De fleste som har jobbet med IT-sikkerhet noen år, vet at det pleier å være ulik forståelse for hva som er den faktiske sikkerhetstilstanden og vurderingene av hva som er «godt nok», mellom fagfolk og ledelse. Noen enkle spørsmål, stilt fra ledelsen til fagfolkene, kan imidlertid bidra til å gi ledelsen bedre situasjonsforståelse og dermed vurdering av egen sikkerhetstilstand.
Selv om spørsmålene er relevante hver eneste dag, er de også spesielt relevante i forkant av høytider og ferier, ettersom bemanningen er lavere og flere cyberangrep mot virksomheter har en tendens til å inntreffe i ferieperioder. Angrepet som ble utført av kinesiske aktører mot de 12 departementenes IT-plattform i fjor sommer, er et godt eksempel. Det samme er løsepengevirus-angrepet mot Tomra, hvor IT-systemene ble utilgjengelige midt i fellesferien.
Seks viktige områder
Her er spørsmålene:
Trusseletterretning: Gir lederen kunnskap om hvem som kan gjennomføre et angrep.
- Har vi kunnskap om hvilke aktører som er interessert i vår virksomhet?
- Er dette primært kriminelle aktører ute etter økonomisk vinning, eller avanserte og målrettede aktører?
- Er det grunn til å anta at vi vil bli forsøkt utsatt for målrettet spionasje eller sabotasje fra avanserte aktører?
Grunnsikring og prioritering: Gir lederen kunnskap om hvordan egen sikkerhetstilstand er.
- Gitt trusselbildet vi står ovenfor, har vi på plass en god nok grunnsikring for å forhindre, stanse og oppdage angrep?
- Har vi oversikt over de viktigste IT-systemene og dataene som understøtter virksomheten?
- Er disse prioriterte systemene og dataene sikret tilstrekkelig til å forhindre nedetid og kompromittering?
- Hvilke kjente angrepsvektorer og sårbarheter har vi mot disse systemene?
- Er det tiltak vi kan iverksette nå, for å redusere muligheten for utnyttelse?
- Har vi tiltak som kan oppdage angrep som blir utført, ref. spørsmålet over?
«Ukjente kjente» – en skjult utfordring i kunstig intelligens
Avhengigheter: Gir lederen kunnskap om forhold til andre, utenfor egen kontroll.
- Har vi kontroll på den underliggende IT-infrastrukturen som de prioriterte IT-tjenestene og dataene ligger på?
- Har de prioriterte IT-tjenestene og dataene avhengigheter til andre tjenester internt eller hos andre leverandører?
- Har vi undersøkt hvordan tjenestene er sikret hos leverandøren?
Beredskap: Gir lederen kunnskap om hvordan vi vil håndtere sikkerhetshendelser.
- Hvis en sikkerhetshendelse oppstår, vet alle ansatte hvem som skal varsles?
- Har vi på plass vaktordninger slik at ressursene for å håndtere en hendelse er til stede, også utenfor normal arbeidstid?
- Har vi IT-systemer 'på utsiden' som gjør det mulig å kommunisere/håndtere, dersom våre primærsystemer går ned?
- Har vi tilstrekkelig kompetanse selv, eller er vi avhengig av bistand?
- Har vi avtaler med noen eksterne, i så tilfelle: Hvem ringer vi?
Gjenoppretting: Gir lederen kunnskap om gjenoppretting av normaltilstand ved en hendelse.
- Dersom og data blir endret eller slettet, klarer vi å gjenopprette normaltilstand?
- Har vi backup av alle viktige data?
- Har vi testet eller øvd på at vi faktisk er i stand til å gjenopprette IT-systemene?
Og viktigst av alt for en leder: Gir ledelsen en totalvurdering av hvordan tilstanden faktisk er.
- Er ditt inntrykk at vi har et forsvarlig sikkerhetsnivå for virksomheten, gitt det trusselbildet vi står i?
Sintef-forsker: Både hjemmekontor og kveldsjobbing kan være bra
Gir kunnskap om egen virksomhet
Dette er et utvalg sentrale spørsmål som det er relevant for ledelsen å stille til IT- og sikkerhetsfolkene. Spørsmålene er relevante hver eneste dag. For noen av tiltakene kan det kreve betydelige forberedelser å svare ut at man faktisk har en «god nok» tilstand. Spørsmålene er spesielt relevante i forkant av ferieperioder, og det er fremdeles mulighet for å gjøre enkle tiltak knyttet til vaktordninger og varslingslister, selv om sommerferien nærmer seg med stormskritt.
Ved å stille disse spørsmålene til IT- og sikkerhetsfolkene i virksomheten, får ledelsen i beste fall betryggende svar om at tilstanden er «god nok», og man kan ta ferie med senkede skuldre. Alternativet er at man får vite at tilstanden burde vært bedre, men da lærer man i det minste noe om egen virksomhet. Det er en god ting. Da vet man hva som bør prioriteres av oppgaver etter sommerferien. Resultatet av kartleggingen vil derfor uansett ha et positivt utfall for alle parter.
Og man er, som virksomhetsleder og styre, litt bedre forberedt til en lang og god sommerferie!
Hacking av forvaltningen gir lovende resultater