DEBATT

Hackere bryr seg ikke om «compliance»

Svikt i compliance-arbeid kan gi falsk trygghet og dårlig situasjonsforståelse.

Owe Imerslund-Kvisler, systemarkitekt i Sicra, skriver i kronikken at det er jo slik at trussel-aktørene er totalt likegyldige til om du har dokumenterte og oppdaterte prosesser for hendelseshåndtering og er ISO-sertifisert.
Owe Imerslund-Kvisler, systemarkitekt i Sicra, skriver i kronikken at det er jo slik at trussel-aktørene er totalt likegyldige til om du har dokumenterte og oppdaterte prosesser for hendelseshåndtering og er ISO-sertifisert. Foto: Pressebilde
Owe Imerslund-Kvisler, systemarkitekt i Sicra
2. apr. 2024 - 13:04

Dette debattinnlegget gir uttrykk for skribentens meninger. Ønsker du selv å bidra i debatten, enten med et debattinnlegg eller en kronikk, les retningslinjene våre her.

Sikkerhets-compliance handler om hvorvidt IT-løsningen følger gjeldende lovkrav og regler. Samtidig er det slik at om løsningene vi bruker er compliant, så er det ikke gitt at de er sikre.

Hackere leter kontinuerlig etter konkrete tekniske sårbarheter de kan utnytte for å få et fotfeste for videre penetrasjon. Punkt 1 i NSMs grunnprinsipper er å «Identifisere og kartlegge», og det er ofte her det svikter. Det betyr at man må starte med å forstå hvilken sårbarhetsflate man faktisk eksponerer mot omverden, og egen infrastrukturs egenskaper og svakheter.

Tør du å innrømme om du ikke har kontroll?

Man kan lett se for seg en situasjon hvor styret i en virksomhet ønsker å forstå virksomhetens cyber-risiko. Man engasjerer kanskje en rådgiver som går gjennom det hele med prosess-briller på, intervjuer IT-sjef, driftsleverandører, underleverandører og andre relevante aktører.

Om en slik tilnærming skal lykkes, forutsetter man at alle parter har full oversikt, eller synes det er greit å innrømme at de ikke har full kontroll. Det er en risikabel og utilstrekkelig tilnærming.

Mange har satt ut driftstjenester og forutsetter at driftsleverandøren har rimelig kontroll. Vår erfaring er at mye blir installert med standard innstillinger som vektlegger brukervennlighet og enkelhet høyere enn sikkerhet. Derfor kan det være en lurt å verifisere slike leveranser med for eksempel verktøy som CIS Controls, for å få et objektivt svar. Kvalifisert synsing er ikke nok. Objektive svar gjør det også enklere å prioritere tiltak.

Det er ikke lett å vite hva som er sølv eller kråkesølv, verken når man handler regnfrakker hos Temu eller IT-sikkerhetstjenester, mener IT-sikkerhetssjef Thomas Tømmernes i Atea Norge.
Les også

Er du en av dem som kjøper sikkerhet på Temu?

Rekkefølge er viktig

I det daglige handler compliance mest av alt om å etterleve gode, dokumenterte prosesser og ha «ordning och reda». Stikkordene i forrige setning er dokumentasjon og prosesser. Rammeverk som ISO 9001, 27001, NIS2 og NSM-godkjent hendelseshåndterer, handler mest av alt om dokumentasjon og prosesser.

Innhenting av et korrekt situasjonsbilde er en forutsetning for å få et godt resultat av slikt arbeid. Det er kanskje det gamle systemet du hadde glemt å skru av strømmen på, som er inngangsporten trusselaktøren trenger?

Det er heller ikke hvem som helst som kan innhente informasjon om hvordan ting henger sammen, hvor trafikken går og hvorfor. Det krever erfaring, dybdekunnskap og en metodisk tilnærming. Ofte vil man også ha et behov for et samarbeid mellom forskjellige fagdisipliner for å få tilstrekkelige svar.

Google Norge er fortsatt en av Norges aller mest populære arbeidsgivere. Her fra lokalene til selskapet på Aker Brygge, fotografert i desember 2019.
Les også

Se listen: Dette er IT-bransjens mest attraktive selskaper

Mangler situasjonsforståelse

Vi heier på selskaper som setter sikkerhet og compliance på agendaen. Vi heier også på de som bistår selskaper i dette arbeidet, uansett om det er innføring eller revisjon av IT-løsninger. Samtidig er det jo slik at trussel-aktørene er totalt likegyldige til om du har dokumenterte og oppdaterte prosesser for hendelseshåndtering og er ISO-sertifisert. 

Vi har opplevd at kunder har gjennomført et godt compliance-arbeid, hyret inn eksterne revisorer og fått godkjent status. Likevel har de hatt et teknisk sikkerhetsnivå som lå så lavt at våre konsulenter valgte å trykke på den store røde knappen. Svikten ligger ofte i at det mangler en god teknisk situasjonsforståelse som compliance-arbeidet kan bygge på. Som så ofte ellers i vår verden, «Shit in = Shit out».

Derfor er det viktig å ha en praktisk tilnærming til compliance. Hva betyr hvert krav, i for eksempel NIS2, egentlig? Hva må gjøres i dine systemer og nettverk for at dette skal oppfylles? Hvilke ressurser i ditt selskap må inkluderes i prosessen? Det hjelper eksempelvis ikke å ha en prosess for hendelseshåndtering, hvis det ikke er et verktøy som viser hva som faktisk har skjedd i form av logger fra alle systemer. Derfor må alle compliance-prosesser forankres i teknisk virkelighet.

− Et effektivt og motivert team vil kunne levere mange ganger bedre og raskere enn et som har hender og føtter bundet av en konseptvalgutredning, mener Yngve Milde
Les også

Vi må slutte å snakke om prosesser

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.