IT-sikkerhet 17-10-2023

Det finnes gull bare du vet hvor du skal lete

Vi bør rydde litt i skapet, og bli enige om hva som er det aller viktigste for å sikre motstandsdyktigheten.

Thomas Tømmernes
Thomas Tømmernes
Leder for IT-sikkerhet
Thomas Tømmernes

Innlegg ble først publisert i Computerworld.

Vi er mange eksperter innen it-sikkerhet som mener vi vet best hva som trengs for å møte det nye trusselbildet. Nå i forbindelse med sikkerhetsmåneden oktober føles det ofte som vi prater i munnen på hverandre. Derfor bør vi heller rydde litt i skapet, og bli enige om hva som er det aller viktigste for å sikre motstandsdyktigheten.

I dag finnes det utallige virksomheter som følger det digitale trusselbildet og som tilbyr it-sikkerhetstjenester. De jobber både seriøst og målrettet med å sikre Norge. Utfordringen er at deres forsøk på å vinne frem med sine ulike råd og løsninger blir oppfattet som støy av mange.

Ett skritt tilbake, to skritt frem

Skal vi ikke heller bare ta et skritt tilbake og se på hva vi allerede har på plass, istedenfor å stå og kope mens vi venter på at den store sikkerhetsdugnaden skal komme i gang? Vi i Atea gjennomførte i våres en undersøkelse om it-sikkerhet sammen med Kantar. Der pratet vi med 610 daglige ledere og it-ansatte i både store og mellomstore virksomheter, offentlige, som private.

Følg grunnprinsippene

Et av spørsmålene vi stilte i undersøkelsen var om kjennskapen til Nasjonal sikkerhetsmyndighet (NSM) sine grunnprinsipper for it-sikkerhet. Her meldte 2 av 3 spurte at de hadde liten eller ingen kjennskap til disse. Dette er skremmende tall, all den tid disse grunnprinsippene burde være pensum både hos ledelsen, og ikke minst, hos it-ansvarlige i alle landets virksomheter. I fjor var vi nesten 600 Atea-ansatte som tok NSM sitt kurs for å ta et dypdykk inn i grunnprinsippene. Jeg anbefaler alle å bruke noen timer av sikkerhetsmåneden oktober til å gjøre det samme. Grunnprinsippene tar for seg både teknologiske og organisatoriske tiltak som alle virksomheter, både private og offentlige, bør inkorporere i oppbygningen av sine it-systemer.

Fire viktige råd

Jeg tillater meg å oppsummere de fire viktigste rådene til NSM her, fordi disse er så viktige å ha på plass.

  1. Identifisere og kartlegge: Dette danner grunnlaget for resten av grunnprinsippene. Hensikten er å forstå og prioritere sikkerhetstiltakene som kreves i tråd med forretningsbehov og strategi for risikostyring. Her bør også prosesser for å forvalte kunnskapen over tid ligge.
  2. Beskytte og opprettholde: Dette innebærer blant annet å sikre hvordan it-systemet anskaffes, planlegges, bygges og konfigureres slik at man oppnår ønsket grad av sikkerhet. Her finnes også prinsippene for å motstå eller begrense skaden fra et dataangrep.
  3. Oppdage: Prinsippene i denne kategorien fokuserer på å oppdage og fjerne kjente sårbarheter og trusler gjennom sårbarhetskartlegging og overvåking. Analyse av data skal også kunne hjelpe med å oppdage avvik fra normaltilstand.
  4. Håndtere og gjenopprette: Hvordan håndterer du sikkerhetshendelser effektivt? Det handler om å forberede seg på, vurdere, kontrollere og håndtere hendelser, gjenopprette og forbedre sikkerheten basert på erfaringer.

Nødplakaten for digitale angrep

Et annet godt tips er Nødplakaten for digitale angrep. Den anbefaler jeg alle å ha lett synlig i sine kontorlandskap. Denne kom til på initiativ fra Næringslivets sikkerhetsråd (NSR), i samarbeid med politiet, NSM og Datatilsynet. Her får man tips om hvordan man raskt kan varsle, håndtere og gjenopprette om uhellet er ute og man har blitt angrepet digitalt.

Om vi alle setter oss inn i og følger disse enkle prinsippene kan vi skape et mer sikkert digitalt samfunn. Vi kan redusere risikoen for it-angrep, beskytte data og informasjon, og sikre at samfunnets digitale systemer er robuste.

Sikkerhetsmåneden oktober

Om få dager sparkes sikkerhetsmåneden oktober i gang med Norsk senter for informasjonssikring (NorSIS) i spissen. De ivrigste foredragsholderne har avtaleboken full og spenner i disse dager på seg piggskoa og legger seg klare i startgropa. Jeg heier på disse hverdagsheltene som bruker de kommende ukene på veien for å gi gode råd til norske virksomheter, og vet at om vi alle setter oss inn i grunnprinsippene til NSM og opplyser om Nødplakaten til Næringslivets sikkerhetsråd, at vi kan skape et mer sikkert, digitalt samfunn. Vi kan redusere risikoen for it-angrep, beskytte data og informasjon, og sikre at samfunnets digitale systemer er robuste.

Inntil skrivelysten tar meg igjen, følger jeg daglig sikkerhetsoppdateringer på Norges største møtearena for It-sikkerhetsinteresserte, der det nå er 7000 medlemmer og forbereder meg på hvilke råd jeg skal gi når jeg blir forespurt.

 

Les mer om Ateas IT-sikkerhetstjenester