02-10-2018

Fem minimumskrav til sikkerhet i virksomheter

Vi har satt sammen en liste med minimumskrav til sikkerhet som du som leder bør ta med inn i neste ledermøte og benytte som grunnlag for diskusjon.

Thomas Tømmernes
Thomas Tømmernes
Leder for IT-sikkerhet
Thomas Tømmernes

Det kan være utfordrende å være leder i dag. I tillegg til de tradisjonelle ansvarsområdene, eier du også digitalisering og ikke minst IT-sikkerhet. Dette kan være abstrakte områder som er i kontinuerlig forandring. Det utvikles nye metoder, prosesser, plattformer og teknologi som skalerer hurtig. Det som kjentes trygt, sikkert og gjennomtenkt i dag, er sannsynligvis ikke det i morgen.

Parallelt med den digitale utviklingen, blir nye lover og regler introdusert fortløpende. Ingen har unngått å få med seg GDPR og de store bøtene Datatilsynet kan ilegge virksomheter som bryter disse. Men hva kan utløse tilsynets annonserte bøter? De kommer gjerne som følge av ubudne gjester i virksomhetens IT-system, og persondata som har kommet på avveie.

Slik lovverket er nå kan virksomheten din risikere å oppleve økonomiske tap i forbindelse med et datainnbrudd og i etterkant få bot fra myndighetene. Vi snakker altså om dobbelt tap.

Under åpningen av NorSIS Nasjonale Sikkerhetsmåned sto Bente Hoff, leder for Cyber Security i Nasjonal Sikkerhetsmyndighet (NSM), på scenen. Hun redegjorde for kompleksiteten rundt IT-sikkerhet og trusselbildet. Her vektla hun også ledelsens ansvar for å tilrettelegge slik at virksomhetens IT-systemer er sikret i henhold til gjeldende krav kombinert med tilgjengelig teknologi.

NSM har utgitt Grunnprinsipper for IKT-sikkerhet Denne burde bli en «standard» som sikkerhetskonsulenter kan sertifisere seg i. Slik kan vi sikre at norske kunder vet at de får kompetente ressurser til å sette opp IT-miljøene sine.

NSM sa også at virksomheter som mangler kompetanse innen IT-sikkerhet burde kjøpe denne tjenesten fra tilbydere som har dette som sin ekspertise.

Men hva skal du som leder gjøre, hvor skal du begynne?

Det er mange forskjellige problemestillinger og tilbydere innenfor IT-sikkerhet. Alle prøver å fremme sin vinkling på en tabloid måte - og mange roper «ulv, ulv». De blåser opp trusselbildet med det resultat at effekten blir stikk i strid med hva de forventer – istedenfor å agere fornuftig og faktisk gjøre noe, blir mange passive og avventende. Lammet av skrekk kan man nesten si.

Som leder av IT-sikkerhetssatsningen i Atea, er jeg i den heldige situasjonen at jeg er omgitt av et bredt spekter av dyktige folk: Utstyrsprodusenter, rådgivere, arkitekter, løsningsselgere, forretningsutviklere, marked - og strategiske analytikere osv. Vi har gått sammen om å sette opp en liste som du som leder bør ta med i neste ledelsesmøte og benytte som grunnlag for diskusjon.

Disse fem rådene bør du følge for ivareta, vedlikeholde, begrense omfang og lage en aksjonsplan dersom uhellet er ute. Rådene er i tråd med gjeldende regelverk, og vi mener at du reduserer risikoen i din virksomhet med opptil 95 % ved å følge disse.

5 minimumskrav til IT-sikkerhet

  1. Alle brukere må ha To-faktor autentisering
  2. Alle brukere må ha oppdatert antivirus
  3. Alle virksomheter må ha moderne brannmur
  4. Alle virksomheter må ha en plan, for å få hjelp hvis de blir hacket
  5. Virksomheten må ha jevnlige interne awareness/treninger

To-faktor autentisering

To-faktor autentisering vanskeligjør identitetstyveri – Microsoft meldte om 300 % vekst i identitetstyverier forrige år. Dette er gjerne metoden som benyttes ved direktørsvindel og  industrispionasje.

To-faktor kan godt suppleres med en IRT-avtale som garanterer at eksperter rykker ut og hjelper hvis uønskede hendelser oppstår. Atea opplever ofte at ansatte i norske virksomheter blir lurt/manipulert til å gi fra seg brukernavn/passord som igjen blir benyttet for å utføre angrep mot virksomhetene. Med to-faktor/MFA har man ekstra sikring dersom brukernavn/passord kommer på avveie, og faren for uønskede hendelser reduseres betraktelig.

