De fleste angrep kan stanses med relativt enkle grep. Justisdepartementet ber samtlige departementer om å følge opp viktige tiltak. (Foto: IMAGO/ All Over Press)

Ber departementene følge opp

4 enkle tiltak mot IT-angrep

Justis- og beredskapsdepartementet er bekymret for det de kaller «fravær av basistiltak for IKT-sikkerhet i norske virksomheter».

I et brev de har sendt til alle departementer blir det anmodet om å følge opp anbefalte tiltak utarbeidet av Nasjonal sikkerhetsmyndighet (NSM).

Synet er at virksomhetene selv enkelt kan forhindre de fleste internett-relaterte angrep og angrepsteknikker.

Erfaringer NSM har gjort fra tilsyn og IKT-hendelser i den senere tid, gjør at justisdepartementet ser seg tjent med å minne om en smørbrødliste med ti viktige tiltak, som samlet stopper mange dataangrep.

Selv om tiltakene er enkle og lite ressurskrevende, viser anmodningen at det skorter på gjennomføringsevnen. Her er de 4 viktigste punktene:

  1. Oppgrader program- og maskinvare.
  2. Installer sikkerhetsoppdateringer så fort som mulig.
  3. Ikke tildel sluttbrukere administratorrettigheter.
  4. Blokker kjøring av ikke-autoriserte programmer.

Alene vil disse tiltakene stanse opp mot 90 prosent av alle angrep, ifølge et rundskriv fra sikkerhetsmyndigheten. Rådene til systemeiere (.pdf) tar opp flere tilleggstiltak, men de fire nevnt regnes som mest effektive.

Ber om flere «statsautoriserte hackerangrep»

Justis gir også et klart råd om å ta i bruk penetrasjonstesting. Dette er noe Nasjonal sikkerhetsmyndighet har tilbudt departementer i hvert fall siden 2009.

NSM har såkalte statsautoriserte hackere i sin stall. Innbrudd i informasjonssystemer inngår i verktøykassen. Selvfølgelig ikke for å volde skade, men i planlagte øvelser for å avdekke svakheter og sårbarheter også kriminelle aktører vil kunne utnytte.

Også private IT-sikkerhetsfirmaer og eksperter tilbyr det samme. Erfaringene fra penetrasjonstesting kan bidra til å hedre systemene og gjøre dem mer motstandsdyktige mot angrep. Det er hele poenget.

– Justis, Forsvars- og Utenriksdepartementet har alle fått NSM til å gjennomføre slike tester mot både graderte og ugraderte systemer. Justis støtter NSMs anbefaling om at langt flere samfunnsviktige virksomheter og virksomheter underlagt sikkerhetsloven bør gjøre det samme, kan vi lese ut fra brevet digi.no har skaffet til veie.

Henvendelsen til samtlige norske departementer må kunne tolkes som mer enn bare en anmodning. Dette kommer de til å bli målt på, for som det står avslutningsvis:

JD vil be om en enkel rapportering på oppfølging fra departementene i løpet av 2016 på gjennomføring av tiltakene.

Til toppen