyse
En strukturert tilnærming er nøkkelen til å gjennomføre en grundig analyse. Her er noen sentrale elementer:
- Innsamling av bevis: Start med å samle inn logger, nettverkstrafikk, brukeraktivitet og systemendringer. Dette gir et grunnlag for videre analyse.
- Tidslinjeutvikling: Rekonstruer hendelsesforløpet fra første tegn på aktivitet til oppdagelse. Dette hjelper med å avdekke hvordan angriperen fikk tilgang, hvilke systemer som ble påvirket, og hvor lenge angrepet pågikk.
- Påvirkningsanalyse: Vurder hvilke data, systemer og prosesser som er berørt. Dette kan inkludere alt fra eksponerte kundedata til forstyrrelser i kritiske forretningsprosesser.
- Rotårsaksanalyse: Grav dypere for å finne ut hvorfor hendelsen skjedde. Dette kan avdekke sårbarheter i teknologi, prosesser eller opplæring som må utbedres for å unngå fremtidige hendelser.
- Dokumentasjon og rapportering: Registrer all informasjon og funn. Dette er viktig for å støtte responsarbeidet, oppfylle juridiske krav og forbedre fremtidige prosedyrer.
Analyseverktøy og programvare
Moderne sikkerhetsanalyser krever spesialiserte verktøy som kan håndtere store datamengder og komplekse sammenhenger. Her er noen av de vanligste verktøyene:
- Forensiske verktøy: Programmer som EnCase og FTK Imager brukes til å sikre og analysere digitale bevis uten å endre originaldataene. De kan blant annet gjenopprette slettede filer og spore brukeraktivitet.
- Hendelsessporingssystemer: Plattformene ServiceNow Security Incident Response og IBM Resilient hjelper med å organisere analysearbeidet. De tilbyr strukturerte arbeidsflyter og automatiserte oppgaver som effektiviserer prosessen.
- Minneanalyse-verktøy: Verktøy som Volatility Framework analyserer systemminnet for å finne spor etter malware eller angrep som ikke etterlater permanente filer.
- Nettverksanalyseverktøy: Programvare som NetworkMiner og Zeek analyserer nettverkstrafikk for å avdekke mistenkelige kommunikasjonsmønstre og dataoverføringer.
- Automatiserte analyseplattformer: Løsninger som Phantom og Demisto samler data fra flere kilder og automatiserer rutineoppgaver. Dette gjør det lettere å oppdage sammenhenger som ellers kunne blitt oversett.
Når man skal få ekstern hjelp
Ikke alle sikkerhetshendelser kan håndteres internt. Det er viktig å vite når det er på tide å hente inn ekstern ekspertise:
- Komplekse angrep: Angrep som involverer ukjente malware-varianter eller avanserte teknikker kan kreve spesialkompetanse som kanskje ikke finnes internt.
- Ressursbegrensninger: Ved hendelser som krever kontinuerlig analyse over tid, kan interne team bli overbelastet. Eksterne konsulenter kan bidra med nødvendig kapasitet.
- Juridiske krav: Enkelte bransjer har spesifikke krav til hvordan sikkerhetshendelser skal håndteres. Eksterne eksperter kan sikre at analysen oppfyller disse kravene.
- Objektivitet: Ved mistanke om internt misbruk eller hendelser som kan skade organisasjonens omdømme, kan uavhengig analyse være avgjørende for troverdigheten.
For teknisk støtte til IT-systemer som er berørt av sikkerhetshendelser, kan tjenester som Supportia være nyttige. De tilbyr tilgang til spesialiserte leverandører som kan hjelpe med både gjenoppretting og sikring av systemer etter en hendelse.
Å involvere ekstern hjelp tidlig kan være avgjørende for å bevare bevis og begrense skade. Mange organisasjoner venter for lenge, noe som kan føre til tap av viktige spor eller at situasjonen eskalerer utover deres kontroll.
