Sikkerhetsarbeidet er krevende. Det å gjøre det grundig og profesjonelt kan virke utmattende og vanskelig. Det er omfattende og tidvis for stort til å håndtere på egen hånd. Vi kjøper produkter og tjenester for å få forsøke å løse utfordringene. Nye produkter. Nye tjenester. Som vi må lære oss å forstå og bruke. Det er jo gøy å lære noe nytt, men tidkrevende. Ikke rart noen hver sover dårlig.
Du som sikkerhetsansvarlig står ikke bare overfor den rivende digitaliseringsutviklingen (les: trusselbildet) og en ekstrem fragmentering av næringskjeden (les: sårbarheter), men en stadig større og mer kompleks mengde data og informasjon (les: angrepsflater) du til enhver tid må forholde deg til (og beskytte).
Det kan argumenteres for at det er rom for mer innovasjon i cybersikkerhetsbransjen, men det virkelige problemet er absolutt ikke mangel på utvikling. Utfordringene vi står overfor, skapes av trusselaktører som disponerer et økende antall angrepskombinasjoner og angrepsflater.
_logo.svg.png){kind=logo}
Gjør vi noe, gjør de noe bedre
De cyberkriminelle har samme, ofte bedre, informasjon enn politiet eller sikkerhetsavdelingen. De vet vel så mye om hullene som ikke har blitt tettet, om angrepsflatene som ligger åpne og om den ansatte som er misfornøyd og klar til å opptre illojalt. Det er jo noe av ulemepene ved dette flotte internettet.
Vi tar i bruk SaaS = Trusselaktørene tar i bruk HaaS.
Vi tar i bruk KI for å bedre sikkerheten = Trusselaktørene tar i bruk KI for å effektivisere angrepene. Digitale ran, utpressing og all annen type ulovlig virksomhet er dagligdags og koster virksomheter svimlende summer verden over.
Det virker som om en rett og slett ikke kan vinne. Ikke rart noen hver sover dårlig.
Som en sirkel
Cybersikkerhetsdomenet kan virke komplisert og uoversiktlig, spesielt når du må gjøre tøffe valg. Hva trenger jeg for å være så godt forberedt som mulig for å møte dagens nye sikkerhetsutfordringer? Og hva koster det? Eller «what’s in it for us» (ROI), som ledergruppen stadig spør deg om? Hva blir konsekvensen om jeg gjør et feil valg, og får jeg muligheten (og midlene) til å rette opp feilen?
Alle er nok enige i at et produktbasert forsvar i dag ikke er nok. Og godt forsvar og gode løsninger kan bare redusere antallet tilgjengelige angrepstyper noe, men ikke nok til å hjelpe det overbelastede sikkerhetspersonalet med å sikre alt. Godt, preventivt sikkerhetsarbeid som blant annet trusseletterretning, kunnskap, beredskapsplaner, kontinuitetsplaner og risikoanalyser som er godt forankret i virksomhetens ledelse og strategi, burde være grunnpilaren i IT-sikkerhetsarbeidet. Vi må bygge sikkerhetskultur, planlegge, teste, måle, feile og lykkes. Hele tiden, i sirkel. Ikke rart noen hver sover dårlig.
Den krevende sluttbrukeren
En annen stor utfordring i sikkerhetsarbeidet er deg og meg. Sluttbrukeren. Vi burde egentlig ikke være et ledd i sikkerhetskjeden. Det er for risikabelt. Altfor mange fallgruver. Kan det være vi skal bli så paranoide som jobben krever? «Null tillit»?
Det er ikke gjort over natten. Sluttbrukeren må sikres, ikke ha ansvar for sikkerhet. Noen vil kanskje påstå at sluttbruker er det svakeste ledd, men det er irrelevant. Fjern oss helt fra (sikkerhets)prosessene. Planlegg at vi ikke skal være en kobling i sikkerhetskjeden din i fremtiden.
Vi sluttbrukere må fortsette å trene og lære å oppføre oss sikkert. Din jobb blir langt enklere og mer oversiktlig om du ikke må tenke på hvilke sprell vi som sluttbrukere til enhver tid finner på. Øvelse gjør mester. For å komme dit, må vi trene. En sunn og god sikkerhetskultur er på vei til å bli en selvfølge i de aller fleste virksomheter. Da sover kanskje noen av oss litt bedre.
DNB: Opplever stadig færre alvorlige cyberhendelser
Svakheter i verdikjeden
Virksomheter har det som regel «ryddig» i eget hus. Men hva med resten av verdikjeden? Det er jo én av de mest kjente taktikker som trusselaktører benytter – å gå etter svakheter i verdikjeden for å ramme hovedmålet. Hvilke konsekvenser får en brist et stykke ut i leverandørkjeden din?
Det må stilles sikkerhetskrav i hele verdikjeden gjennom kontrakter og leverandøravtaler, og alle produkter og tjenester må leveres sikkert og i henhold til lover og regler. Det vil helt klart hjelpe på nattesøvnen.
Mørketall
Men: Sikkerhetsarbeidet starter «hjemme». Det beste du kan gjøre for å berge nattesøvnen, er å jobbe systematisk og bygge en god forståelse av hvordan sikkerhetsarbeidet må utføres basert på etterretning, realiteter og forskning. I dagens rivende utvikling må det gjøres kontinuerlige samsvarsanalyser basert på veletablerte og globale rammeverk. Det er mildt sagt urovekkende å lese at opp mot 50 prosent av norske virksomheter ikke har et rammeverk/styringssystem for informasjonssikkerheten (Mørketallundersøkelsen 2022). Støtter du deg på etablerte og anerkjente standarder som ISO/IEC 27001-2 eller Grunnprinsippene til NSM, får du god hjelp, og du vil være i godt selskap med andre sikkerhetsansatte som i likhet med deg verdsetter nattesøvnen.
Blir vi noen gang helt sikre? Jeg tror 99 prosent sikkert får være bra nok. Selv om 1 prosent kan utgjøre utrolig mye. Det kommer vel noen nye sikkerhetsutfordringer igjen i morgen tidlig. Det er jo visstnok ventet nye angrep. Inntil da – sov godt.
Sikkerhet må ivaretas gjennom hele digitaliseringsprosessen, fra idé til kode
