Guide: Så planerar och genomför du en cyberövning

EU:s cybersäkerhetsmyndighet ENISA har tagit fram en modell som beskriver hur en cyberövning kan byggas upp, från första beställning till uppföljande rapport. Rätt använd är den ett verktyg för styrning. Fel använd blir den ännu en pärm i hyllan.

Här går vi igenom hur modellen är tänkt att fungera och hur den kan omsättas i praktiken.

1. Börja inte med scenariot – börja med risken

ENISA:s modell inleds med en formell begäran om cyberövning. Organisationen ska definiera:

• Syfte (upp till tre “varför”)
• Max fem mål
• Övningstyp
• Koppling till regelverk som NIS2
• Förväntat utfall

Det kan låta självklart. Men det är här många övningar havererar.

Vanliga formuleringar som “öka medvetenheten” eller “testa incidenthanteringen” är inte mål – de är ambitioner. De går inte att mäta.

Så gör du det skarpt:

I stället för:
“Testa krishanteringen.”

Formulera:

• Incident identifieras inom 15 minuter
• Ledningsgrupp informeras inom 60 minuter
• Extern kommunikation beslutas inom två timmar
• Rapportering sker enligt regulatoriska krav

Plötsligt finns något att utvärdera.

2. Planera övningen som ett verksamhetsprojekt

I nästa steg – Exercise Plan (ExPlan) – behandlas övningen som ett projekt med:

• Tydlig tidslinje
• Definierat scope (system, data, team)
• Roller och ansvar
• Resurser
• Go/No-Go-beslut

Det är ett sätt att signalera att övningen är en styraktivitet, inte en teknisk workshop.

En särskilt viktig del i modellen är kravet på att beskriva:

• Risker mot verklig drift
• Kill-switch-procedurer
• Juridiska och regulatoriska konsekvenser

Det påminner om att en övning i sig kan få operativa följder.

Vanlig fallgrop:
Övningen planeras av säkerhetsfunktionen utan att verksamheten involveras. Resultatet blir tekniskt korrekt men organisatoriskt irrelevant.

3. Kommunikation är det som avgör hur krisen uppfattas

ENISA har en separat kommunikationsplan för övningen. Det är klokt.

Under en verklig incident är det sällan tekniken som avgör förtroendet – utan hur snabbt och tydligt organisationen kommunicerar.

Modellen delar upp kommunikationen i tre faser:

Före:
Förankring, intressentkartläggning, rollklarhet.

Under:
Incidentrapportering, statusuppdateringar, eskalering.

Efter:
Debrief, feedback, rapportering.

Om kommunikationschefen och verksamhetsledningen inte deltar i övningen testas inte organisationens verkliga motståndskraft.

4. Gör scenariot mätbart – inte dramatiskt

Den mest operativa delen i modellen är MSEL – Master Scenario and Event List.

Här bryts scenariot ner metodiskt:

• Övergripande händelse
• Incident
• Inject (informationsinslag under övningen)
• Utvärderingskriterier

Varje inject ska ha:

• Tidsangivelse
• Avsändare
• Mottagare
• Beskrivning
• Mätpunkter

Det är här övningen slutar vara teater och blir testbar.

Exempel:
I stället för “Ransomware slår ut verksamheten” definieras:

• När upptäcks intrånget?
• Vem eskalerar?
• När informeras kunder?
• Följdes beslutad process?

Mätpunkterna är viktigare än attacktypen.

5. Inför en formell stoppunkt

I Guiding Checklists finns Go/No-Go-kontroller för varje fas:

• Är målen SMART-formulerade?
• Är scope tydligt?
• Är MSEL färdig?
• Är datainsamling planerad?
• Är roller tydliga?

Det kan uppfattas som administrativt. Men det är här kvaliteten säkras.

Den största risken är inte att övningen blir för enkel – utan att den genomförs utan tydlig utvärderingsmetod.

6. Efterarbetet avgör om något förändras

Den avslutande After Action Report är modellens mest avgörande del.

Rapporten ska inte bara sammanfatta händelser, utan innehålla:

• Analys av mål och förmågor
• Identifierade brister
• Rekommendationer
• En konkret handlingsplan
• Ägare och deadline

Här skiljs en övning från en förbättringsprocess.

En rapport utan ägare förändrar inget. En rapport med ansvar, tidsram och styrelserapportering gör det.

Fråga att ställa efter övningen:
Vilken konkret förändring ska vara genomförd om sex månader?

Klicka här om du vill fördjupa dig i ENISA:s modell för cyberövningar.