Webinar: Effektive cyberøvelser for alle nivåer med Møller Digital

En cyberøvelse er en simulert hendelse der ansatte trener på å håndtere digitale trusler. I motsetning til tekniske tester, som kjøres mot systemer alene, involverer en øvelse både systemer og mennesker, som gjør det mer realistisk og komplekst. Cousin sammenlignet det med sikkerhetsgjennomgangen på fly: du har sett den så mange ganger at du automatisk vet hvor nødutgangene er og hvordan redningsvestene fungerer. Slik bør det også fungere i en virksomhet. Øving gjør at de rette handlingene sitter i ryggmargen, slik at du vet hva du skal gjøre den dagen noe faktisk skjer.

Formålet er å oppdage svakheter i prosesser og beredskapsplaner før angripere gjør det, å trene på raske og riktige beslutninger under press, og å styrke samhandlingen på tvers av roller og avdelinger. Men øvelser handler om mer enn å forberede seg på det verste. De kan også bidra til å bygge et bedre arbeidsmiljø, bryte ned siloer og skape en felles kultur for sikkerhet og ansvar på tvers av organisasjonen.

Velg type øvelse og scenario
Det finnes flere øvelsesformer, og valget bør tilpasses virksomhetens modenhet og tilgjengelige ressurser. Den enkleste varianten er en varslingsøvelse, der et varslet eller uvarslet scenario sendes til et team og man måler for eksempel responstid. Den kan gjennomføres med verktøy du allerede har, som e-post eller Teams. Tabletop-øvelsen er den vanligste formen, og innebærer en gruppebasert gjennomgang av et hypotetisk scenario der deltakerne diskuterer hva de ville gjort. For virksomheter som ikke har øvd mye før, er dette et godt utgangspunkt.

Når det gjelder selve scenarioet, så har man sannsynligvis allerede noe å ta utgangspunkt i. Gjenbruk det du har liggende, enten det er risikovurderinger, revisjonsresultater eller hendelseshåndteringsplaner. Phishingangrep er et tidløst og relevant scenario for de fleste virksomheter. Cousin anbefaler å blande historiske hendelser med nyere scenarioer, og gjerne bruke KI-verktøy til å berike scenarioet med relevant historikk fra virksomhetens fortid.

Mål, deltakere og spilleregler
Et sentralt poeng fra Cousin er at målene for en øvelse bør være målbare over tid. Konkrete mål, som for eksempel responstid eller årlig gjennomgang med sammenligning mot fjorårets resultat, gjør det mulig å vise fremgang fra øvelse til øvelse og er nyttig dokumentasjon i møte med revisjon og ledelse.

Når det gjelder hvem som bør delta, er rådet å invitere teamet som er direkte berørt av scenarioet, gjerne med relevante overordnede til stede dersom du ønsker ledelsesforankring for forbedringspunkter i etterkant. Et viktig prinsipp er at alle deltakere skal ha en oppgave og føler eierskap til egen rolle under øvelsen, slik at ingen sitter passivt i rommet.

Tydelige spilleregler gir trygghet for alle. Cousin anbefaler alltid å inkludere et kodeord for å skille mellom øvelse og reell hendelse, en avklaring om at manglende instruksjoner er en del av øvelsen og ikke en feil, og ikke minst en klar beskjed om at det er prosesser og planer som testes og ikke enkeltpersoner. Det siste er viktig for å skape et trygt rom der folk tør å stille de «dumme» spørsmålene og si hva de faktisk tenker.

Gjennomføring og motstand
En effektiv tabletop-øvelse kan gjennomføres på halvannen time, etterfulgt av en tretti minutters debrief, totalt to timer. Legg gjerne øvelsen til morgenen eller rett etter lunsj, ta naturlige pauser, og sørg for tilgang til kaffe og mat. Det høres enkelt ut, men det gjør mer for stemningen og konsentrasjonen enn man kanskje tror.

Du vil sannsynligvis møte motstand på ett eller annet tidspunkt, enten det er før, under eller etter øvelsen. Cousin oppfordrer til å ta imot den motstanden med åpne armer, fordi det betyr at folk bryr seg og tør å si ifra. Er spørsmålet om det virkelig er nødvendig å øve, er svaret enkelt: gå tilbake til «hvorfor». Under selve øvelsen kan fasilitatorrollen bli avgjørende for å holde tempo og fokus, og det kan hjelpe å ha en «parkeringsplass», altså en tavle eller et dokument der tema som dukker opp utenfor scoopen kan noteres og tas opp etterpå.

