Sikkerhets-compliance handler om hvorvidt IT-løsningen følger gjeldende lovkrav og regler. Samtidig er det slik at om løsningene vi bruker er compliant, så er det ikke gitt at de er sikre.
Hackere leter kontinuerlig etter konkrete tekniske sårbarheter de kan utnytte for å få et fotfeste for videre penetrasjon. Punkt 1 i NSMs grunnprinsipper er å «Identifisere og kartlegge», og det er ofte her det svikter. Det betyr at man må starte med å forstå hvilken sårbarhetsflate man faktisk eksponerer mot omverden, og egen infrastrukturs egenskaper og svakheter.
Tør du å innrømme om du ikke har kontroll?
Man kan lett se for seg en situasjon hvor styret i en virksomhet ønsker å forstå virksomhetens cyber-risiko. Man engasjerer kanskje en rådgiver som går gjennom det hele med prosess-briller på, intervjuer IT-sjef, driftsleverandører, underleverandører og andre relevante aktører.
Om en slik tilnærming skal lykkes, forutsetter man at alle parter har full oversikt, eller synes det er greit å innrømme at de ikke har full kontroll. Det er en risikabel og utilstrekkelig tilnærming.
Mange har satt ut driftstjenester og forutsetter at driftsleverandøren har rimelig kontroll. Vår erfaring er at mye blir installert med standard innstillinger som vektlegger brukervennlighet og enkelhet høyere enn sikkerhet. Derfor kan det være en lurt å verifisere slike leveranser med for eksempel verktøy som CIS Controls, for å få et objektivt svar. Kvalifisert synsing er ikke nok. Objektive svar gjør det også enklere å prioritere tiltak.
Sikkerhetseksperter: Vi lærer ingenting og endrer ingenting
Rekkefølge er viktig
I det daglige handler compliance mest av alt om å etterleve gode, dokumenterte prosesser og ha «ordning och reda». Stikkordene i forrige setning er dokumentasjon og prosesser. Rammeverk som ISO 9001, 27001, NIS2 og NSM-godkjent hendelseshåndterer, handler mest av alt om dokumentasjon og prosesser.
Innhenting av et korrekt situasjonsbilde er en forutsetning for å få et godt resultat av slikt arbeid. Det er kanskje det gamle systemet du hadde glemt å skru av strømmen på, som er inngangsporten trusselaktøren trenger?
Det er heller ikke hvem som helst som kan innhente informasjon om hvordan ting henger sammen, hvor trafikken går og hvorfor. Det krever erfaring, dybdekunnskap og en metodisk tilnærming. Ofte vil man også ha et behov for et samarbeid mellom forskjellige fagdisipliner for å få tilstrekkelige svar.
Fem råd for bedre leverandørsikkerhet
Mangler situasjonsforståelse
Vi heier på selskaper som setter sikkerhet og compliance på agendaen. Vi heier også på de som bistår selskaper i dette arbeidet, uansett om det er innføring eller revisjon av IT-løsninger. Samtidig er det jo slik at trussel-aktørene er totalt likegyldige til om du har dokumenterte og oppdaterte prosesser for hendelseshåndtering og er ISO-sertifisert.
Vi har opplevd at kunder har gjennomført et godt compliance-arbeid, hyret inn eksterne revisorer og fått godkjent status. Likevel har de hatt et teknisk sikkerhetsnivå som lå så lavt at våre konsulenter valgte å trykke på den store røde knappen. Svikten ligger ofte i at det mangler en god teknisk situasjonsforståelse som compliance-arbeidet kan bygge på. Som så ofte ellers i vår verden, «Shit in = Shit out».
Derfor er det viktig å ha en praktisk tilnærming til compliance. Hva betyr hvert krav, i for eksempel NIS2, egentlig? Hva må gjøres i dine systemer og nettverk for at dette skal oppfylles? Hvilke ressurser i ditt selskap må inkluderes i prosessen? Det hjelper eksempelvis ikke å ha en prosess for hendelseshåndtering, hvis det ikke er et verktøy som viser hva som faktisk har skjedd i form av logger fra alle systemer. Derfor må alle compliance-prosesser forankres i teknisk virkelighet.
At norske virksomheter ikke er forberedt, er en bekymring