DEBATT

Hackere bryr seg ikke om «compliance»

Svikt i compliance-arbeid kan gi falsk trygghet og dårlig situasjonsforståelse.

Owe Imerslund-Kvisler, systemarkitekt i Sicra, skriver i kronikken at det er jo slik at trussel-aktørene er totalt likegyldige til om du har dokumenterte og oppdaterte prosesser for hendelseshåndtering og er ISO-sertifisert.
Owe Imerslund-Kvisler, systemarkitekt i Sicra, skriver i kronikken at det er jo slik at trussel-aktørene er totalt likegyldige til om du har dokumenterte og oppdaterte prosesser for hendelseshåndtering og er ISO-sertifisert. Foto: Pressebilde
Owe Imerslund-Kvisler, systemarkitekt i Sicra
2. apr. 2024 - 13:04

Sikkerhets-compliance handler om hvorvidt IT-løsningen følger gjeldende lovkrav og regler. Samtidig er det slik at om løsningene vi bruker er compliant, så er det ikke gitt at de er sikre.

Hackere leter kontinuerlig etter konkrete tekniske sårbarheter de kan utnytte for å få et fotfeste for videre penetrasjon. Punkt 1 i NSMs grunnprinsipper er å «Identifisere og kartlegge», og det er ofte her det svikter. Det betyr at man må starte med å forstå hvilken sårbarhetsflate man faktisk eksponerer mot omverden, og egen infrastrukturs egenskaper og svakheter.

Tør du å innrømme om du ikke har kontroll?

Man kan lett se for seg en situasjon hvor styret i en virksomhet ønsker å forstå virksomhetens cyber-risiko. Man engasjerer kanskje en rådgiver som går gjennom det hele med prosess-briller på, intervjuer IT-sjef, driftsleverandører, underleverandører og andre relevante aktører.

Om en slik tilnærming skal lykkes, forutsetter man at alle parter har full oversikt, eller synes det er greit å innrømme at de ikke har full kontroll. Det er en risikabel og utilstrekkelig tilnærming.

Mange har satt ut driftstjenester og forutsetter at driftsleverandøren har rimelig kontroll. Vår erfaring er at mye blir installert med standard innstillinger som vektlegger brukervennlighet og enkelhet høyere enn sikkerhet. Derfor kan det være en lurt å verifisere slike leveranser med for eksempel verktøy som CIS Controls, for å få et objektivt svar. Kvalifisert synsing er ikke nok. Objektive svar gjør det også enklere å prioritere tiltak.

Blue Screen of Death på en storskjerm i Newark International Airport i USA.
Les også

Sikkerhetseksperter: Vi lærer ingenting og endrer ingenting

Rekkefølge er viktig

I det daglige handler compliance mest av alt om å etterleve gode, dokumenterte prosesser og ha «ordning och reda». Stikkordene i forrige setning er dokumentasjon og prosesser. Rammeverk som ISO 9001, 27001, NIS2 og NSM-godkjent hendelseshåndterer, handler mest av alt om dokumentasjon og prosesser.

Innhenting av et korrekt situasjonsbilde er en forutsetning for å få et godt resultat av slikt arbeid. Det er kanskje det gamle systemet du hadde glemt å skru av strømmen på, som er inngangsporten trusselaktøren trenger?

Det er heller ikke hvem som helst som kan innhente informasjon om hvordan ting henger sammen, hvor trafikken går og hvorfor. Det krever erfaring, dybdekunnskap og en metodisk tilnærming. Ofte vil man også ha et behov for et samarbeid mellom forskjellige fagdisipliner for å få tilstrekkelige svar.

Norske virksomheter som skal risikovurdere og ivareta sikkerheten i leverandørkjeden sin, får fem råd av senioringeniør Erik Lervåg i Sopra Steria.
Les også

Fem råd for bedre leverandørsikkerhet

Mangler situasjonsforståelse

Vi heier på selskaper som setter sikkerhet og compliance på agendaen. Vi heier også på de som bistår selskaper i dette arbeidet, uansett om det er innføring eller revisjon av IT-løsninger. Samtidig er det jo slik at trussel-aktørene er totalt likegyldige til om du har dokumenterte og oppdaterte prosesser for hendelseshåndtering og er ISO-sertifisert. 

Vi har opplevd at kunder har gjennomført et godt compliance-arbeid, hyret inn eksterne revisorer og fått godkjent status. Likevel har de hatt et teknisk sikkerhetsnivå som lå så lavt at våre konsulenter valgte å trykke på den store røde knappen. Svikten ligger ofte i at det mangler en god teknisk situasjonsforståelse som compliance-arbeidet kan bygge på. Som så ofte ellers i vår verden, «Shit in = Shit out».

Derfor er det viktig å ha en praktisk tilnærming til compliance. Hva betyr hvert krav, i for eksempel NIS2, egentlig? Hva må gjøres i dine systemer og nettverk for at dette skal oppfylles? Hvilke ressurser i ditt selskap må inkluderes i prosessen? Det hjelper eksempelvis ikke å ha en prosess for hendelseshåndtering, hvis det ikke er et verktøy som viser hva som faktisk har skjedd i form av logger fra alle systemer. Derfor må alle compliance-prosesser forankres i teknisk virkelighet.

– Det burde ikke være trusselen om straff som motiverer norsk næringsliv til å ta nødvendige forhåndsregler på cybersikkerhetsområdet, skriver Sigrun Hansen Bock, sikkerhetsdirektør i Tietoevry og styreleder i Cyber Security Cluster.
Les også

At norske virksomheter ikke er forberedt, er en bekymring

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.