IKT-sikkerhet - lær av NSMs grunnprinsipper

Vi er mer sårbare når verden er i krise, skriver Are Søndenaa og John Bothner, seniorrådgivere ved Nasjonalt cybersikkerhetssenter.

SIKKERHETSANBEFALINGER: NSMs grunnprinsipper for IKT-sikkerhet er relevant for alle norske virksomheter, skriver artikkelforfatterne.  Foto: NTB Scanpix
Debattinnlegg

NSMs grunnprinsipper for IKT-sikkerhet er en samling med sikkerhetsanbefalinger for å beskytte digitale systemer mot dataangrep. Virksomheter som arbeider systematisk og godt med sikkerhet kan holde risikoen for digitale systemer på et akseptabelt nivå. NSMs grunnprinsipper for IKT-sikkerhet er relevant for alle norske virksomheter, og vil være et godt startsted for en sikker, digital hverdag.

Mange er flinke, men vi ser også mange som slurver. Grunnleggende tiltak for å sikre verdier er ofte ikke på plass

Toppledelsen fastsetter forretningsprioritet, kommuniserer virksomhetens risikotoleranse og tildeler budsjettmidler. Det er avgjørende at toppledelsen tar eierskap til og involverer seg i sikkerhetsarbeidet i egen virksomhet. De ulike kategoriene og prinsippene i NSMs grunnprinsipper kan benyttes som styringsparameter i dette arbeidet.

  1. Identifisere og kartlegge – Forstå bruken av IKT i virksomheten. Hensikten er å få oversikt over virksomhetens leveranser og tjenester, oppbygning av IKT-systemene og brukerne.
  2. Beskytte og opprettholde – Etablere og opprettholde en god beskyttelse av IKT-systemene. Det innebærer å sikre hvordan IKT-systemer anskaffes, planlegges, bygges og konfigureres slik at ønsket sikkerhet oppnås.
  3. Oppdage – Kategorien fokuserer på å kartlegge og fjerne IKT-sårbarheter og ondsinnet programvare gjennom sikkerhetsmonitorering og analyse av data.
  4. Håndtere og gjenopprette – Hensikten er å være forberedt på dataangrep. Dette innebærer å planlegge for at hendelser kan oppstå og å håndtere hendelser når de inntreffer.
John Weding Bothner. Foto: NSM
Alle virksomheter må i tillegg regne med å bli rammet av generelle dataangrep hvor de ikke nødvendigvis er målgruppen

Vi får stadig rapporter om forsøk på dataangrep. Norske virksomheter forvalter viktige verdier og kritiske samfunnsfunksjoner som er av interesse for andre. Det er ikke uvanlig å se målrettede angrep mot slike virksomheter, deres samarbeidspartnere og underleverandører. Alle virksomheter må i tillegg regne med å bli rammet av generelle dataangrep hvor de ikke nødvendigvis er målgruppen. Det er derfor viktig at alle virksomheter gjør nødvendige grep for å sikre seg.

Dataangrep er ikke noe nytt, men vi er mer sårbare når verden er i krise. Nasjonalt cybersikkerhetssenter gir råd til norske virksomheter, følger med på angrepsforsøk og yter bistand i forbindelse med dataangrep. Dette gjør at vi har et unikt innblikk i sikkerhetstilstanden i mange norske virksomheter og i Norge som helhet. Mange er flinke, men vi ser også mange som slurver. Grunnleggende tiltak for å sikre verdier er ofte ikke på plass.

Are Søndenå. Foto: NSM

Mange virksomheter har fått øynene opp for NSMs anbefalinger og benytter disse aktivt. Vi mottar innspill fra mange av disse virksomhetene som vi igjen bruker til å forbedre våre anbefalinger.

Are Søndenaa

John Bothner

Seniorrådgivere ved Nasjonalt cybersikkerhetssenter, NSM

nsm
IT-sikkerhet
cyberangrep
Nasjonalt cybersikkerhetssenter
dataangrep
hacker
Nyheter
Debattinnlegg