Hvordan respondere på sikkerhetshendelser
Når analysen er ferdig, går sikkerhetsanalytikere raskt i gang med å håndtere hendelsen for å begrense skaden og få systemene tilbake i normal drift. En effektiv respons følger tre nøkkelfaser: inneslutning, utryddelse og gjenoppretting. Disse fasene bygger på hverandre og har som mål å redusere skadeomfanget, fjerne trusler og sikre at driften kan gjenopptas så raskt som mulig.
Hastighet er helt avgjørende. Organisasjoner som klarer å oppdage og begrense et datainnbrudd innen 200 dager kan redusere kostnadene med 23 %. Dette viser hvor viktig det er å ha klare prosedyrer og planer på plass før en hendelse oppstår. I praksis betyr dette å gjennomføre tiltakene i inneslutnings-, utryddelses- og gjenopprettingsfasene for å sikre en effektiv respons.
Responstrinn og prosedyrer
Inneslutning er det første trinnet, og det er kritisk. Målet er å hindre at angriperen får tilgang til flere ressurser eller forårsaker ytterligere skade. Fokus ligger på å beskytte kunder, data og systemer. Ved å begrense hendelsen tidlig, kan man stoppe spredningen.
Tiltakene i denne fasen inkluderer å koble berørte enheter fra nettverket for å hindre videre spredning og å implementere både kortsiktige og langsiktige strategier for inneslutning. Det er også viktig å sikre at det finnes oppdaterte sikkerhetskopier av systemene, slik at driften kan gjenopprettes raskt.
Under inneslutningen bør systemer oppdateres med nødvendige sikkerhetspatcher, ekstern tilgang begrenses, og flerfaktorautentisering innføres som standard. Bruker- og administratorpassord må endres, og tilgangsprotokoller må gjennomgås og styrkes. I tillegg må alle bevis sikres for fremtidig analyse eller rettslige prosesser.
Utryddelse handler om å fjerne selve årsaken til sikkerhetshendelsen. Her er målet å fjerne angriperen fra systemene fullstendig. Dette inkluderer å eliminere alle spor av angriperens tilstedeværelse og tette sårbarhetene som gjorde angrepet mulig.
Sikkerhetsteamet må samarbeide tett med andre avdelinger for å velge de beste metodene for å eliminere trusselen. Etterpå bør systemene styrkes med ytterligere oppdateringer og sikkerhetstiltak for å forhindre fremtidige angrep.
Gjenoppretting fokuserer på å få systemene tilbake i normal drift på en trygg måte. Dette innebærer nøye overvåking for å sikre at angriperen ikke kan gjenta angrepet, og at alle systemer fungerer som de skal.
Teamkommunikasjon under respons
Når de tekniske tiltakene er på plass, blir god kommunikasjon avgjørende for en koordinert respons. En godt utarbeidet kommunikasjonsplan kan være forskjellen mellom suksess og fiasko. Denne planen bør være en del av den overordnede hendelsesresponsstrategien og beskrive hvordan man håndterer kommunikasjon under og etter et cyberangrep.
Det første steget er å etablere et dedikert hendelsesresponsteam med klart definerte kommunikasjonsroller. En utpekt kontaktperson for ekstern kommunikasjon sikrer at organisasjonen snakker med én stemme og unngår motstridende meldinger.
Alle relevante interessenter må identifiseres, både interne (for eksempel ledelse, HR, juridiske team og ansatte) og eksterne (som kunder, myndigheter, media og partnere). Det bør etableres spesifikke varslingsprosedyrer for hver gruppe. Dette er ekstra viktig når man vet at 1,3 milliarder varslingsmeldinger ble sendt til amerikanske forbrukere i 2024, som følge av over 3 000 datainnbrudd.
Intern kommunikasjon må planlegges nøye. Det bør settes opp sikre kanaler som ikke kan overvåkes av angriperen, ettersom kompromitterte nettverk ofte blir brukt til å spionere på responsarbeidet. Ekstern kommunikasjon må håndteres strategisk for å unngå feilinformasjon og beskytte organisasjonens omdømme.
