Frågan är inte om en incident inträffar, utan när. Skillnaden mellan ett litet avbrott och en kostsam kris ligger i hur förberedda ni är. Här är vad som behöver hända de första timmarna, och vad ni ska göra redan nu.

De första 60 minuterna

  • Bekräfta och avgränsa. Är det en verklig incident? Vilka system är drabbade?
  • Isolera. Koppla bort drabbade enheter från nätverket, men stäng inte av dem, det kan förstöra spår.
  • Larma rätt personer. Enligt en plan ni redan bestämt, inte genom att leta telefonnummer i panik.
  • Dokumentera. Skriv ner vad ni ser och gör, tidsstämplat. Det behövs både för analys och eventuell rapportering.

Stäng inte av datorn och radera ingenting i affekt. Det förstör ofta de spår som behövs för att förstå vad som hänt och hur långt angriparen kom.

Det ni bör ha klart i förväg

  • En enkel incidentplan med roller och kontaktvägar.
  • En lista över era viktigaste system och vem som ansvarar för dem.
  • Säkerhetskopior som ni vet fungerar.
  • Kontakt till någon som kan hjälpa, innan ni står där och behöver det.

Glöm inte rapporteringskraven

Med NIS2 och nya cybersäkerhetslagen finns det tidsgränser för att rapportera vissa incidenter. Det är ännu ett skäl att ha rutinen på plats i förväg. Läs mer om NIS2.

Så hjälper vi er

Vi hjälper er ta fram en incidentplan ni faktiskt kan följa, och finns där med övervakning och respons när något händer. Hör av er för en genomgång.

The question is not if an incident happens, but when. The difference between a minor disruption and a costly crisis lies in how prepared you are. Here is what needs to happen in the first hours, and what to do right now.

The first 60 minutes

  • Confirm and scope. Is it a real incident? Which systems are affected?
  • Isolate. Disconnect affected devices from the network, but do not power them off, that can destroy evidence.
  • Alert the right people. According to a plan you already decided, not by hunting for phone numbers in a panic.
  • Document. Write down what you see and do, time-stamped. It is needed both for analysis and possible reporting.

Do not switch off the computer or delete anything in the heat of the moment. That often destroys the evidence needed to understand what happened and how far the attacker got.

What you should have ready in advance

  • A simple incident plan with roles and contact paths.
  • A list of your most important systems and who is responsible for them.
  • Backups you know work.
  • Contact to someone who can help, before you are standing there needing it.

Do not forget the reporting requirements

With NIS2 and the new cyber security law there are time limits for reporting certain incidents. That is another reason to have the routine in place in advance. Read more about NIS2.

How we help

We help you build an incident plan you can actually follow, and are there with monitoring and response when something happens. Get in touch for a review.