Korta svaret: behåll lugnet, men agera direkt. Koppla bort drabbade datorer från nätet för att stoppa spridningen, stäng inte av dem (då kan bevis försvinna), byt lösenord på viktiga konton från en ren enhet, dokumentera allt – och ta in hjälp. De första timmarna avgör om det blir en incident eller en katastrof.

Hur vet jag om vi blivit hackade?

Vanliga tecken: filer som plötsligt är krypterade eller omdöpta och ett meddelande som kräver betalning (ransomware), kollegor som får konstiga mejl från era adresser, inloggningar från andra länder, system som beter sig oväntat, eller en kund som hör av sig om utskick ni inte gjort. Är du osäker – behandla det som en incident tills motsatsen är bevisad. Det är billigare att överreagera än att vänta.

De första timmarna – steg för steg

1. Stoppa spridningen

Koppla bort de drabbade enheterna från internet och nätverket – dra nätverkskabeln eller stäng av wifi på dem. Målet är att hindra angriparen från att nå fler datorer. Stäng inte av datorerna och radera ingenting; viktiga spår finns i minnet och kan försvinna annars.

2. Byt lösenord från en ren enhet

Använd en dator eller telefon som inte är drabbad och byt lösenord på det viktigaste först: mejl, banktjänster, administratörskonton och er lösenordshanterare. Aktivera tvåfaktor överallt där det går. Antar du att angriparen ser allt på den drabbade enheten – byt alltså inte lösenord på den.

3. Dokumentera allt

Skriv ner tidpunkter, vad ni såg, vilka enheter som drabbats och vad ni gjort. Ta foton eller skärmbilder av till exempel ett ransomware-meddelande. Den här loggen är guld värd – både för att lösa incidenten och för eventuell anmälan.

4. Larma rätt personer internt

Se till att ledning och IT-ansvarig vet vad som pågår. Utse en person som håller ihop hanteringen, så att inte fem personer gör motstridiga saker samtidigt.

5. Ta in hjälp utifrån

Har ni en IT-partner eller säkerhetsleverantör – ring nu. Saknar ni det kan ZORC och Svensk Cybersäkerhet hjälpa er att begränsa skadan och ta reda på vad som hänt. Ju tidigare experthjälp, desto mindre skada.

Måste vi anmäla intrånget?

Ofta, ja. Har personuppgifter drabbats ska en personuppgiftsincident i regel anmälas till Integritetsskyddsmyndigheten (IMY) inom 72 timmar från att ni upptäckt den. Det kan också vara läge att polisanmäla, och att anmäla till CERT-SE. Är ni osäkra – dokumentera noga och ta hjälp att bedöma anmälningsplikten. Klockan börjar ticka direkt, så vänta inte med dokumentationen.

Vad ska jag INTE göra?

  • Betala inte lösensumman förhastat. Det finns ingen garanti att du får tillbaka datan, och det finansierar brottslighet. Rådgör först.
  • Radera eller "städa" inte innan någon kunnig tittat – du kan förstöra spår som behövs.
  • Mörka inte. Att dölja en incident kan göra det rättsligt värre och skada förtroendet mer.
  • Återanslut inte för snabbt. Återställ system först när ni vet att angriparen är ute.

Hur undviker vi nästa gång?

När det akuta lagt sig: ta reda på hur de kom in och täpp till hålet. Säkra backuper (som testas regelbundet), tvåfaktor, uppdaterade system och utbildad personal är det som stoppar de flesta intrång. En incidentplan – en nedskriven lista över vem som gör vad – gör att nästa larm hanteras lugnt istället för i panik.

Den som har en plan i lådan fattar bättre beslut under press. Skriv planen innan ni behöver den.

Behöver ni hjälp – nu eller för att förbereda?

ZORC hjälper svenska företag både att hantera pågående incidenter och att förbereda sig så att de inte sker. Via Svensk Cybersäkerhet gör vi säkerhetsgranskningar och penetrationstester som hittar svagheterna innan en angripare gör det. Vill du ha en incidentplan på plats – eller behöver du hjälp just nu? Kontakta ZORC.