SIKKERHET

Disse spørsmålene bør du stille IT-sikkerhetsfolkene dine før ferien

Tilhører du ledelsen eller styret i en virksomhet og har dermed ansvar også for IT- og cybersikkerhet? Da er det en del spørsmål du bør stille til IT- og sikkerhetsfolkene dine.

Senior informasjonssikkerhetsrådgiver Simen Bakke skriver i innlegget at virksomhetsledelser og styrer bør stille noen kontrollspørsmål til IT-sikkerhetsfolkene sine før de tar sommerferie.
Senior informasjonssikkerhetsrådgiver Simen Bakke skriver i innlegget at virksomhetsledelser og styrer bør stille noen kontrollspørsmål til IT-sikkerhetsfolkene sine før de tar sommerferie. Foto: Privat
Simen Bakke, senior informasjonssikkerhetsrådgiver
2. juli 2024 - 12:21

De fleste som har jobbet med IT-sikkerhet noen år, vet at det pleier å være ulik forståelse for hva som er den faktiske sikkerhetstilstanden og vurderingene av hva som er «godt nok», mellom fagfolk og ledelse. Noen enkle spørsmål, stilt fra ledelsen til fagfolkene, kan imidlertid bidra til å gi ledelsen bedre situasjonsforståelse og dermed vurdering av egen sikkerhetstilstand. 

Selv om spørsmålene er relevante hver eneste dag, er de også spesielt relevante i forkant av høytider og ferier, ettersom bemanningen er lavere og flere cyberangrep mot virksomheter har en tendens til å inntreffe i ferieperioder. Angrepet som ble utført av kinesiske aktører mot de 12 departementenes IT-plattform i fjor sommer, er et godt eksempel. Det samme er løsepengevirus-angrepet mot Tomra, hvor IT-systemene ble utilgjengelige midt i fellesferien.

Seks viktige områder

Her er spørsmålene: 

Trusseletterretning: Gir lederen kunnskap om hvem som kan gjennomføre et angrep.

  • Har vi kunnskap om hvilke aktører som er interessert i vår virksomhet?
  • Er dette primært kriminelle aktører ute etter økonomisk vinning, eller avanserte og målrettede aktører?
  • Er det grunn til å anta at vi vil bli forsøkt utsatt for målrettet spionasje eller sabotasje fra avanserte aktører?

Grunnsikring og prioritering: Gir lederen kunnskap om hvordan egen sikkerhetstilstand er.

  • Gitt trusselbildet vi står ovenfor, har vi på plass en god nok grunnsikring for å forhindre, stanse og oppdage angrep?
  • Har vi oversikt over de viktigste IT-systemene og dataene som understøtter virksomheten?
  • Er disse prioriterte systemene og dataene sikret tilstrekkelig til å forhindre nedetid og kompromittering?
  • Hvilke kjente angrepsvektorer og sårbarheter har vi mot disse systemene?
  • Er det tiltak vi kan iverksette nå, for å redusere muligheten for utnyttelse?
  • Har vi tiltak som kan oppdage angrep som blir utført, ref. spørsmålet over?
Odfjell Drilling driver flere boreplattformer både i Norge og utlandet. Nå tilbys 10 databaser fra selskapet til salgs for småpenger på det mørke nettet.
Les også

Stort norsk selskap hacket: Kritisk informasjon selges for «småpenger»

Avhengigheter: Gir lederen kunnskap om forhold til andre, utenfor egen kontroll.

  • Har vi kontroll på den underliggende IT-infrastrukturen som de prioriterte IT-tjenestene og dataene ligger på?
  • Har de prioriterte IT-tjenestene og dataene avhengigheter til andre tjenester internt eller hos andre leverandører?
  • Har vi undersøkt hvordan tjenestene er sikret hos leverandøren?

Beredskap: Gir lederen kunnskap om hvordan vi vil håndtere sikkerhetshendelser.

  • Hvis en sikkerhetshendelse oppstår, vet alle ansatte hvem som skal varsles?
  • Har vi på plass vaktordninger slik at ressursene for å håndtere en hendelse er til stede, også utenfor normal arbeidstid?
  • Har vi IT-systemer 'på utsiden' som gjør det mulig å kommunisere/håndtere, dersom våre primærsystemer går ned?
  • Har vi tilstrekkelig kompetanse selv, eller er vi avhengig av bistand?
  • Har vi avtaler med noen eksterne, i så tilfelle: Hvem ringer vi?

Gjenoppretting: Gir lederen kunnskap om gjenoppretting av normaltilstand ved en hendelse.

  • Dersom og data blir endret eller slettet, klarer vi å gjenopprette normaltilstand?
  • Har vi backup av alle viktige data?
  • Har vi testet eller øvd på at vi faktisk er i stand til å gjenopprette IT-systemene?

Og viktigst av alt for en leder: Gir ledelsen en totalvurdering av hvordan tilstanden faktisk er.

  • Er ditt inntrykk at vi har et forsvarlig sikkerhetsnivå for virksomheten, gitt det trusselbildet vi står i?
Joachim Stenhjem i Sopra Steria slår et slag for IEC 62443 i denne kronikken. Det er et rammeverk som tilbyr retningslinjer og beste praksis for å beskytte kritiske industrisystemer mot cybertrusler og -angrep.
Les også

Milliontap bør være et varsel til alle som jobber med IT og OT

Gir kunnskap om egen virksomhet

Dette er et utvalg sentrale spørsmål som det er relevant for ledelsen å stille til IT- og sikkerhetsfolkene. Spørsmålene er relevante hver eneste dag. For noen av tiltakene kan det kreve betydelige forberedelser å svare ut at man faktisk har en «god nok» tilstand. Spørsmålene er spesielt relevante i forkant av ferieperioder, og det er fremdeles mulighet for å gjøre enkle tiltak knyttet til vaktordninger og varslingslister, selv om sommerferien nærmer seg med stormskritt.

Ved å stille disse spørsmålene til IT- og sikkerhetsfolkene i virksomheten, får ledelsen i beste fall betryggende svar om at tilstanden er «god nok», og man kan ta ferie med senkede skuldre. Alternativet er at man får vite at tilstanden burde vært bedre, men da lærer man i det minste noe om egen virksomhet. Det er en god ting. Da vet man hva som bør prioriteres av oppgaver etter sommerferien. Resultatet av kartleggingen vil derfor uansett ha et positivt utfall for alle parter.

Og man er, som virksomhetsleder og styre, litt bedre forberedt til en lang og god sommerferie!

Det er ikke lett å vite hva som er sølv eller kråkesølv, verken når man handler regnfrakker hos Temu eller IT-sikkerhetstjenester, mener IT-sikkerhetssjef Thomas Tømmernes i Atea Norge.
Les også

Er du en av dem som kjøper sikkerhet på Temu?

Les mer om:
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.