Debrief, oppfølging og årshjul
Debriefen er en kritisk del av øvelsen og bør gjennomføres rett etterpå, mens opplevelsene er ferske. La deltakerne snakke fritt om hva som fungerte og hva som ikke gjorde det. Teams Copilot eller tilsvarende verktøy kan brukes til å loggføre samtalen og lage et enkelt referat, nyttig både som dokumentasjon og grunnlag for videre oppfølging.

Etter debriefen sitter du gjerne igjen med en liste over forbedringspunkter. Organiser dem fra enkle og gjennomførbare til mer komplekse tiltak. Å raskt lukke de enkleste gapene gir en viktig mestringsfølelse og viser at tiden brukt på øvelsen faktisk gav verdi. Avklar tydelig hvem som er ansvarlig for å følge opp hvert tiltak. Fasilitatoren trenger ikke å bære det ansvaret alene, men bør sørge for at noen gjør det.

For å gjøre øving til en varig del av beredskapsarbeidet anbefaler Cousin å etablere et årshjul, altså en plan for når øvelser skal gjennomføres gjennom året. Møller Digital gjennomfører minimum fire øvelser per år, pluss varslingsøvelser. Et årshjul gir forutsigbarhet for alle og sørger for at øving ikke skyves ut av kalenderen av andre prioriteringer. Sikkerhetsmåneden i oktober kan være et naturlig tidspunkt å lansere et slikt hjul.

Typiske fallgruver og ikke-tekniske gap
Den vanligste feilen er å gjøre øvelsen for kompleks. Mange bruker for mye tid og ressurser på avanserte scenarioer og mister av syne det fundamentale. De enkleste øvelsene er ofte de mest lærerike, særlig for virksomheter som ikke har øvd tidligere. To til tre personer er mer enn nok til å planlegge en god øvelse, og de bør helst være interne ettersom det er de som kjenner organisasjonen best.

Øvelser avdekker dessuten ofte gap som ikke er tekniske i det hele tatt. Manglende kontaktinformasjon til relevante samarbeidspartnere, uklart hvem som har beslutningsmyndighet og kommunikasjonssvikt mellom teknisk personell og ledelse er blant de vanligste funnene. Cousin peker på at å oversette mellom teknisk og forretningsmessig språk er en av de største utfordringene i øvelser, og at dette er noe mange virksomheter undervurderer. Mangelen på gode verktøy er som regel ikke problemet, men evnen til å samarbeide og kommunisere på tvers av fag og nivåer.

Øv på tvers av organisasjoner
Å øve internt er et godt utgangspunkt, men det finnes stor verdi i å øve på tvers av organisasjoner, enten det er mellom en teknisk driftsorganisasjon og konsernledelsen, eller mellom en virksomhet og dens viktigste leverandører og partnere. Møller Digital gjennomførte sin første slike øvelse mellom Møller Digital og konsernledelsen i 2025. Leverandørkjedeangrep er en reell og aktuell trussel, og øvelser er en effektiv måte å avdekke svakheter i disse grensesnittene på, for eksempel om dere faktisk har tilstrekkelige kontaktpunkter til kritiske tredjeparter dersom noe skulle skje.

Start enkelt, men start
Gjennom hele presentasjonen kom Cousin tilbake til ett nøkkelord: mestringsfølelse. Øvelser skal ikke skremme, de skal bygge selvtillit. Deltakerne skal gå ut av rommet med en opplevelse av at de har lært noe, bidratt til noe, og at virksomheten er bedre rustet enn før. Det krever at øvelsen er godt designet, at alle har en rolle, og at funnene faktisk følges opp.

Det viktigste rådet er likevel det enkleste: begynn et sted. En liten tabletop med seks til sju kolleger gir allerede verdifull innsikt. Jo oftere du gjør det, jo lettere blir det.

«Den største risikoen er egentlig å aldri starte. Bare start med noe enkelt, for all del, start.» — Agustina Cousin, Lead Security Arkitekt, Møller Digital.

Vi takker Møller Digital og Agustina for å bidra inn i webinarserien, og alle deltakende for godt engasjement og gode spørsmål.