Mange tror at når en virksomhet tjenesteutsetter IT-drift, har leverandøren overtatt ansvaret for IT-sikkerheten også. Slik er det ikke. Heldigvis trenger det allikevel ikke være komplisert å bygge en god sikkerhetskultur.
De fleste bedrifter har en form for CRM eller kundebase som blir særlig sårbar ved et datainnbrudd. Er du flink til å følge opp IT-sikkerheten med jevne mellomrom kan det spare deg for mye hodebry.
God IT-sikkerhet innebærer blant annet at du bør :
- Prioritere beskyttelse av konfidensielle, sensitive og personlige data
- Sørge for å bruke tofaktorautentisering ved pålogging
- Ha velfungerende back-up systemer for dataene dine
- Logge av alle viktige hendelser
- Utføre hyppige internkontroller av IT-sikkerheten
Skaffer du deg eksterne IKT-tjenester kan det lett oppfattes som at alt sikkerhetsansvaret ligger hos tjenesteleverandøren. Sannheten er at det er du som står som ansvarlig om noe skulle gå galt, både når det gjelder GDPR, nedetid og et eventuelt svekket omdømme.
Viser det seg at et dataangrep skyldes at dere ikke har tatt nødvendige grep internt, kan det også få store økonomiske konsekvenser. Er du daglig leder for en bedrift eller kommunedirektør i en kommune, risikerer du bøter i millionklassen. Det er altså all grunn til å sørge for at IT-sikkerheten din er optimal, enten du er motivert av å unngå skade eller straff.
IT-sikkerheten er bedriftens eget ansvar
Sikkerhetskulturen i bedriften handler ikke kun om å få på seg sitt eget digitale setebelte, men også om den enkeltes ansvar rundt IT-sikkerhet. Det er likegyldig om IT-driften er intern eller tjenesteutsatt. Det er til syvende og sist øverste leder som er ansvarlig for sikkerheten til dine egne data. Derfor må du ta en aktiv rolle i å bygge den nødvendige kulturen som fremmer god IT-sikkerhet.
Det finnes mange ferske eksempler på virksomheter som har blitt rammet av dataangrep. I desember 2021 lå for eksempel booking- og betalingssystemene hos Nordic Choice Hotels nede for telling. Det viste seg at hotellkjeden hadde tjenesteutsatt sine IT-tjenester til en ekstern leverandør. Det var denne eksterne leverandøren som ble utsatt for IT-angrepet.
Les også: IT-sikkerheten du ikke kan kjøpe for penger
Proaktiv IT-sikkerhet innebærer 3 viktige grep
- Det må bygges en god sikkerhetskultur med riktige holdninger (CIA-modellen og Zero Trust)
- Det må gjøres gode forberedelser før valg av tjenesteleverandør (NSMs grunnprinsipper for IKT-sikkerhet)
- Det må legges til rette for god hendelseshåndtering ved å øke kompetansenivået og øve på riktig bruk av IT-tjenester og -produkter
Det kan være vanskelig å vite hvor man skal starte, når en god sikkerhetskultur skal bygges. Et godt tips er at IT-sikkerheten bør baseres i Zero Trust-filosofien. Zero Trust går ut på at man aldri skal stole på noe, verken eksternt eller internt.
Tilliten til digitale systemer som PCer, telefoner og IoT bør være sterkt begrenset. Du bør alltid tenke og handle som om trusselen allerede er der.
Never trust, always verify.
Verifisering bør alltid benyttes både på vei inn og ut av kritiske systemer for best mulig IT-sikkerhet og beskyttelse. Zero Trust er ingen garanti mot å bli hacket, men tilnærmingen gjør det så vanskelig som overhodet mulig å kompromittere en hel infrastruktur.
Les også: Zero Trust handler om tillit
CIA-modellen bør være utgangspunktet for sikkerhetsstrategien
Enten du drifter IT-systemene dine selv eller setter det bort til eksterne, bør CIA-modellen være utgangspunktet for sikkerhetsstrategien deres. Den består av tre deler:
Selv om dette prinsippet er velkjent innen IKT-sikkerhet, oppstår det ofte ubalanse mellom de tre elementene. Det er særlig tilgjengelighet (Availability) mange legger mest vekt på, men de to gjenværende aspektene, konfidensialitet (Confidentiality) og integritet (Integrity) havner i skyggen.
Oppetid er eksistensgrunnlaget for virksomheter, så det er fullt forståelig at man ønsker å være i drift. Allikevel kan du risikere nedetid og at kritiske sårbarheter i systemet blir oversett når det rettes et overdrevet fokus på oppetid. Konsekvensen kan fort bli innbrudd og kapring.
De tre innsatsområdene er ikke gjensidig utelukkende, som betyr at du ikke må velge en fremfor en annen. Du kan helt fint ivareta alle tre på samme tid – så lenge du gjør de rette forberedelsene. CIA-trekanten illustrerer godt hvordan IT-sikkerheten påvirkes like mye av alle tre aspekter:
Forbered deg godt før du velger leverandør av IT-sikkerhet
Dagens trusselbilde og krav til oppetid gjør det vanskelig for de fleste virksomheter å ivareta IT-sikkerheten på egenhånd. Man skal både kunne stille med nok ressurser og riktig kompetanse for å rigge opp og ivareta et robust system. Norsk Sikkerhetsmyndighet (NSM) har utarbeidet en veiledning som gir deg et sett med grunnprinsipper for IKT-sikkerhet. De kan hjelpe deg med å kvalitetssikre din IT-sikkerhetsleverandør.