Med en gjennomsnittskostnad på 4,88 millioner USD per datainnbrudd i 2024, kan dårlig kommunikasjon føre til betydelig økte økonomiske konsekvenser. Derfor er det viktig å definere klare roller og ansvar innenfor responsteamet og konsultere juridisk rådgiver når det gjelder kommunikasjon med politiet og andre myndigheter.
Registrering av hendelsesdetaljer
Nøyaktig dokumentasjon er avgjørende, ikke bare for å oppfylle krav til compliance, men også for å lære av hendelsen og forbedre fremtidige responser. For eksempel tar det i gjennomsnitt 292 dager å identifisere og inneholde innbrudd som skyldes stjålne legitimasjoner. Uten god dokumentasjon er det nesten umulig å analysere hvorfor responsen tok så lang tid.
En dedikert kontaktperson bør håndtere all ekstern kommunikasjon for å sikre konsistens og rask respons på forespørsler fra interessenter. Detaljerte varslingsprosedyrer bør dokumenteres for hver interessentgruppe, inkludert hvilken informasjon som skal deles, hvordan den skal deles, og hvem som har ansvar for det.
Bruk en standardisert kommunikasjonsmatrise for å vurdere alvorlighetsgraden av hendelsen og prioritere varslingsprosedyrer.
For organisasjoner som trenger teknisk støtte, kan tjenester som Supportia være en stor ressurs. De tilbyr tilgang til eksperter som kan hjelpe med både gjenoppretting og sikring av systemer etter et angrep, noe som kan være avgjørende når interne ressurser er overbelastet.
Sørg for å dokumentere tidsstempler, beslutninger og kontaktinformasjon for alle involverte. Dette gir en fullstendig oversikt over responsen, som kan brukes til forbedringer og eventuelle rettslige prosesser. Slike tiltak bygger videre på det forebyggende og analytiske arbeidet som allerede er gjort.
sbb-itb-84d7fbf
Beste praksis for sikkerhetsanalytikere
For å styrke metodene for identifisering, analyse og respons, bør sikkerhetsanalytikere også prioritere samarbeid, kontinuerlig læring og strategisk bruk av eksterne støttetjenester. Effektiv håndtering av sikkerhetshendelser handler ikke bare om tekniske ferdigheter. Her ser vi nærmere på hvordan disse elementene kan bidra til et mer effektivt og forberedt sikkerhetsteam.
Samarbeid med andre team
Sikkerhetsarbeid er sjelden en énmannsjobb. Tverrfaglig samarbeid er avgjørende for å håndtere hendelser raskt og effektivt. IT-avdelingen kan gi teknisk innsikt i systemene som er berørt, mens ledelsen trenger klare oppdateringer for å ta informerte beslutninger.
Når du rapporterer til ledelsen, legg vekt på forretningsmessige konsekvenser og tidslinjer i stedet for tekniske detaljer. HR-avdelingen må informeres om mulige brudd på personvern, og juridisk avdeling trenger oversikt over relevante krav og rapporteringsfrister.
For å spare tid under en hendelse, bør kontaktpersoner på tvers av avdelinger defineres på forhånd. Mange organisasjoner oppretter dedikerte Slack-kanaler eller Teams-rom for å koordinere hendelser, slik at alle relevante parter kan følge utviklingen i sanntid.
Definer tydelige roller på forhånd for å unngå forvirring. Bestem hvem som tar tekniske avgjørelser, hvem som kommuniserer eksternt, og hvem som koordinerer med leverandører. Dette sikrer en smidigere håndtering når det virkelig gjelder.
Læring fra tidligere hendelser
Evalueringer etter hendelser er uvurderlige for å forbedre fremtidige prosesser. Disse bør gjennomføres innen én uke etter at hendelsen er avsluttet, mens detaljene fortsatt er ferske. Fokuser på systemer og prosesser, ikke på å finne skyldige.
Still spørsmål som: Hva fungerte godt? Hvor oppsto forsinkelser? Hvilke verktøy eller prosedyrer manglet? Dokumenter svarene i en rapport som deles med hele sikkerhetsteamet.