Antivirus

Et oppdatert og moderne antivirusprogram beskytter bedre og på flere nivåer enn gamle og utdaterte. Samtidig gir dette også IT-avdelingen bedre innsikt i hva som har skjedd og hvordan spredning har pågått. Slik får de bedre forståelse når de skal rydde opp og virksomheten komme raskere tilbake i drift.

Moderne Brannmur (NGFWs)

Oppdatert brannmur – en NGFW – gir bedre innsikt i hva som beveger seg i virksomhetens nett. Det er viktig med god segmentering slik at en har mulighet til å fange opp det som beveger seg i nettverket. Bedre synlighet gir bedre mulighet til stanse og forhindre angrep. Det er spesielt viktig å ta vare på logger, de gir mulighet å gå tilbake i tid for å se sammenhenger, dersom en hendelse skulle oppstå. Ifølge Gartner, er en typisk brannmurlivssyklus tre til fem år. Vel og merke dersom brannmurene er laget for fortløpende å kunne legge til ny funksjonalitet.

Plan om uhellet er ute

For å kunne håndtere en hendelse effektivt og riktig må du være forberedt, samt ha en plan for håndtering av hendelsen. Ofte er det vanskelig å ha nok kapasitet, erfaring og kompetanse til å håndtere en uønsket hendelse når det haster som mest.

  • Ha gode backup-rutiner, det er viktig å ta vare på virksomhetens gull
  • Ha et IRT man kan kontakte 24/7 – 365 om noe skjer, for å ivareta regelen i GDPR om selvmelding innen 72 timer. IRT står for «Incident Response Team» og er en spesialtrent gruppe som responderer, analyserer og rykker ut ved en nødsituasjon, formålet er å begrense og stoppe et hacker-angrep.
  • Vurder å tegne en Cyber forsikring – et angrep blir fort kostbart.

Intern opplæring

Svært mange hendelser starter med en bruker som åpner noe eller gjør noe de ikke skulle gjort. Selv om vi har alt av teknologi til å beskytte oss, så er fortsatt brukeren den største risikoen, det svakeste leddet. Derfor er det viktig å bruke tid på lære opp, trene og bevisstgjøre de ansatte på hvilke trusler som finnes og hvordan forholde seg til disse.

Siden trusselbildet er dynamisk og angrepsmåtene i hurtig forandring, er det viktig at alle i en organisasjon får jevnlig opplæring. Atea gir, sammen med kursleverandøren Jungelmap, gratis kurs i informasjonssikkerhet til styrer og virksomhetsledere i hele oktober.

Punktene ovenfor er noe vi i Atea anbefaler alle kunder. Vi har gått sammen om å sette opp en liste som du som leder bør ta med deg inn i neste ledelsesmøte og benytte som grunnlag for diskusjon med din ledergruppe.

Dette er et godt utgangspunkt for å øke beskyttelsesgraden, om et angrep skulle skje, samt forenkle oppryddingsjobben i etterkant.

Disse fem punktene kan ses som en huskeliste for hva en virksomhet minimum bør ha på plass, eller ha tatt med i vurderingen rundt egen sikkerhet. Neste skritt er å gjennomgå egen løsning opp mot Nasjonal Sikkerhetsmyndighets grunnprinsipper for IT-sikkerhet:

"NSMs grunnprinsipper for IKT-sikkerhet" definerer et sett med prinsipper for hvordan IKT-systemer bør sikres for å beskytte verdier og leveranser. Grunnprinsippene beskriver hva en virksomhet bør gjøre for å sikre et IKT-system. De beskriver også hvorfor det bør gjøres, men ikke hvordan". 

Vår erfaring er den samme som NSM - om at virksomheter som ikke har egne IT-sikkerhetsressurser bør sette dette bort til eksperter. Det finnes en jungel av produsenter, tjenestetilbydere, varslingstjenester og myndigheter som kommer med velmenende varslinger og råd. Utfordringen for en leder uten dedikerte IT-sikkerhetsressurser er å vite hvordan og når de skal ta action.

Dette kan våre eksperter i Atea bistå med. Basert på erfaring fra IRT, som kontinuerlig gjør søk etter sårbarheter og åpninger mot våre kunder, spesielt fra utsiden, ser vi mange hendelser relatert til åpninger, i spesielt brannmurer, som ikke burde vært der i dag.

Til slutt anbefaler jeg alle å både gi sitt generelle samtykke til å motta nyhetsbrev fra Atea, men også å spessifisere sine interesseområder, slik at man får relevant og nyttig informasjon. Besøk atea.no/minside for mer info.

Inntil skrivelysten tar meg igjen.

//TT