DEBATT

NIS2 stiller helt nye krav til dine ansattes IT-sikkerhetshygiene

Steffen Friis, nordisk produktsjef i Vipre Security Group, skriver i denne kronikken om IT-sikkerhetsdirektivet NIS2 og nordmenns uvanlige forhold til tillit.

Kronikkforfatteren: Steffen Friis, nordisk produktsjef i Vipre Security Group.
Kronikkforfatteren: Steffen Friis, nordisk produktsjef i Vipre Security Group. Foto: Vipre
Steffen Friis, Vipre
11. nov. 2022 - 16:00

Det er forventet at NIS2 (The Network and Information Security Directive 2.0) kommer til å stille krav til noe som burde være på plass i alle bedrifter, men som alt for ofte blir glemt i hverdagen – nemlig dine ansattes IT-sikkerhetstrening. Er du forberedt på å leve opp til de nye reglene?

Det finnes utallige artikler og blogginnlegg om NIS2-direktivet, som i disse dager er i ferd med å bli finjustert i EU, før det formodentlig blir vedtatt senere i år (direktivet ble vedtatt av EU-parlamentet torsdag 10. november, etter at kronikken ble skrevet, red. anm.). Det betyr en rekke nye regler og prosedyrer som bedrifter skal leve opp til – blant annet helt nye krav til detaljhandelsbransjen.

Men der noen deler av NIS2 kun rammer spesifikke bransjer og industrier, så er det én bestemt del som kommer til å stille nye krav til opptrening av personalet i offentlige virksomheter og institusjoner. Det dreier seg om IT-sikkerhetsmessig trening, og mens du kanskje puster lettet ut og tenker, «åh, er det alt? Det har vi jo styr på», så kan jeg garantere deg at vi alt for ofte opplever IT-avdelinger som tror at de er forberedt. Samtidig er IT-hygiene – eller mangel dette – én av de viktigste grunnene til at IT-kriminelle får tilgang til forretningskritiske systemer. Og det er jo ikke akkurat den morsomste nyheten å skulle fortelle lederen din, eller?

Og nå kommer NIS2 og stiller krav til at virksomheter har de rette prosedyrene for nettopp IT-sikkerhetstrening.

Er du klar?

NIS stiller en rekke krav til risikostyringen, rapporteringen, sikkerheten i utviklingsprosesser, kryptering og hendelseshåndtering, men gjelder fortsatt ikke i Norge.
Les også

Enighet i EU om IT-sikkerhetsdirektiv. Uvisst om og når reglene vil gjelde i Norge

Undervisning og trening

Det er overraskende med tanke på alle de andre typer regulativer, krav og lover som finnes, at det aldri har vært et krav om prosedyrer vedrørende intern trening og opplæring av de ansatte. Mange større virksomheter har interne regler for hvilke filer ansatte kan åpne, hvilke sider de kan besøke og så videre, men det blir sjeldent vedlikeholdt, testet eller oppdatert.

Det er irriterende, når nettopp den menneskelige brukerflaten er én av de mest benyttede veiene inn for IT-kriminelle når de infiltrerer bedrifter – og vi nordmenn er særlig utsatte av flere årsaker.

Først og fremst er vi ett av de mest digitaliserte landene i verden, og blant de som er lengst fremme når det gjelder digital infrastruktur. Det har FN nettopp kunngjort, men det betyr dessverre også at vi samtidig er mer utsatte enn andre

Videre er vi tillitsfulle. For nordmenn er tillit noe man mister, i motsetning til mange andre steder i verden der det er noe man gjør seg fortjent til. Den tilliten er grunnen til at vi er ett av de minst korrupte landene i verden, men samtidig også grunnen til at mengden vellykkede ransomware-angrep er økende.

Den dødelige USB-pinnen

Det overnevnte alene burde være nok til å sette i gang tankene om hvordan IT-sikkerhetstreningen kan oppdateres for de ansatte – og særlig dem som sitter ytterst i virksomheten. Det gjelder for eksempel saksbehandlere og resepsjonister. For det handler ikke bare om digital IT-sikkerhetshygiene, men også om den virkelige verden.

I Norge og Sverige er «social engineering»-angrep langt mer fysiske enn i for eksempel Danmark – og særlig etter korona. Her har vi sett angrep hvor et tilfeldig bud tråkker inn i en lobby og later som om at vedkommende har gått feil. Her «mister» budet, som er IT-kriminell, en USB-pinne som er merket med ordet «Økonomi».

Budet går, og senere blir USB-pinnen oppdaget og bragt opp til økonomi-avdelingen, for «den er nok deres». Her setter de USB-pinnen i PC-en, som helt automatisk blir infiltrert av en skadelig malware.

Det høres ut som en dårlig grøsserhistorie fra IT-avdelingen, men den er sann. På samme måte så vi også for noen år tilbake en dansk kommune bli rammet av ransomware, da en ansatt åpnet en skadelig fil. Heldigvis lyktes det å gjenopprette kommunens data, men den ansatte valgte å åpne PC-en igjen i den tro at skaden var stoppet. Dermed måtte kommunen stenge ned igjen i flere dager.

Dyktige ledere lærer av andres feil, og derfor er det opplagt at man bør benytte NIS2-direktivet til å få oppdatert prosedyrene rundt IT-sikkerhetstrening og -opplæring. Det som er helt logisk for noen, strider imot den norske tilliten – og det skal trenes vekk.

Ledelsen, forretning, IT, compliance og personvern kan ikke fortsette som isolerte øyer, skriver Gøran Breivik og Marius Engh Pellerud i kronikken. Begge har tittelen director i Advisense.
Les også

Sikkerhet må ivaretas gjennom hele digitaliseringsprosessen, fra idé til kode

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
En tjeneste fra