Standardiserte nettverk på Cisco, HP eller Juniper har blitt normen – noe enhver organisasjon investerer i. Det er like vanlig som å bruke en brannmur, inntrengerdeteksjon og antivirus på endepunkter og servere. Alle disse er kommersielle produkter man enkelt kan skaffe tilpasset sitt behov. Med stadig mer og mer standardisert design, blir nettverk likere og likere hos de forskjellige bedriftene.
Standardiseringen gjør det lettere for skurker å finne veier inn og utnytte svakheter. Det gjentas til stadighet at truslene blir stadig mer sofistikert, men i mange tilfeller er sannheten faktisk at det blir lettere og lettere å for hackere å finne en vei inn.
Det er ingen boks lenger
Vi sier ofte at man må «tenke utenfor boksen», men for dagens hackere finnes det ingen boks. De ser kun muligheter. Ved å utnytte din standardiserte infrastruktur, kan de skaffe seg adgang til dine sensitive opplysninger og dokumenter, og kostnaden ved å feile er praktisk talt null for hackerne. De løper ingen risiko.
Dette krever stor sikkerhetsbevissthet hos virksomheter. Vet du for eksempel om du har blitt hacket? Ofte glemmer man å se hva som skjer på innsiden av systemene, fordi man har lagt så store investeringer i forebyggende teknologi i utkanten av infrastrukturen. Hvor mange mislykkede innloggingsforsøk følger du med på? Når flagges det som et sikkerhetsbrudd?
Mange organisasjoner innser ikke at de er interessante mål, eller at de kan brukes som en bakdør inn i organisasjoner de jobber med eller for. Vi ser stadig kunder som sitter fast i tankesettet om at «det skjer ikke meg», selv om våre undersøkelser viser at over 50 prosent av norske virksomheter har opplevd sikkerhetsbrudd.
En god sikkerhetsstrategi må ta hensyn til svært mange ulike elementer, og virksomheter har ofte for få ressurser til å gjøre en grundig jobb. Sikkerhet er mer enn teknologi. Det handler også om forståelse for viktigheten av sikkerhet og overholdelse av regelverk og ISO-standarder. En god sikkerhetsstrategi må ikke minst ta høyde for trussellandskapet, hackernes motivasjon og tankesett.
Hva kan du gjøre?
De som har god sikkerhet har tatt noen grep som flere burde innføre. Her er noen av hovedpunktene jeg har notert meg, ut fra det jeg erfarer gjennom mine mange samtaler med bedrifter både i Norge og Sverige:
- Virksomhetens sikkerhetsbehov må likestilles med forretningsbehov. Sikkerheten skal aldri gå på bekostning av disse. Dersom sikkerheten svikter, risikerer du stor skade på bedriften.
- Sikkerhetssjefen må være en del av ledelsen. Det sørger for at informasjonssikkerhet blir en del av beslutningsgrunnlaget, og blir et hjelpemiddel for virksomheten.
- Gjør en ny analyse av deres risikobilde. Har dere infrastruktur med tilstrekkelig, mulighet for å detektere inntrengere, har dere planer for å håndtere hendelser? Det som har fungert de siste årene, er ikke nødvendigvis relevant lenger – trusselbildet endrer seg raskt. Det må reflekteres både i sikkerhetsstrategi og -teknologi.