Til forsiden
08-11-2019

IT-sikkerhet: Lær av andres feil og erfaringer

Min hverdag kan enkelt deles opp i to; være pappa til tre små som på hver sin måte oppdager verden og alle de utfordringene det innebærer, og jobben som leder for et Incident Repsonse Team (IRT). Felles for begge delene er at det i stor grad handler om erfaringsbasert læring. Uansett hvor mange ganger jeg gir beskjed eller forklarer noe til mine små barn, så prøver de seg på egenhånd og går på en eller flere smeller før lærdommen sitter.

Vegard Kjærstad
Vegard Kjerstad
Leder Incident Response Team (IRT)
Vegard Kjærstad

På samme måte ser vi ofte at virksomheter bli utsatt for de samme hendelsene - gang på gang. Forklaringen er enkel, de tar ikke tilstrekkelig lærdom etter en hendelse, eller de tar ikke lærdom av historiene som andre deler. Og det sistnevnte er viktig: for at norske virksomheter skal bli mer robuste, er det viktig å ta lærdom av andres hendelser.

To-faktor-autentisering

Vi vet at risiko for å bli kompromittert av phishing-angrep reduseres betraktelig ved å bruke to-faktor. Det betyr at selv om brukernavn og passord kommer på feil hender, så er det et ekstra nivå av sikkerhet (autentisering) som gjøres via SMS, app eller en token av et slag.

Vi benytter alle to-faktor-autentisering til nettbank. Det burde være like naturlig å bruke to-faktor til alle de andre tjenestene vi har opprettet en brukerkonto på. Og skulle det være slik at en tjeneste ikke gir mulighet for to-faktor, da må vi som forbrukere stille krav, og eventuelt ikke benytte de tjenestene som ikke tilbyr tilstrekkelig sikkerhet.

Det finnes gode veiledere

Videre vet vi at det er utarbeidet gode veiledere og rapporter, som f.eks. Nasjonal Sikkerhetsmyndighets (NSM) grunnprinsipper, hvorfor tar ikke ledere seg tid til å lese disse? I følge KRISINO 2019, rapporten som Næringslivets sikkerhetsråd (NSR) la frem på sin sikkerhetskonferanse i midten av september,  så er det bare 10 % som leser risikorapporten til NSM, eller 17 % som leser trusselrapporten til PST. Er dette fordi man ikke vet de finnes, ikke er interesserte eller fordi vi fortsatt lever i «det skjer ikke oss» verden?

Grunnprinsippene til NSM: Hva er de mest kritiske områdene innenfor IKT-sikkerhet vi bør adressere, og hvordan skal virksomheter ta første steg for å modne risikostyringen? Hvordan kan vi sikre at vi starter i riktig ende og med de mest grunnleggende stegene, og sørge for at vi får på plass fundamentale prinsipper for sikring, måling og forbedring som følges opp over tid? Disse spørsmålene er noe av bakgrunnen for utviklingen av NSMs grunnprinsipper for IKT-sikkerhet.

Dette er en gratis veiledning fra myndighetene om hvordan jobbe med IT-sikkerhet, ikke noen som prøver selge deg et produkt eller på annen måte profittere på det.  Det burde jo være en drøm. Som Sunnmøring setter jeg pris på å få stor verdi til liten kost, skulle tro det gjaldt flere.

Del dine erfaringer

Mulig det ikke handler om evne eller ønske om lære og forbedre, men prioriteringer. I så fall kan jeg dele at jeg har møtt mange som skulle ønske de kunne gå tilbake og prioriterte annerledes etter en sikkerhetshendelse. Etterpåklokskap.

Så vil jeg oppfordre flere til å stå opp og fortelle sine historier, dele erfaringer og ta lærdom fra andre - slik at du unngår å oppleve det samme selv.

Anmeld sikkerhetshendelsene

Politiet trenger flere ressurser, dette får de gjerne gjennom å vise til anmeldelser de ikke klarer å etterforske, svare på eller løse. Holder vi kortene tett til brystet om hva som foregår, vil de aldri bli i stand til å utvikle egen organisasjon for å jobbe aktivt mot cybertruslene

Ja, det å dele historien sin kan være vondt, og det kan være skadelig. Det kommer litt an på hva som har skjedd og hvordan hendelsen oppstod. Jeg oppfordrer så klart ikke norske virksomheter til å ødelegge ryktet sitt, men samtidig tror jeg man kan få positive tilbakemeldinger dersom man også har vist vilje til å utbedre sine mangler eller svakheter i etterkant, og samtidig vil gjøre andre virksomheter mer robuste. Se bare på Hydro-hendelsen.

Så derfor er min klare oppfordring, del din historie.

Jeg håper ledere og ansvarlige i norske virksomheter er mer lærevillige enn mine 3- og 5-åringer som absolutt insisterer på finne ut av alt selv. Selvstendighet og egen-erfaring er bra, men Norge blir mer robust om virksomhetene lærer mer av hverandre.

 

Hør historien om Hydros dataangrep