Et sikkert IT-system er ikke noe poeng i seg selv. Det er informasjonen som må sikres.
Seniorrådgiver Carl Christian Stikbakke i Atea ser stadig eksempler på at informasjons¬sikkerheten i norske bedrifter er langt dårligere enn bedriftene tror selv.
Stikbakke har bakgrunn som sjef for Cyberforsvarets IKT-tjenester, og har lang erfaring med å jobbe med sikring av informasjon i IT-systemer. Han er ofte med som seniorressurs når Atea gjennomfører modenhetsanalyser for å finne ut hvor bedriftene står når det gjelder informasjonssikkerhet.
– Mange får seg en overraskelse når det viser seg at de mangler den oversikten de selv tror de har, sier den erfarne sikkerhetseksperten.
En modenhetsanalyse er en grundig gjennomgang og analyse av IT-sikkerheten i en bedrift, sett fra et overordnet og helhetlig perspektiv. Analysene er basert på Nasjonal Sikkerhetsmyndighets (NSMs) grunnprinsipper, og gjennomføres som workshops ute hos kundene.
Ledelse og styrer begynner å forstå viktigheten av informasjonssikkerhet
NSM skriver i sin rapport «Nasjonalt digitalt risikobilde 2021» at digital sikkerhet er et lederansvar som i større grad må prioriteres av eiere og av styret, og at ledelsen bør måles på sikkerhetsarbeidet i virksomheten. Sikkerhetsmyndigheten sier imidlertid at selv om det er økt bevissthet om digital risiko i norske virksomheter, så blir ofte ikke dette omsatt til handling.
Også Gartner har observert at styrer blir stadig mer opptatt av sikkerhet og risikostyring, men analyseselskapet mener det ofte ikke er samsvar mellom det styrene trenger å vite og hva virksomhetenes sikkerhetsledelse klarer å formidle til styrene. Det er heldigvis flere tegn til at situasjonen holder på å endre seg.
– Mange selskaper og styrer begynner nå å tiltrekke seg kompetanse fra for eksempel CISO-er, og får kanskje denne typen ressurspersoner inn i styrene. Man begynner å innse at man må ha sikkerhetskompetanse i styre og ledelse, sier Stikbakke.
Likevel opplever han at ledelsen ofte ikke forstår verdien av å ha gode løsninger for å sikre forretningskritisk informasjon. IT-avdelingen har kanskje begrensede budsjetter, og får kanskje ikke gjennomslag hos ledelsen for å gjøre de nødvendige investeringene for å øke informasjonssikkerheten. Mens ledelsen peker på IT-avdelingen når ansvaret skal fordeles: De har jo fått penger til å «fikse» sikkerheten.
– For å få til god informasjonssikkerhet og gjøre virksomheten i stand til å håndtere sikkerhetshendelser på en god måte, må sikkerhetsarbeidet forankres helt opp i toppledelsen i selskapet, sier Stikbakke.
Må skaffe oversikt over hvilken informasjon som er virksomhetskritisk
Som nevnt mangler mange det nødvendige overblikket over sikkerhetstiltakene i virksomheten. For eksempel oppdager Stikbakke og hans kollegaer ofte at mange ikke har aktivert alle sikkerhetsfunksjonene de kanskje allerede har i løsningene sine. Eller de er usikre på hva som er gjort.
– Bare noe så elementært som å påse at alle servere og klienter er patchet og oppgradert til nyeste versjoner. Jeg har opplevd at noen hevder dette er i orden, men så finner vi en server som ikke har vært patchet siden 2016. Dette skyldes manglende oversikt.
Informasjonssikkerhet handler imidlertid ikke bare om å «kaste penger på problemet» og kjøpe brannmurer, løsninger for endepunktsikkerhet og annen teknologi.
– Vi ser at veldig mange er på vei over i skyen, og mange tenker at de da kan kjøpe seg fri for mye – men ansvaret for sikkerheten og bedriftens informasjon ligger fortsatt hos deg. Et sikkert IT-system er ikke noe poeng i seg selv. Dette er bare verktøy du kan bruke for å sikre informasjon, det er informasjonen som er viktig – ikke IT-systemene, sier Stikbakke.
Mange vet heller ikke hvilken informasjon som er virksomhetskritisk og hva som ikke er det.
– Du trenger for eksempel ikke å bruke penger og ressurser på å sikkerhetskopiere feriebildene til ansatte. Mens annen informasjon kan være helt avgjørende for å opprettholde driften av forretningen.
Mange får seg en overraskelse
Når Atea dykker ned i detaljene og snakker med ekspertene, viser det seg at mange i fagmiljøene er klar over at det kan være mangler – mens ledelsen kanskje tror at alt er i skjønneste orden.
– Bedriften kan ofte ha gode styringssystemer, HMS-systemer og mye annet – men når de i forbindelse med modenhetsanalysene får spørsmål om de ulike sikkerhetstiltakene som er gjort, blir gjerne blikket flakkende.
Digital utpressing har blitt et kjempeproblem, og noe som har rammet svært mange bedrifter også i Norge. Dessverre tror mange at deres bedrift ikke er interessant nok, eller stor nok, til å bli utsatt for denne typen angrep.
– Sannheten er at ingen må tro at de går klar av en slik risiko. For angriperne handler det om penger, og få bedrifter er så små at de ikke klarer å hoste opp noen hundre tusen i løsepenger for å få tilbake viktig informasjon. I hvert fall ikke når alternativet i mange tilfeller er å legge ned driften, advarer Stikbakke.
Han sier at god overvåking av logger og avvik er avgjørende, og at det ikke holder å manuelt kikke på logger en gang iblant. Ifølge NSMs grunnprinsipper, er det viktig med kontinuerlig sikkerhetsovervåking:
«Innsamling og analyse av sikkerhetsrelevant data kan bidra til å oppdage sikkerhetshendelser tidlig, vurdere skadeomfang og hendelsens karakter og forstå hendelsesforløpet. Tilgang på tilstrekkelig data kan være avgjørende for at virksomheten skal kunne gjenopprette normaltilstand og hindre gjentakelse av en hendelse, og det vil være viktig i forbindelse med etterforskning.»
– Det å vite hvilke trusler som finnes til enhver tid, og kunne overvåke det komplekse trusselbildet og sårbarhetene, det er det veldig få virksomheter som har kompetanse eller kapasitet til å gjøre selv, sier Stikbakke.
Vel så viktig som overvåking er det å vite hvordan man skal håndtere hendelser. Hvor raskt kan bedriften komme på lufta igjen? Risikerer bedriften å ikke klare å få betalt ut lønn til de ansatte? Og hva skjer hvis du ikke lenger får fakturert kundene, eller kanskje hele kunderegisteret er borte?
– Og så må vi ikke glemme viktigheten av å sikre spor hvis noe skulle skje. Det er politiet som er best på å drive etterforskning, og da må man inn tidlig for å sikre spor slik at politiet kan komme til dekket bord. Det er stor risiko for å kludre til ting hvis man skal gjøre dette selv, fremfor om man jobber med noen som har godt etablerte rutiner og allerede har en god dialog med politiet, sier Stikbakke.
Ønsker du å vite mer om vår modenhetsanalyse? Ta kontakt for en uforpliktende prat.
