När en cyberincident inträffar är den första frågan som organisationer ofta ställer sig "vem är ansvarig?". Den viktigaste frågan är dock "vem är ansvarig?".
Säkerhetsteamen kan leda den tekniska responsen och externa leverantörer kan anlitas för att hjälpa till att utreda och begränsa hotet. Men när tillsynsmyndigheterna kommer på besök, kunderna kräver svar eller styrelsen granskar vad som gick fel, ligger ansvaret hos ledningen.
Moderna regleringar, utvecklad hottaktik och företagens växande beroende av digitala system har gjort detta oundvikligt. Cyberincidenter är inte längre enbart tekniska misslyckanden. De är affärskriser som kräver att ledningen fattar beslut under press.
Ansvar och ansvarsskyldighet används ofta synonymt, men under en cyberincident är det två helt olika saker.
Operativa team ansvarar för att upptäcka hot, analysera aktiviteter, stoppa angripare och återställa system. De verkställer responsen.
Ledningen är däremot ansvarig för resultatet. Det omfattar de beslut som fattas, de risker som accepteras och hur organisationen uppfyller sina juridiska och regulatoriska skyldigheter.
I praktiken innebär ansvarsskyldigheten att ledningen måste kunna svara på frågor som t.ex:
- Vilka affärsfunktioner påverkades och varför?
- Varför isolerades vissa system eller hölls de igång?
- När fick organisationen kännedom om incidenten?
- Underrättades tillsynsmyndigheter och kunder på rätt sätt och i tid?
- Vilka åtgärder vidtogs för att förhindra en upprepning?
Det här är inte frågor som kan delegeras bort, inte ens när responsaktiviteterna läggs ut på entreprenad.
I hela Europa och Storbritannien har regleringen undanröjt alla oklarheter om var ansvaret ligger.
NIS2 lägger ett direkt ansvar på ledningsorganen att godkänna åtgärder för hantering av cybersäkerhetsrisker, övervaka genomförandet av dem och se till att de är effektiva. Det införs också potentiella personliga konsekvenser om organisationer inte uppfyller sina skyldigheter.
DORA förstärker detta för finansiella enheter genom att tydligt ange att ledningsorganet behåller det yttersta ansvaret för IKT-riskhantering. Outsourcing av tjänster innebär inte att detta ansvar tas bort.
I Storbritannien riktar sig bådeCyber Governance Code of Practice och NCSC:s vägledning direkt till styrelser och ledande befattningshavare och betonar att cyberrisk är en styrningsfråga, inte bara en IT-fråga.
Budskapet i allt detta är konsekvent. Du kan outsourca verksamheten. Men man kan inte lägga ut ansvaret på entreprenad.
Under en incident är ledarnas ansvar vanligtvis koncentrerat till fyra områden.
Cheferna måste fatta snabba beslut med stor genomslagskraft med ofullständig information. Det handlar bland annat om att balansera begränsning mot driftstörningar, prioritera kritiska tjänster och besluta om hur stor risk organisationen är villig att ta på kort sikt.
Ledningen måste säkerställa att rapporteringsskyldigheter uppfylls, att bevis bevaras och att juridiska privilegier beaktas. Försenad eller felaktig rapportering är en av de vanligaste bristerna som identifieras av tillsynsmyndigheter efter incidenter.
Kommunikation med kunder, partners, medarbetare och media är ett ledaransvar. Blandade budskap eller tystnad kan orsaka lika stor skada som själva incidenten.
För att godkänna externt stöd, aktivera katastrofåterställning, godkänna utgifter i nödsituationer och omfördela interna team krävs att ledningen är delaktig.
Säkerhetsteamen ger input, men det är ledarskapet som bestämmer.
Det är här Managed Detection and Response spelar en avgörande roll, inte bara som en säkerhetstjänst, utan som en möjliggörare för effektiv styrning.
MDR förvandlar råa larm till validerade incidenter med sammanhang. Istället för att ledarskapet översvämmas av tekniskt brus får de tydliga förklaringar av vad som händer, vad som påverkas och hur säker bedömningen är. Detta möjliggör snabbare och bättre underbyggda beslut.
Tillsynsmyndigheter förväntar sig att organisationer ska kunna visa vad de visste, när de visste det och vilka åtgärder som vidtogs. MDR-tjänsterna upprätthåller detaljerade tidslinjer, loggar och svarsregister som stöder myndighetsrapportering och granskningar efter incidenter.
Ett moget MDR-program definierar tröskelvärden för allvarlighetsgrad och eskaleringsvägar i förväg. Ledningen meddelas när det behövs, inte för sent och inte för alltid genom en varning på låg nivå. Detta stödjer ett lugnt och kontrollerat beslutsfattande under press.
MDR-team med erfarenhet av incidenthantering kan hjälpa till att översätta tekniska slutsatser till lättlästa genomgångar för chefer, styrelser och kristeam. Detta minskar risken för missförstånd och säkerställer att alla arbetar utifrån samma riskbild.
Kanske viktigast av allt är att MDR stöder ledarskapets ansvarstagande långt innan en incident inträffar. Bordövningar, rapporteringsmått som är anpassade till affärsrisker och kontinuerlig justering av detektioner hjälper ledningen att förstå sin exponering och sitt beslutsansvar i förväg.
När en incident inträffar är det för sent att bestämma vem som äger vilka beslut, vem som ska tala med tillsynsmyndigheter eller hur eskaleringen ska gå till. Ledningens ansvar bedöms utifrån förberedelser lika mycket som utifrån respons.
MDR ersätter inte ledningens ansvar. Vad det gör är att ge ledarna den synlighet, de bevis och det stöd de behöver för att utöva detta ansvar på ett effektivt sätt, under stark tidspress och med verkliga konsekvenser.
För organisationer som utsätts för allt hårdare granskning från myndigheter och mer sofistikerade attacker är MDR inte längre bara en teknisk kontroll. Det är en kritisk del av modern cyberstyrning.
Om du vill förstå hur MDR kan stödja ditt ledarskapsteam före, under och efter en cyberincident, tala med Integrity360 om hur du bygger upp en MDR-kapacitet som är anpassad till styrning, reglering och affärsrisk.