Du får de bästa instruktionerna för din situation när du först svarar på frågorna på sidan Förfrågor.
Information har stulits eller läckt ut från min organisation
Ta reda på vad som har hänt
Agera snabbt
Om det uppstår en misstanke om att informationssäkerheten i din organisation är äventyrad ska du genast börja reda ut fallet.
På så sätt kan den potentiella skadan minskas och du vet att du gjorde allt du kunde i situationen.
Samla de ansvariga personerna
Samla snabbt de personer som är ansvariga för din organisations
- säkerhet
- informationssäkerhet
- dataskydd
- beredskap och kontinuitet
- kommunikation.
Även organisationens högsta ledning bör i allmänhet vara medveten om ärendet. Om problemet gäller informationssystemet ska man i samma kontakt också få med den person som ansvarar för informationssystemet och till exempel en eventuell representant för systemleverantören.
De ansvariga personerna kan sinsemellan fatta beslut om hur man ska gå tillväga.
Ta reda på vad som har hänt
Ta reda på
- vilka de uppgifter är, vars säkerhet har äventyrats
- vad man har gjort med dessa uppgifter (läst, kopierat, ändrat, raderat)
- om informationssäkerheten fortfarande äventyras.
Hur utreds ett dataintrång?
Dataintrång i den tekniska miljön utreds oftast med hjälp av logguppgifter för system, applikationer, servrar och tjänster.
Om logghanteringen av organisationens datasystem har genomförts på en tillräcklig nivå kan man med hjälp av loggarna utreda
- vad som hänt
- varför det hände
- när det har hänt.
Bedöm risker och besluta om åtgärder
När du är någorlunda säker på vad som har hänt, bedöm
- vilka konsekvenserna av det inträffade kan bli
- vilka sannolikheterna är för att olika konsekvenser ska förverkligas.
Med hjälp av riskbedömningen kan du avgöra
- vilka åtgärder som bör vidtas omedelbart för att förhindra ytterligare skador och lösa situationen
- vilka åtgärder man bör förbereda sig på på längre sikt.
Dokumentera händelser och åtgärder
- För händelsedagbok över händelserna samt över fattade beslut och åtgärder.
- Säkerställ att logguppgifterna för de datasystem som hänför sig till fallet sparas och hålls oförändrade och att kopior finns på en skyddad plats.
- Säkerhetskopiera alla dokument som gäller fallet. Även till exempel e-postmeddelanden som behandlar ärendet.
Uppgifterna behövs för att utreda fallet samt vid en eventuell brottsutredning och domstolsbehandling.