Norges Bondelag tar IT-sikkerhet på alvor

En modenhetsanalyse fra Atea ga Norges Bondelag verktøyet de trengte for å tenke mer helhetlig rundt informasjonssikkerhet, og for å finne ut hvilke tiltak de skulle prioritere først.

Informasjonssikkerhet behøver ikke nødvendigvis dreie seg om avanserte hackerangrep, det kan også handle om menneskelige feil eller svakheter i hvordan de tekniske løsningene er satt opp. Det fikk Norges Bondelag smertelig erfare da noen sommeren 2021 fikk tilgang til e-postkontoen til en av organisasjonens ansatte. Denne ble så brukt til å sende ut et stort antall svindel-e-poster på vegne av Bondelaget.

En skikkelig gjennomgang

Denne hendelsen, i tillegg til stadig flere medieoppslag om virksomheter som var blitt utsatt for digital utpressing, gjorde at Bondelaget fant ut at det var på tide med en skikkelig gjennomgang av informasjonssikkerheten.

– Trusselbildet gjorde at vi så det som helt nødvendig med en gjennomgang av vår egen IT-sikkerhet. Vi ba derfor Atea om å gjennomføre en modenhetsanalyse slik at vi kunne bli bedre i stand til å se hele bildet, forteller Terje Lystad, IT-sjef i Norges Bondelag.

Han mener at selv om de allerede hadde tenkt på mange av tiltakene selv, var gjennomgangen veldig nyttig.

– Jeg vil si at nesten alle bedrifter burde gjennomføre en slik analyse for å avdekke hull. Ikke for å avdekke hvor god eller dårlig du er, men for å finne ut hvor det er mangler – og få råd om hva du kan gjøre med disse.

Vil ha kontroll på egne data

Norges Bondelag er med sine mer enn 61.500 medlemmer den største næringsorganisasjonen innenfor norsk landbruk, og den største fagorganisasjonen for bønder i Norge. Organisasjonen har 18 kontorer spredd over hele landet, inkludert et kontor på Grønland i Oslo der 55 av organisasjonens rundt 115 ansatte sitter.

Lystad forteller at de har valgt å drifte det meste av sine IT-løsninger selv.

– Med unntak av noen få tjenester som er satt ut, kjører vi det meste i vårt eget datarom. Vi har ingen store og komplekse egenutviklede systemer, og kjører ERP, regnskap og så videre internt på egne servere. Vi har valgt å ha nærhet til egne data, forteller Lystad.

Inkludert Lystad er det bare to ansatte i Bondelaget som jobber med IT, og de har ansvar for både support og drift. Det har derfor vært nyttig å ved behov kunne få tilgang til et større fagmiljø som Atea, spesielt når de nå hadde behov for en større gjennomgang av IT-systemene for å finne eventuelle huller i informasjonssikkerheten.

Et nyttig verktøy flere kunne hatt bruk for

Ateas modenhetsanalyse er basert på Nasjonal sikkerhetsmyndighets (NSM) Grunnprinsipper for IKT-sikkerhet, et omfattende rammeverk og et sett med prinsipper og underliggende tiltak som skal beskytte informasjonssystemer mot uautorisert tilgang, skade eller misbruk.

Lystad mener modenhetsanalysen har vært til god hjelp for å få identifisert hvilke sikkerhetstiltak de bør prioritere først, og også for å få bekreftelse på at de har tenkt riktig. Analysen ble gjennomført gjennom en serie med arbeidsmøter.

– Grunnprinsippene er omfattende og kan virke overveldende, men gjennom modenhetsanalysen oversetter Atea grunnprinsippene inn i din kontekst slik at de er lettere å relatere seg til.

Til slutt ender modenhetsanalysen opp i en rapport med konkrete anbefalinger av tiltak og prioritering av disse.

Lystad mener flere kunne hatt nytte av å bli bedre kjent med sin egen sikkerhet.

– Med rapporten har vi fått et veldig nyttig verktøy som vi kan bruke i vårt eget sikkerhetsarbeid fremover, avslutter Lystad.