Bildet er fra en amerikansk øvelse i kyberkrig våren 2008.

Slik skal USA vinne kyber-krigen

Gjennombrudd innen offentlig IT-sikkerhet, hevder myndighetene.

På en konferanse i USAs hovedstad Washington DC i går, presenterte Center for Strategic and International Studies (CSIS) en rapport som lister tjue tilstrekkelige og nødvendige tiltak for å verne om IT-sikkerheten i offentlige organer.

Rapporten inneholder et utkast til Consensus Audit Guidelines (CAG, lastes ned i pdf), og består av tjue kontroller for et effektivt kyberforsvar.

Bakgrunnen for rapporten er de mange kyberangrepene USA har stått overfor de siste årene. Flere av dem har ført til datatap i militære IT-systemer. Nylig herjet en ikkespesifisert dataorm i amerikanske forsvarsnett både i USA og i Afghanistan.

Bak CAG, i tillegg til CSIS, står USAs departement for innenrikssikkerhet (Homeland Security) og koordinatororganet National Security Agency. John Gilligan, tidligere IT-sjef i både USAs luftforsvar og energidepartement, og framtredende medlem av overgangsgruppen til president Barack Obama, har ledet arbeidet for CAG.

CAG skal ut på 30 dagers offentlig høring. Så skal det gjennomføres en pilottest, to forskjellige og påfølgende gjennomganger, arbeidsseminarer innrettet mot å utarbeide automatiske kontrollrutiner for de tjue punktene, og en sammenlikning med eksisterende regler for revisjon av IT-sikkerhet.

På konferansen uttalte forskningssjef Alan Paller i SANS Institute at CAG «er det beste eksempelet på risikobasert sikkerhet jeg noen gang har sett».

– Folkene bak CAG representerer den mest komplette innsikten i risikoen som våre systemer står overfor. Hittil ble kybersikkerheten ledet av folk som ikke hadde noen idé om hvordan angrepene ble gjennomført. De laget en illusjon av sikkerhet. CAG vil gjøre denne illusjonen til virkelighet.

Bildet er fra en amerikansk øvelse i kyberkrig våren 2008.
Bildet er fra en amerikansk øvelse i kyberkrig våren 2008.

Hele dokumentet er på 40 sider. Dette er de tjue grunnleggende kontrollene for IT-sikkerhet. De er delt i to grupper. De første 15 kan allerede i dag måles og valideres automatisk. De siste fem krever manuell validering, heter det:

  1. Inventar over tillatt og ikke-tillatt maskinvare
  2. Inventar over tillatt og ikke-tillatt programvare
  3. Sikre konfigurasjoner for maskinvare og programvare der slike er tilgjengelige
  4. Sikre konfigurasjoner for nettverksenheter for brannmur og rutere
  5. Forsvar på randen av nettverket
  6. Vedlikehold og analyse av fullverdige sikkerhetslogger
  7. Applikasjonssikkerhet
  8. Kontrollert bruk av administrative privilegier
  9. Kontrollert tilgang basert på faktiske behov
  10. Kontinuerlig testing for sårbarhet
  11. Løpende overvåking og kontroll av kontoer
  12. Forsvar mot ondsinnet kode
  13. Begrensninger og kontroll av porter, protokoller og tjenester
  14. Kontroll av trådløse enheter
  15. Vern mot datalekkasjer
  16. Oppsett av sikre nettverk
  17. Øvelser med angrep
  18. Evnen til å reagere under kriser
  19. Sikrede kopier av data
  20. Vurdering av sikkerhetskompetanse og opplæring for å dekke over hull

    Les også:

Til toppen