Sats på proaktiv IT-sikkerhet – via NSM grunnprinsipper for IKT-sikkerhet

Det trenger ikke være komplisert å ivareta sikkerheten når du tjenesteutsetter IT-driften, men det krever at du er proaktiv. Slik går du frem.

Da Østre Toten kommune ble hacket i januar 2021, var det ikke bare nedetid som var problemet. Konfidensielle og sensitive data havnet på avveie.

Datatilsynet likte dårlig at personlig informasjon om innbyggerne, også barnehagebarn, endte opp i uvedkommendes hender. Etter en gjennomgang av saken, serverte de kommunen en bot pålydende fire millioner kroner, og ga uttrykk for at den egentlig skulle vært større, hadde det ikke vært for kommunens økonomiske situasjon.

«- Kontrollsaken har avdekket at kommunen har hatt grunnleggende mangler ved personopplysningssikkerheten og tilhørende internkontroll. Blant annet har kommunen ikke brukt tofakturautentisering ved pålogging, og de har manglet tilfredsstillende backup-systemer og logging av viktige hendelser.»

Angrepet rammet Østre Toten kommune denne gangen, men de er dessverre ikke alene om å være sårbare. Uten en solid dose preventive tiltak er det bare et spørsmål om tid før noe lignende skjer andre. Enten du er motivert av å unngå skade eller straff, er det altså all grunn til å sørge for at IT-sikkerheten din er så god som den skal være.

Den rette holdningen: Tenk setebelte

Vi jobber for at folk skal være like føre var digitalt, som de er i den fysiske verdenen. De fleste spenner på seg sikkerhetsselen i bilen uten å tenke seg om, holder seg unna åpent hav og fjelltopper når det lyner, eller unngår visse gater på nattestid. Digitalt er vi mer lemfeldige.

Det er jo godt dokumentert at IT-angrep er en reell trussel, men mange handler som om det ikke er det. Hvorfor kan vi bare spekulere i, men det er kanskje fordi konsekvensene ikke er intuitivt følbare på samme måte.

Bedrifter har det i ryggmargen at de skal holde HMS-opplæring for alle ansatte, mens kurs i IT-sikkerhet er forbeholdt noen utvalgte roller. Etter vår mening vil bedriften først bli skikkelig IT-sikker når alle de ansatte har det i ryggmargen.

Implementer en Zero Trust-strategi

Har vi lært noe av nyhetsstrømmen de siste årene, er det at tilliten til digitale systemer bør være sterkt begrenset. Verifisering bør benyttes både på vei inn og ut av kritiske systemer.

Zero Trust baserer seg på at man aldri skal stole på noe, hverken eksternt eller internt. Never trust, always verify. Zero Trust er i seg selv ingen garanti for ikke å bli hacket, men tilnærmingen gjør det så vanskelig som overhodet mulig å kompromittere en hel infrastruktur.

Sikkerheten er deres eget ansvar

På samme måte som at du selv er ansvarlig for å spenne på deg setebeltet, er en viktig del av sikkerhetskulturen å bli oppmerksom på hva som er ditt eget ansvar. Til syvende og sist, også når du tjenesteutsetter, er du selv ansvarlig for sikkerheten til dine egne data. Det fikk Nordic Choice Hotels kjenne på kroppen i desember 2021. Hotellkjeden har tjenesteutsatt sine IT-tjenester, og det var disse som hadde blitt angrepet da booking- og betalingssystemene lå nede for telling.

CIA-triangelet: Tilgjengelighet er ikke alt

Enten du drifter IT-systemene dine selv, eller setter det bort til eksterne, bør CIA-triangelet (nedenfor) være utgangspunktet for sikkerhetsstrategien deres. Det består av tre deler:

Selv om dette prinsippet er velkjent, ser vi litt for ofte at det blir ubalanse mellom de tre elementene. Nesten alle legger mest vekt på tilgjengelighet (Availability), og tar for lett på de to andre.

Oppetid er eksistensgrunnlaget for virksomheter, så det er fullt forståelig at man ønsker å være i drift. Men et overdrevent fokus på oppetid kan i seg selv føre til nedetid, da du risikerer å neglisjere kritiske sårbarheter i systemet. Konsekvensen kan fort være innbrudd og kapring.

De tre innsatsområdene er ikke gjensidig utelukkende. Du trenger ikke å velge én fremfor en annen. Du kan helt fint ivareta integritet, konfidensialitet OG tilgjengelighet på samme tid – så lenge du gjør de rette forberedelsene.

De rette forberedelsene: Styr etter Nasjonal sikkerhetsmyndighets (NSM) grunnprinsipper for IKT-sikkerhet

I møte med dagens trusselbilde og krav til oppetid, har de færreste virksomheter ressursene eller kompetansen som skal til for å rigge og ivareta et robust system. Løsningen blir da for mange å outsource. En vanlig misforståelse er at du da også setter bort sikkerhetsansvaret. Det er på ingen måte tilfelle.

«NSMs grunnprinsipper for IKT-sikkerhet er like relevante for IKT-tjenester som er tjenesteutsatt som for IKT-tjenester som forvaltes av virksomheten selv. Forskjellen er om man stiller krav til interne eller eksterne tjenesteleverandører.»

