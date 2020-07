Man leser stadig i mediene om vellykkede dataangrep. Mange virksomhetsledere forstår nå at digital sikkerhet også angår dem. Utfordringen for mange er å vite hvor de skal starte. Mange er i tillegg engstelige for kostnadene ved innføring av sikkerhetstiltak.

De mer grunnleggende tiltakene, som ofte er billigere og bedre, blir dessverre oversett

NSM erfarer at det ikke nødvendigvis er de dyreste sikkerhetstiltakene som beskytter best. Dessverre ser vi fremdeles at mange virksomheter ikke gjør en god nok vurdering av hvilke risikoer de står overfor og hvilke sikkerhetstiltak de trenger for å håndtere risikoen. Noen kjøper inn et (ofte dyrt) sikkerhetsprodukt eller en sikkerhetstjeneste, og anser da at jobben er gjort. Slike løsninger kan hjelpe på symptomene, men fjerner sjelden de underliggende «sykdommene».

De mer grunnleggende tiltakene, som ofte er billigere og bedre, blir dessverre oversett. Dette er noe vi har sett gjentagende i snart 30 år. Heldigvis ser vi også virksomheter som etablerer gode, digitale sikkerhetstiltak basert på veloverveide risikovurderinger.

John Bothner. Foto: NSM

NSM publiserte i april 2020 en oppdatert utgave av «NSMs Grunnprinsipper for IKT-sikkerhet». Nå i disse dager gir vi ut noen støtteprodukter, blant annet hvilke prioriteringer norske virksomheter kan gjøre når de skal innføre sikkerhetstiltak.

Are Søndenaa. Foto: NSM

Mange virksomheter har ikke oversikt over hva som befinner seg i IT-systemene. Et første steg er å skaffe oversikt over hva som befinner seg i IT-systemene og hva som faktisk skal være der. Dette gjelder tilkoblet IT-utstyr, programmer som kjører og brukere som befinner seg i systemene.

Det er for eksempel ikke nødvendig at alle ansatte skal få installere og kjøre alle programmer de har lyst til på sine datamaskiner

Det neste mange feiler på er mangelfulle rutiner. Dette gjelder alt fra hvordan IKT-utstyr anskaffes, konfigureres og vedlikeholdes til brukere som har alt for mange tilganger og rettigheter. Det er for eksempel ikke nødvendig at alle ansatte skal få installere og kjøre alle programmer de har lyst til på sine datamaskiner. Dette gjør det lettere for angripere, men er dessverre alt for vanlig. Andre gode rutiner som er viktig å prioritere er sikkerhetsoppdatering, sikkerhetskopiering, passordhåndtering, logging og håndtering av hendelser. Slike rutiner er viktig også når man har satt ut tjenester til en leverandør.

Manuelle rutiner bør reduseres til et minimum da det ofte gir flere menneskelige feil som kan svekke sikkerheten. Arbeidet bør i størst mulig grad standardiseres, automatiseres og sentraliseres.

Det er ofte rutinemessige, konsekvente sikkerhetstiltak over tid som løser de mest grunnleggende sikkerhetsproblemene. Ikke dyre sikkerhetstjenester som markedsføres med stadig skiftende moteord. Fokuser derfor først oppmerksomhet og penger på gode, interne rutiner.

Nøkkelen til bedre sikkerhet er ofte bevisstgjøring sammen med gode og mest mulig automatiserte arbeidsrutiner

NSM ønsker ikke nødvendigvis at norske virksomheter skal arbeide mer med rutiner, men bedre. Nøkkelen til bedre sikkerhet er ofte bevisstgjøring sammen med gode og mest mulig automatiserte arbeidsrutiner.

Are Søndenaa og John Bothner

Seniorrådgivere ved Nasjonalt cybersikkerhetssenter, NSM.