(Bilde: H.Brombach)

Informasjonssikkerhet

Mange tror de er sikret ved å sette en dings inn i nettverket sitt

Men informasjonssikkerhet handler om mye mer enn teknologi, sier norsk sikkerhetsekspert.

Ni av ti toppledere i mellomstore, norske selskaper venter at bedriften de leder vil oppleve datasikkerhetsbrudd. Dette viser en internasjonal undersøkelse som Vanson Bourne har gjort på vegne av NTT Com Security. I alt ble beslutningstakere ved hundre norske bedrifter minst 250 ansatte, intervjuet.

– Men det er svært få som gjør noe med denne typen trussel, sier Lars Thoresen, nordisk sikkerhets- og kvalitetssjef i NTT Com Security, til digi.no. Thoresen er tilknyttet selskapets overvåkingssenter i Arendal. Han er utdannet samfunnsviter og har bakgrunn fra etterretning og sikkerhet i Forsvaret.

– Jeg syns det er merkelig at det ikke er større oppmerksomhet rundt informasjonssikkerhet i norske virksomheter. Men min oppfatning er at det handler om manglende forståelse av hva informasjonssikkerhet er, hva det innebærer å gjøre noe med det og hva som er konsekvensene av sikkerhetsbrudd, sier Thoresen.

Informasjon utgjør også verdier

Det ville ha vært annerledes dersom man hadde samme holdning til informasjon som til penger, mener Thoresen. Begge deler handler om verdier. I undersøkelsen sa de norske beslutningstakerne at de regner med at kostnaden av et sikkerhetsbrudd vil være på i gjennomsnitt tre millioner kroner. Dette inkluderer blant annet tap av omdømme og produksjon.

– Vi ser at mange lærer av slike hendelser, men det er bedre økonomi å investere i riktige tiltak på forhånd. Mange tror de er sikret ved å sette en dings inn i nettverket sitt. Den er sikkert basert på bra teknologi, men teknologi er bare ett av aspektene ved informasjonssikkerheten. Man må fri seg fra det ensidige teknologifokuset. Først og fremst må man vite hva man skal beskytte, før man kan vite hvordan man skal beskytte det, sier Thoresen.

Han peker på at svært mange små og mellomstore bedrifter har en egen økonomisjef, men knapt noen har en egen spesialist på forvaltning av informasjon.

Han mener at IT-sjefen skal få slippe å ha oversikt over hele fagfeltet «informasjonssikkerhet», for dermed kunne få lov til å konsentrere seg om teknologi og tilgjengelighet, mens CISO eller sikkerhetssjef skal fungere som lederens fagrådgiver på hele informasjonssikkerhetsfeltet, samt være «controller».

Risikovurdering

Det finnes enkle, risikoreduserende tiltak som virksomheter raskt kan gjøre, ved å stille seg selv noen spørsmål.

– Hva er det vi egentlig gjør, hvordan gjør vi det og hvordan blir dette rammet ved et sikkerhetsbrudd. Dette er innledende risikovurdering som kan gjøres på en formiddag, sier Thoresen.

Han understreker at informasjonseierne i bedriften må delta og vurdere verdien av den informasjonen hver enkelt forvalter.

– Kanskje man da finner ut at man ikke har noe særlig å beskytte. Kanskje bare kontaktlisten på mobilen. Da er det jo greit. Eller i motsatt fall, kan det være grunnlag for å gå videre i den samme retningen.

Ifølge Thoresen har virksomheten i Nordsjøen vist at risikoanalyse fungerer, hvor dette arbeidet ofte legges til HMS eller kvalitetsavdelinger som er vant til å forebygge uønskede hendelser.

I så måte er Thoresen på linje med Nils Johan Brede, administrerende direktør hos Watchcom, som i et nylig intervju med digi.no sa at IT-sikkerhet i bedrifter egentlig ikke handler om annet enn HMS og internkontroll.

Anser mennesker som det svakeste ledd

Som et punkt to nevner Thoresen mer bevisstgjøring av de ansatte om trusselen. I den nevnte undersøkelsen svarte 30 prosent av beslutningstakerne at de anser virksomhetens ansatte som det svakeste leddet i informasjonssikkerhetskjeden. 17 prosent mente at innleid arbeidskraft utgjør den største trusselen. Til sammen ser nesten halvparten av lederne på menneskelige ressurser som det svakeste ledd.

– Bevisstgjøringen skjer ikke ofte nok. Det jevne arbeidet ser man sjelden. Det er ikke nok å blåse støv av dette en gang eller to i året, for da blir det kjempevanskelig, og vanskelig vil det være inntil det blir en del av bedriftskulturen, sier Thoresen.

– Det meste som forsvinner ut av norske virksomheter, skjer via mennesker, for eksempel på grunn av phishing. De aller fleste bedrifter har utbetalt penger til svindlere, ofte uten å vite om det. Det samme har skjedd med informasjon. Et godt utført sikkerhetsarbeid medfører atferdsendring i organisasjonen, understreker han.

Det tredje punktet i Thoresens oppskrift er å få gjennomført en sårbarhetsskanning av virksomhetens infrastruktur.

– Det er viktig å bygge infrastrukturen så godt som man kan. For eksempel kan det være lurt å skille Exchange-serveren serveren med forskningsdataene, men det vil alltid være en konkurranse mellom tilgjengelighet og konfidensialitet. Mange har et hardt ytre skall, men segmenterer ikke internt.

Enkel fysisk tilgang

– I mange norske virksomheter kan uvedkommende komme inn helt uten videre. I sårbarhetstester klarer vi alltid å truet minst én av verdiene. I et tilfelle greide vi å få utlevert hovednøkkelen til serverrommet hos en norsk selskap, forteller Thoresen.

Da er det enkelt å koble en liten, fysisk enhet til å nettverket og oppnå tilgang også fra utsiden. Men ofte er det nok bare å finne en ledig nettverkskontakt på et litt skjult sted, bak skriveren for eksempel.

Thoresen sier at han kanskje har litt naiv holdning til risikoen for informasjonstyverier i Norge.

– Mange bedrifter i Norge er i verdensklassen innen teknologi. Men det tar kortere og kortere tid før norske produkter fra konkurranse fra et rimeligere produkt fra et annet land, sier han. Lekkasje av anbudstall er et annet område som kan føre til at norske selskaper taper i konkurransen mot antatt svakere selskaper.

– Norge oppfatter seg fortsatt som en utkantregion, men det finnes ikke utkanter på internett. Vi er på godt og vondt en del av det globale samfunnet, og der finnes det også en del dårlige nabolag.

Ifølge Thoresen viser vurderinger fra selskaper som Mandiant og offentlige myndigheter som forteller stadig mer skadevare og angrep stammer fra land som Nigeria og Brasil, som er oljeproduserende nasjoner. I tillegg kommer Kina og Russland. Alle er ifølge Thoresen land med et forholdsvis godt utdanningssystem og en økonomi som ikke er i stand til å ta unna all kompetansen som utdannes. Mange blir dermed rekruttert av kriminelle.

Les også: Da serverne holdt på å knele, visste Svein hva de ble nødt til å gjøre 

Til toppen