NSMs oppskrift for trygg tjenesteutsetting

Før dere inngår en avtale med en ekstern tjenesteleverandør, bør dere ifølge NSM vurdere om virksomheten er «rigget» for å håndtere alle faser i en tjenesteutsettingsprosess»:

Oversikt og kontroll på hele livsløpet
God bestillerkompetanse
Gode risikovurderinger for å kunne ta riktig beslutning
Riktige og gode krav til IKT-tjenesten og til leverandør
Riktig beslutning på riktig nivå

Det er altså ikke bare å sette dette vekk til noen andre og glemme det. Skal det bli robust eksternt, må det være robust internt. God bestillerkompetanse er nøkkelen.

Noen i virksomheten må ha kompetansen til å vite hva dere trenger, med utgangspunkt i en kvalifisert sikkerhetsvurdering. Dét er ikke alltid like enkelt for enhver organisasjon. Er du usikker, kan det være lurt å samarbeide med en sikkerhetsleverandør.

Begynn med en GAP-analyse

Vi anbefaler å begynne med en GAP-analyse med utgangspunkt i Nasjonal sikkerhetsmyndighets grunnprinsipper for IKT-sikkerhet. Ordet «GAP» refererer til kløften/avstanden det er mellom et spesifisert sett med styringsprinsipper og sikkerheten i egen virksomhet. Etter GAP-analysen får dere en rapport dere kan basere sikkerhetstiltakene på – eventuelt bestillinger til eventuelle eksterne tjenesteleverandører.

?Tips!
Virker det som om flere av skyleverandørene tilbyr akkurat det samme?
Se om aktørene dere vurderer har fylt ut et CSA CAIQ-spørreskjema. Det gjør det enklere å skille de ulike tilbyderne fra hverandre. For eksempel finner du informasjon om en kjent aktør her.

Hva gjør leverandøren ved en hendelse?

Det er lett å slå seg til ro med sikkerhetsprodukter, så lenge du kan huke av på at de er på plass. Men er du brannsikker bare fordi du har et brannslukningsapparat?

Dessverre – det er en grunn til at vi holder brannøvelser. Du må vite hva som skal gjøres når noe skjer. Det samme gjelder for IT-sikkerhet; produkter er bare halve jobben. For hva gjør du når endepunktsikringen varsler deg om en hendelse? Eller brannmuren? Hva gjør tjenesteleverandøren? Får du en rapport?

Poenget er at du skal forstå hvorfor noe skjedde. Det er bra at brannmuren stopper noe skadelig, men den bør også rapportere hva som lå bak. På den måten kan du lære noe som forhindrer at de lykkes neste gang. Egentlig er det bare sunn fornuft. Vi ville jo ikke akseptert at politiet kun etterforsket vellykkede innbruddsforsøk.

Automatisk hendelseshåndtering er avgjørende

Hurtig respons kan være den store forskjellen. Enten dere selv eller tjenesteleverandøren skal agere, må dere validere at dette faktisk er på plass. I mange av de verste dataangrepene har hackerne fått jobbe i fred og ro over lang tid.

Følg med på tillatt trafikk (det er der det skjer)

Sikkerhetssystemene dine stopper et ukjent antall dataangrep i løpet av et år. Det er flott, men problemet er jo ikke først og fremst det som blir stoppet. Suksessfulle hendelser skjer i tillatt trafikk. Slik var det for Østre Toten kommune, SolarWinds og Equifax.

Er det noen som evaluerer den tillatte trafikken i nettverket deres? Har dere systemer for å gjenkjenne mistenkelig atferd?

Hvis ikke er det verdt å vurdere en løsning à la Next Generation Firewall fra fra Palo Alto Networks. Ved hjelp av tilleggsfunksjonen Cortex XDR, lærer den seg hva som er normal trafikk og responderer automatisk dersom noe skulle avvike.

Les også: IoT Security fra Palo Alto Networks beskytter alle enhetene i nettverket

Revisjoner og kompetanseheving

IT-sikkerhet er work-in-progress. Tenk på det som konvensjonelt forsvar: Selv om du ikke nødvendigvis er i faktisk strid, holder du deg oppdatert og posisjonert etter det til enhver tid gjeldende trusselbildet.

Slik bør vi tenke innen digitalt forsvar også. Gjør jevnlige sikkerhetsrevisjoner, kanskje hver sjette måned eller årlig, så du er sikker på at rustningen er relevant for dagens trusselbilde. Send dine ansatte (og særlig IT-personalet) på kurs så alle er kjent med hva de må vokte seg for.

Proaktiv IT-sikkerhet: En oppsummering

I denne artikkelen har vi sett på hvordan du går frem for å etablere proaktiv IT-sikkerhet. Først tok vi for oss det holdningsmessige, som går på sikkerhetskultur og menneskelig atferd, men også balanse i henhold til CIA-triangelet. Sentralt i dette står Zero Trust-prinsippet.

Deretter diskuterte vi forberedelsene du bør gjøre. Her står NSMs grunnprinsipper for IKT-sikkerhet sentralt, med bestillerkompetanse som et av hovedpoengene. Det er også fornuftig å evaluere både seg selv og leverandørene dere vurderer.

God hendelseshåndtering må også være ivaretatt. Det er nemlig ikke bare om å gjøre å ha de rette produktene og tjenestene. Oppfølgingen og læringen i forbindelse med et avverget angrep kan ha svært mye å si for et suksessfullt forsvar i neste runde.

Til slutt minnet vi om at IT-sikkerhet er et kontinuerlig prosjekt. Så lenge trusselbildet er i endring, må forsvaret holde tritt. Det oppnår du ved hjelp av oppdatert teknologi og kompetanseheving.

Lykke til, og ikke nøl med å kontakte oss dersom du vurderer å få hjelp fra en IT-sikkerhetspartner.