.jpg)
Norske virksomheter blir løpende stilt overfor nye krav og prosesser fra reguleringer. For noen høres det ut som papirøvelser, men reguleringen peker også på en fundamental sikkerhetsutfordring: Hvor mye kontroll har virksomheter egentlig over nettverket sitt?
Flere krav, flere prosesser og flere rapporter. Løfter det virkelig IT-sikkerheten?
Slik tenker nok mange IT-sikkerhetsansvarlige når talen faller på ny regulering knyttet til it-sikkerhet. Det gjelder ikke minst digitalsikkerhetsloven, som er knyttet til EUs NIS-direktiver.
Jeg har også selv tenkt tanken. Men litt over et halvt år etter at loven trådte i kraft, er mistroen til dels gjort til skamme. Reguleringen har fått flere virksomheter til å jobbe systematisk med risiko og sikkerhet. I den forbindelse har det indirekte reist spørsmålet: Hvor mye kontroll har virksomheter egentlig over nettverket sitt?
I sin grunnleggende essens handler reguleringene om velkjente oppgaver. Virksomheter skal være i kontroll, kunne spore trusler og handle når det er nødvendig. Men det å være i kontroll blir konsekvent vanskeligere å sikre i praksis når det gjelder virksomhetens datanettverk.
Svært uoversiktlig
Nettverkene vokser nemlig i størrelse og kompleksitet i takt med at virksomheter digitaliserer. Og det har de vært, og er fortsatt, flinke til å gjøre. Analysebyrået Gartner forventer at de globale IT-investeringene vil stige med knapt 11 prosent i år. Derfor rommer ikke virksomheters nettverk lenger bare datamaskiner til medarbeiderne og en håndfull interne systemer. Nå omfatter det også skytjenester, forbindelser til leverandører og stadig flere IoT-enheter.
Open AI kjøpte talkshow – ønsket bedre samtaler om kunstig intelligens
Når medarbeidere samtidig jobber fra flere forskjellige lokasjoner og fra en rekke av ulike enheter og nettverk, blir IT-landskapet vanskeligere å overvåke. Det gjelder særlig å holde styr på hvilke enheter som er koblet til nettverket, og hvilke medarbeidere som har tilgang til hva. En utfordring som løpende vokser i mange virksomheter fordi man konsekvent kobler til nye enheter uten nødvendigvis å rydde ut enheter som ikke lenger er i funksjon.
I den svært uoversiktlige administrasjonen av enheter forfaller mange organisasjoner til en utdatert logikk; at man raskt behandler enheter koblet til nettverket som noen man har tillit til. Det er en farlig antakelse i et moderne IT-landskap.
Virksomheter uten et tydelig bilde av hvilke enheter og brukere som er til stede i nettverket, får det nemlig vanskeligere å oppdage, spore og håndtere trusler.
Høres enkelt ut
I dag skjer de fleste brudd på IT-sikkerheten gjennom umiddelbart legitime brukere, kompromitterte enheter eller forsyningskjeder. Derfor knytter kontroll seg ikke lenger bare til å forhindre en ondsinnet aktør i å få tilgang til nettverket sitt, men i like stor grad til å styre hva som skjer når aktøren er inne i nettverket.
Kan virksomheten begrense aktørens bevegelser i nettverket og tilgangen til forretningskritiske data? Kan virksomheten raskt identifisere enheter og aktører med unormal adferd?
Disse spørsmålene er avgjørende i dag for å vurdere omfanget av en cyberhendelse og muligheten til å få den stoppet raskest mulig.
På den bakgrunn er det for mange IT-ansvarlige nødvendig å kaste et ekstra, kritisk blikk på prioriteringene sine. Det er behov for å fokusere på synlighet, kontroll og tydelig definerte rammer for tilgang, snarere enn å legge til flere lag med beskyttelse. Prinsippene er som sådan ikke nye, men de må innføres konsekvent og konsistent i et stadig mer komplekst IT-miljø.
Selv om det høres enkelt ut, møter vi virksomheter som kjemper med å etterleve det i praksis. Det gjelder også virksomheter som omfattes av digitalsikkerhetsloven, hvor fokuset i for stor grad blir på bare å etterleve direktivet og dokumentere det. Disse virksomhetene risikerer å ha orden i papirene, men i praksis mangler de tilstrekkelig kontroll over nettverket.
Den gode praksisen er å bruke kravene fra loven som et utgangspunkt for grunnleggende å forstå og strukturere nettverksmiljøet. Digital robusthet skjer nemlig ikke bare gjennom papirarbeid, men ved å styre og forstå hva som reelt skjer i nettverket på daglig basis. Og det starter helt enkelt med å vite hvem og hva som er koblet til det.
IT-tabbe kan koste sjefen millioner av kroner