Analyser trender for å identifisere mønstre som ikke er åpenbare i enkelthendelser. Gjentatte phishing-angrep kan for eksempel indikere behov for bedre opplæring av ansatte, mens hyppige malware-infeksjoner kan peke på svakheter i endpoint-sikkerhet.
Bygg en kunnskapsbase med løsninger på vanlige problemer. Dette hjelper nye teammedlemmer å komme raskt i gang og sikrer at verdifull kunnskap ikke går tapt når erfarne ansatte slutter. Inkluder både tekniske løsninger og retningslinjer for kommunikasjon med interessenter.
Tabletop-øvelser gir teamet mulighet til å trene på hendelseshåndtering i et kontrollert miljø. Gjennomfør slike øvelser kvartalsvis med realistiske scenarioer basert på tidligere hendelser eller aktuelle trusler. Dette hjelper med å avdekke svakheter og bygger teamets selvtillit.
Bruk av spesialisert ekspertbistand
Når intern kompetanse ikke strekker til, kan ekstern ekspertise være redningen. Eksterne spesialister, som de fra Supportia, kan bidra til raskere oppklaring og gjenoppretting, spesielt ved komplekse sikkerhetshendelser.
Identifiser potensielle støtteleverandører på forhånd. Dette kan inkludere cybersikkerhetskonsulenter og teknisk support for kritiske systemer. Supportia tilbyr blant annet eksperthjelp innen PC- og datastøtte, Mac-support og mobiltelefonreparasjoner – områder som ofte påvirkes under hendelser.
Forensiske eksperter kan være avgjørende når hendelsen kan føre til rettslige prosesser eller når det er nødvendig å forstå hvordan et angrep skjedde.
Vurder bruk av managed security services for kontinuerlig overvåking og støtte. Mange organisasjoner kombinerer interne sikkerhetsteam med eksterne leverandører som kan tilby overvåking døgnet rundt.
Bygg relasjoner med leverandører i rolige perioder, ikke først når krisen oppstår. Dette sikrer raskere responstid og en bedre forståelse av organisasjonens behov.
Ha oppdatert kontaktinformasjon og eskaleringsveier for alle eksterne leverandører. Sørg for å inkludere både vanlige kontaktkanaler og nødkontakter for kritiske situasjoner. Hold denne informasjonen oppdatert, slik at den er klar når den trengs mest.
Sammendrag
Å håndtere sikkerhetshendelser på en effektiv måte krever en strukturert tilnærming som kombinerer teknisk ekspertise og strategisk tenkning. Sikkerhetsanalytikere spiller en avgjørende rolle i å beskytte organisasjoner mot stadig utviklende cybertrusler. Deres evne til å oppdage, analysere og reagere på hendelser kan utgjøre forskjellen mellom minimal skade og alvorlige konsekvenser for virksomheten.
Viktige punkter å merke seg
Tegn på sikkerhetsbrudd kan ofte inkludere uvanlig nettverkstrafikk, uautoriserte påloggingsforsøk eller mistenkelig oppførsel i systemene. Verktøy som SIEM-systemer og overvåking av endepunkter gir analytikere kraftige hjelpemidler for å identifisere slike anomalier før de eskalerer til større problemer.
Under analysefasen er det avgjørende å dokumentere grundig og utføre en nøye undersøkelse. Dette bidrar til å kartlegge hvilke systemer som er berørt, avdekke hvordan angrepet skjedde, og forstå hvilken innvirkning det kan ha på organisasjonen. Å kommunisere tydelig med relevante interessenter sikrer at de som tar beslutninger, har den nødvendige informasjonen for å handle raskt og presist.
Når det kommer til responsfasen, handler det om å agere raskt for å begrense skaden og starte gjenopprettingen, samtidig som man sikrer bevis for videre analyse. Erfaringer fra tidligere hendelser er uvurderlige for å styrke fremtidige forsvar. Som Purplesec understreker:
"Assessing each phase of the response, from first detection to final eradication, and looking honestly at what went well and what could be improved on leads each response to be more effective than the last."
