Sikkerhet? Ikke snakk

For en snau måned siden kom det en formaning fra IKT-Norge om at det er nødvendig med et nasjonalt sikkerhetsløft, fulgt av en oppfordring om å kjøpe virusbeskyttelse. Hjelper det noe da?

Det er selvsagt ikke noen dum målsetning at flest mulig har oppdatert virusbeskyttelse, men dét alene er ikke noe nasjonalt sikkerhetsløft å snakke om. Det er heller en viss fare for å bygge opp under en myte om at sikkerhet kan kjøpes.

Antivirusprogram, brannvegger og snokvarslingssystem er kun verktøy. Om de bidrar til økt informasjonssikkerhet avhenger av hvordan de brukes. Brukes de ikke riktig hjelper det lite hvor mye penger norske virksomheter bruker på slike verktøy.

Det viktigste spørsmålet

Det viktigste spørsmålet om informasjonssikkerhet handler ikke om virus, men om planlagte og systematiske tiltak. Har din virksomhet laget en sikkerhetshåndbok og har ledelsen tatt ansvaret med å følge opp denne?

En del bedrifter har dessverre mangelfull oversikt over hva de har av informasjonsregistre og IT-systemer. Noen databaser, systemer eller maskiner har klart å snike seg unna.

Første prioritet ved sikkerhetsarbeid er å vite hva man skal sikre.

Mange bedrifter hadde veldig god oversikt ved utgangen av 1999, men det begynner å bli lenge siden.

Sikkert hele tiden

Den største faren med nasjonale krafttak er at de lett støver ned etter de store ord i starten. Utfordringen er å løfte nivået slik at det forblir høyere. Det hyggelige er at grunnlaget for en langsiktig satsning er på plass.

Personopplysningsloven inneholder krav til informasjonssikkerhet og internkontroll. Sikkerhetsbestemmelsene i forskriften til denne loven tar utgangspunkt i en internasjonal standard for administrasjon av informasjonssikkerhet: ISO/IEC 17799.

Sikkerhet for personopplysninger er selvsagt et godt stykke fra generell informasjonssikkerhet, men for å oppfylle kravene i personopplysningsforskriften må man ta et skritt i riktig retning. Og, så godt som alle bedrifter behandler personopplysninger.

Loven krever planlagte og systematiske tiltak for å oppnå tilfredsstillende informasjonssikkerhet. Selv om loven kun gjelder personopplysninger er de fleste trusler mot sikkerheten til personopplysninger trusler mot informasjonssikkerhet generelt. Dette burde være rikelig inspirasjon til å foreta nødvendige sikkerhetsløft.

Datatilsynet bidrar til bedre sikkerhet

En av de organisasjoner som virkelig bidrar til bedre informasjonssikkerhet i Norge er Datatilsynet. De har en tilsyns- og sikkerhetsavdeling som gir råd og veiledning. Og, som navnet tilsier, så fører de tilsyn. De kan komme på besøk og da ser de også på informasjonssikkerheten.

Datatilsynets tall fra tilsynet i 2002 er ganske klar tale. Av de drøyt 100 som fikk besøk av tilsynet fikk over halvparten varsel om pålegg. Nå er ikke alt sikkerhetsrelatert, men det er god grunn til å være bekymret. Det hyggelige er at Datatilsynets gjennom sitt arbeid synliggjør utfordringene i sikkerhetsarbeidet.

Etter min mening er det her vi bør ta et solid grep for å gjøre et nasjonalt løft for bedre informasjonssikkerhet. Vi bør fokusere på bedre kvalitet for planlagte og systematiske tiltak.

Har man orden på informasjonssikkerheten er det relativt enkelt å forholde seg til Datatilsynet. Et godt eksempel er hendelsen teleselskapet Chess var utsatt for tidligere denne måneden. Påstanden var at de manglet konsesjon. Saken var ute av verden i løpet av to dager. Det tyder på at Chess til tross for en glipp har relativt god orden i sysakene.