Les også: Du er heldigvis trygg når du outsourcer IT-drift. Eller?
Nasjonal sikkerhetsmyndighets (NSM) fem grunnprinsipper for IKT-sikkerhet
«NSMs grunnprinsipper for IKT-sikkerhet er like relevante for IKT-tjenester som er tjenesteutsatt som for IKT-tjenester som forvaltes av virksomheten selv. Forskjellen er om man stiller krav til interne eller eksterne tjenesteleverandører.»
Før dere inngår en avtale med en ekstern tjenesteleverandør, bør dere ifølge NSM vurdere om virksomheten er «rigget» for å håndtere alle faser i en tjenesteutsettingsprosess:
- Oversikt og kontroll på hele livsløpet
- God bestillerkompetanse
- Gode risikovurderinger for å kunne ta riktig beslutning
- Riktige og gode krav til IKT-tjenesten og til leverandør
- Riktig beslutning på riktig nivå
Skal det bli robust eksternt, må det altså bli robust internt. God bestillerkompetanse er avgjørende; noen i virksomheten må ha kompetansen til å vite hva dere trenger, med utgangspunkt i en kvalifisert sikkerhetsvurdering. Det er ikke like lett for alle organisasjoner. Er du usikker kan det være lurt å samarbeide med en sikkerhetsleverandør.
Les alle NSM sine anbefalinger her!
Start med en GAP-analyse
Vi anbefaler å begynne med en GAP-analyse med utgangspunkt i NSMs grunnprinsipper. Ordet «GAP» refererer til kløften eller avstanden mellom et spesifisert sett med styringsprinsipper og sikkerheten i egen virksomhet. Etter GAP-analysen får dere en rapport dere kan basere sikkerhetstiltakene på – eventuelt bestillinger til eksterne tjenesteleverandører.
Tips! Virker det som om flere leverandører av IT-sikkerhet tilbyr akkurat det samme? Sjekk om løsningen er sertifisert av CSA (The Cloud Security Alliance).
Forbered virksomheten på hvordan IT-sikkerhetshendelser skal håndteres
Skillet mellom tjenesteleverandørens og bedriftens IT-ansvar ligger i selve produktet. IT-tjenesten er et verktøy fra leverandøren som tilrettelegger bedre kontroll over den digitale sikkerheten i bedriften. Det er bedriften selv som må øve på å styrke IT-sikkerheten og forebygge angrep.
For hva gjør du når endepunktsikringen varsler deg om en hendelse? Eller brannmuren? Hva gjør tjenesteleverandøren? Får du en rapport? Poenget er at du skal forstå hvorfor noe skjedde. Det er bra at brannmuren stopper noe skadelig, men den bør også rapportere hva som lå bak. På den måten kan du lære noe som forhindrer at de lykkes neste gang.
Beredskap og hurtig respons er avgjørende for å minske konsekvensene av et potensielt dataangrep. Enten dere selv eller tjenesteleverandøren skal agere, må dere validere at dette faktisk er på plass. I mange av de verste dataangrepene har hackerne fått jobbe i fred og ro over lang tid.
IT-sikkerhet er dynamisk og i stadig utvikling. Både farene og løsningene er i endring, og sikkerheten må tilpasses deretter. Tenk på det som konvensjonelt forsvar; selv om du ikke nødvendigvis er i faktisk strid, holder du deg oppdatert og posisjonert etter det gjeldende trusselbildet.
Gjør jevnlige sikkerhetsrevisjoner, kanskje hver sjette måned eller årlig, så du er sikker på at rustningen er relevant for dagens trusselbilde. Send dine ansatte og særlig IT-personalet på kurs, så alle er kjent med hva de må vokte seg for.
God IT-sikkerhet er et digitalt setebelte
Selv om IT-angrep er en reell trussel for virksomheter i alle størrelser i dag er det fortsatt mange som stikker hodet i sanden og ikke handler deretter. De fleste er mye flinkere til å sikre seg mot farer og trusler i den fysiske verdenen enn den digitale.
Konsekvensene er ikke intuitivt følbare eller like synlige i den digitale verdenen før angrepet eller skaden oppdages. Nettopp derfor er det desto viktigere å få på det digitale setebeltet før det oppstår en uønsket situasjon, hvor cyberkriminelle har satt i gang et IT-angrep.
Kursing i IT-sikkerhet burde være like naturlig og sidestilles med HMS-opplæring. Først når alle ansatte har IT-sikkerhet i ryggmargen kan du anse bedriften som IT-sikker.
Lykke til, og ikke nøl med å kontakte oss dersom du vurderer å få hjelp fra en IT-sikkerhetspartner.
Ønsker du å vite mer om hvordan du kan forebygge dataangrep kan du laste ned vår gratis guide om skysikkerhet!