Disse elementene utgjør grunnlaget for en robust respons og bedre forberedelser mot fremtidige angrep.
Viktigheten av forberedelse
Det er lurt å etablere samarbeid med eksterne leverandører på forhånd, slik at man kan reagere raskt i en krisesituasjon. For eksempel tilbyr Supportia tjenester som PC- og datastøtte, Mac-reparasjoner og mobilservice.
Organisasjoner som investerer i å utvikle klare prosedyrer, bygge sterke team og etablere pålitelige eksterne støttekanaler, står bedre rustet til å håndtere sikkerhetshendelser. Effektiv håndtering handler ikke bare om å reagere raskt på trusler, men også om å skape en kultur for kontinuerlig forbedring. Dette styrker organisasjonens samlede evne til å møte fremtidige utfordringer.
FAQs
Hvordan kan organisasjoner i Norge forebygge sikkerhetshendelser effektivt?
Hvordan forebygge sikkerhetshendelser i norske organisasjoner
For å redusere risikoen for sikkerhetshendelser i norske organisasjoner, er det helt sentralt å etablere solide sikkerhetsrutiner og følge nasjonale retningslinjer. Dette innebærer blant annet å:
- Oppdatere programvare regelmessig for å tette sikkerhetshull.
- Bruke sterke og unike passord som er vanskelige å gjette.
- Kryptere sensitive data for å beskytte informasjon mot uautorisert tilgang.
I tillegg er det viktig å ha en tydelig plan for hva som skal gjøres dersom et sikkerhetsbrudd oppstår. Dette inkluderer å trene ansatte i å identifisere trusler som phishing-angrep og oppmuntre til rask rapportering av mistenkelige hendelser. Slike rapporter bør sendes til relevante myndigheter, som for eksempel Nasjonalt cybersikkerhetssenter (NCSC).
Ved å kombinere teknologiske sikkerhetstiltak med økt bevissthet og opplæring blant ansatte, kan organisasjoner minimere risikoen for alvorlige sikkerhetsbrudd. Dette handler ikke bare om teknologi, men også om å bygge en sikkerhetskultur som gjør hele organisasjonen mer motstandsdyktig mot trusler.
Hvordan kan sikkerhetsanalytikere effektivt analysere og forstå en sikkerhetshendelse?
For å håndtere og forstå en sikkerhetshendelse på en effektiv måte, er det avgjørende å kartlegge hvordan hendelsen påvirker organisasjonens verdier, drift, omdømme og juridiske forpliktelser. Dette krever innsamling og analyse av sikkerhetslogger, varsler og annen relevant informasjon.
En viktig tilnærming er kontinuerlig overvåkning kombinert med tydelige prosedyrer for å prioritere hendelser. Ved å analysere data fra kilder som intervjuer, dokumentasjon og direkte observasjoner, kan man danne et helhetlig bilde av situasjonen. Denne kombinasjonen gjør det mulig for sikkerhetsanalytikere å raskt vurdere skadeomfanget og iverksette nødvendige tiltak for å minimere risiko og begrense skadeomfanget.
Når bør en bedrift vurdere å hente inn ekstern hjelp for å håndtere en sikkerhetshendelse?
Når en bedrift står overfor en sikkerhetshendelse som krever spesialkompetanse, kan det være smart å hente inn ekstern hjelp. Dette gjelder spesielt i situasjoner som ransomware-angrep, alvorlige datalekkasjer eller komplekse trusler som må håndteres raskt og nøyaktig.
Eksterne eksperter kan også være til stor nytte når bedriften må sørge for å oppfylle lovpålagte krav eller gjennomføre avanserte analyser, som sårbarhetstesting og penetrasjonstesting, for å avdekke og tette sikkerhetshull. Hvis de interne ressursene er overbelastet eller mangler erfaring med slike utfordringer, kan det å tilkalle eksperter redusere risikoen og begrense skadeomfanget.