Statistikken fra Datatilsynet sier likevel at det kan være en nyttig sikkerhetsøvelse å simulere et besøk fra tilsynet. Det blir selvsagt helt galt å kalle dette et angrep eller en trussel, men det er jo kjekt å avdekke eventuelle mangler på eget initiativ.

Ikke meg, nei

En påstand jeg nå og da møter når jeg arbeider med sikkerhet er at dét og dét registeret er unntatt meldeplikt til Datatilsynet og da er det ikke nødvendig å ta det med i sikkerhetsgjennomgangen. Det er dessverre en myte og det er helt feil. Unntak fra meldeplikt er kun unntak fra meldeplikt og ikke noe unntak fra kravet om informasjonssikkerhet.

Dette vet nok de fleste av digi.nos lesere, men siden alle er bedre enn de fleste så nevner jeg det likevel før jeg forlater temaet personopplysninger for denne gang.

Sikkert for hva det er verdt

Første prioritet for sikkerhetsarbeid er som sagt å vite hva man skal sikre. Dette omfatter å vite hva det er verd. Vet du verdien til informasjonen i din organisasjon?

Den regnskapsmessige verdien av informasjon kan være vanskelig å fastsette, og denne verdien kan være misvisende i forhold til sikkerhet. En database kan ha lav verdi i regnskapet, og likevel medføre omfattende kostnader dersom den er utilgjengelig på grunn av ikke planlagt driftsavbrudd.

Et spørsmål en IT-sjef eller daglig leder bør kunne svare på nokså raskt er hvilket av organisasjonens systemer eller databaser som vil koste mest ved et driftsavbrudd.

Investeringene i sikkerhet må stå i forhold til skadeomfanget sikkerhetshendelser kan medføre, men arbeidet med å holde oversikt over verdiene kommer man ikke unna. Det er ikke noe poeng i å investere mye i sikkerhet, målet er å investere riktig.

Hva er de største truslene i din organisasjon? At de ansatte slurver med passord? At det lekker ut konfidensiell informasjon? At bærbare datamaskiner blir borte? Dårlig virusbeskyttelse? Mangelfull sikkerhetskopiering? At organisasjonens maskiner blir brukt til ulovlig distribusjon av musikk og film? At uvedkommende bruker maskinene til å sende ut en flom av søplepost? Tjenestenektangrep? Brudd på tele- og datasamband?

Dette er spørsmål du får svar på i en risikoanalyse.

Den viktige standarden

Standarden for informasjonssikkerhet som allerede er nevnt er oversatt til norsk. Som norsk standard heter den NS-ISO/IEC 17799. Noen omtaler denne standarden som BS7799 som er betegnelsen på den opprinnelige britiske standarden. Uansett hvilket navn som brukes, standarden skaper et felles grunnlag for å utvikle organisasjoners sikkerhetsarbeid og etablere en effektiv og godt dokumentert sikkerhetspraksis.

Antall farer som truer sikkerheten i informasjonssamfunnet er meget høyt, samtidig kan vi ikke tillate at administrasjonen av informasjonssikkerhet blir uoversiktlig. Da gir den ikke den nødvendige tillit, og den blir lett for dyr i drift. Derfor lønner det seg å basere dette arbeidet på en standard.

For et elektronisk næringsliv hvor deltagerne er tett knyttet sammen i nettverk legger standarden et viktig grunnlag for å skape tillit mellom samarbeidende aktører.

Et eksempel er kjøp av datakraft. Før du overlater dataene dine til andre skal du være overbevist om at de har tilfredsstillende sikkerhet og gjerne litt til. Outsourcing av datatjenester er ingen lek. I Norge og flere andre land er det etablert sertifisering for 17799, og krever du at tjenesteleverandører har slik sertifisering så vet du hva du har å forholde deg til. Da er det mye lettere å skrive kontrakter.

Det høres enkelt ut, men for å omsette det til praksis kreves et løft. Et nasjonalt løft.

Til toppen