Tenk forbi ytterskallet
Vi pleier si at IT-sikkerhet er en livstil og ikke jobb, når man først er bitt av basillen er det slik at vi begynner å legge merke til ting rundt og og gjerne dra paralleller inn mot vårt daglige virke, skriver Vegard Kjerstad.
Leder Incident Response Team (IRT)
Denne artikkelen var først publisert i Computerworld.
Jeg leder til daglig Ateas IRT - på godt norsk kalles vi hendelseshåndteringsteam. På fritiden har jeg akkurat kjøpt meg et gammelt hus og pusser opp dette.
Sett bort til eksperter
Jeg setter selvfølgelig bort både elektrisk, våtrom, kjøkken og andre områder som krever spesial ekspertise, ivaretagelse av standarder og regelverk, men tar «grovarbeidet» selv. I den forbindelse så er det en del gipsplater som skal rives ned.
Gips er finurlig materiale syns jeg, sterkt og hardt på utsiden, men samtidig veldig svakt om det får seg en uheldig dunk eller et hull. Og har du først fått en brist så brekker de jo svært lett.
Det var samtidig som jeg holdt på å rive løs store biter at jeg begynte å sammenligne gipsplatene sine egenskaper med it-sikkerheten i en virksomhet. Alt for ofte så ser vi at det er den ytre sikringen mot internett virksomhetene har fokusert it-sikkerheten på, og på mange måter satset alt på skal holde de trygge.
Brannmur, men hva så?
I dag har så å si alle en brannmurløsning, så kan vi diskutere om den er god nok eller ikke, men satt opp riktig fungerer de aller fleste brannmurer relativt greit. Der jeg ser at mange virksomheter burde legge ekstra innsats for å bedre utbytte av sine brannmurer så er det på logging, det er utrolig viktig at man har sporbarhet, deteksjon og synligheten som er nødvendig. Det er ikke uten grunn at dette også er første rådet fra Nasjonal sikkerhetsmyndig (NSM) på deres «short-list» om tiltak alle virksomheter må få på plass.
Segmenter
Videre er det fortsatt slik at segmentering ofte er en mangelvare, og dette er jo noen av de eldste anbefalingene/tipsene i boken. Poenget er å skape bedre synlighet når en må gå fra et segment til et annet, men naturligvis at en også kan begrense tilganger til kun det som er høyst nødvendig for at løsningene fungerer. I dagens løsninger så er også mikrosegmentering ofte en mulighet, det gir veldig god innsikt.
Handler ikke om overvåking
Jeg er ikke på jakt etter logging for at en skal overvåke de ansatte, men fordi en skal forhindre eller i hvert fall forstå hvordan en angriper har utført angrepet sitt når de har kommet seg på innsiden av virksomheten. En ting er å forstå hvor de kriminelle har beveget seg, men det kan være like relevant å kunne si hvor de ikke har beveget seg. Spesielt i disse tider når vi i nesten i alle Ransomware hendelser snakker om stjålet informasjon, og en alt for ofte sitter i uvissheten for hva angriperne har tatt med seg. Nå er det viktig at en ikke tror jeg bare sikter til brannmur/nettverkslogger, loggene som genereres på de ulike systemene (servere, databaser, skyløsninger, osv) er minst like viktig.
Ikke minst for å raskt kunne avgjøre om det er persondata på avveie og vekte om det er et mulig brudd på GDPR, 72 timers regelen er ufravikelig og det kan koste dyrt å bli pålagt en bot fra Datatilsynet i tillegg til å rydde opp i egen it etter et omfattende angrep
Øk sikkerheten og spar penger og tid med grunnleggende på plass
Med riktig logging, kombinert med god tilgangsstyring, så vil en i første omgang enklere kunne beskytte dataene og filene sine. I tillegg også ha full kontroll på hvem som har vært hvor, når, hvor mye, hvordan, osv. Og det er den informasjonen som er så verdifull. Her får en god drahjelp i mange av skyløsningene som gjør dette mulig fordi funksjonaliteten er aktiv og innebygd fra starten av.
Senario:
Tenk at angriper sier de har stjålet 100 GB med data fra dine servere, og du står der fullt vitende om at virksomheten har blitt kompromittert, men helt uvitende om hvilke data hackerne har hatt tilgang til og hvilke konsekvenser det medfører at de er stjålet. GDPR klokken tikker og her står virksomheten ovenfor en rekke valg som innebefatter rapportering og varsling til alle som potensielt er berørte, enten det er persondata som berører enkelt personer, om det er forretningshemmeligheter eller f.eks. andres data som lå på dine systemer.
Intern kompetanse eller benytte seg av eksperter?
Jeg innledet med at jeg utfører jobben til Rive-Rolf (Disney-figur) i mitt eget oppussingsprosjekt, men akkurat som at myndighetene anbefaler alle virksomheter uten egen IT-sikkerhetsavdeling å kjøpe denne kompetansen av virksomheter som er spesialister på dette, skjønner jeg også mine egne begrensninger når det kommer til oppussing. Jeg gjør grovarbeidet selv, men har benyttet meg av fagfolk til det elektriske, rørsystemer, kjøkken med mer, og bruker kvalitetssikret arbeidskraft med papirene i orden for å gjøre utbedringene i henhold til lovverket.
Så mens jeg forlater PC’n for å ta tak i neste gipsplate og røsker denne løs, anbefaler jeg at alle ser på de tiltakene en kan gjøre for at virksomheten forsterker den grunnleggende sikkerheten sin. Og dermed sørger for at en har bedre sikkerhet enn den porøse gipsen som faller fra hverandre når ytterkanten sprekker opp.
