Manglet ressurser til vaktordningen – løsningen ble skreddersydd MDR-tjeneste med 24/7 beredskap
– Skuldrene våre har tidligere vært nokså høye i avdelingen, men nå er de på et mer normalt nivå. Det er et stort ansvar å skulle sikre alle de viktige tjenestene kommunen leverer til innbyggerne, sier Espen Skarvang i Aurskog-Høland Kommune.
Skarvang har det operative ansvaret for IT-sikkerheten i kommunen i Indre Akershus med drøye 17.000 innbyggere. Han forteller at det har vært utfordrende i en relativt liten kommune med begrenset ressurser.
– Vi er fire ansatte på IT-drift i kommunen i tillegg til meg, som jobber mest administrativt. Bare det å skulle ha en minimumsbemanning med bakvakt for å håndtere kritiske IT-hendelser har vært for dyrt for oss, forteller Skarvang.
I tillegg til å ha begrenset med ressurser, følte avdelingen at de manglet kontroll over blant annet brannmurlogger. De ønsket å lagre disse lenger tilbake i tid i tråd med anbefalinger fra Nasjonal Sikkerhetsmyndighet (NSM).
– Vi har fått full backing av kommuneledelsen hele veien, som har vært helt avgjørende. Vi valgte å gå ut i markedet for å outsource dette, og har vært i dialog med Netsecurity i ett års tid for å komme frem til en god avtale tilpasset våre behov.
Skreddersydd preventiv tjeneste med overvåkning og beredskap 24/7
Skarvang forteller at situasjonen tidligere var en stor belastning for kommunen. Løsningen ble derfor en skreddersydd Managed Detection and Response-tjeneste (MDR), som kombinerer tekniske løsninger med menneskelig ekspertise.
– Vi landet på en automatisert løsning basert på maskinlæring og kunstig intelligens for håndtering av logger og sikkerhetshendelser 24/7, hvor kritiske hendelser blir tatt hånd om av et Incident Respons Team som alltid er på vakt. Tjenesten foretar analyser av logger som innhentes i nettverket og fra klienter og servere.
Dermed er det alltid noen i beredskap når det oppstår hendelser.
– Uansett når på døgnet en hendelse oppstår, så har vi nå noen som er på saken umiddelbart. Når hendelsen oppstår, får vi også isolert systemer og kan stenge ned så fort det oppdages.
Tjenesten er i utgangspunktet helautomatisert og sjekker trusler opp mot databaser med tidligere kjente hendelser sett andre steder i verden. Det er kun et fåtall antall hendelser som krever at den menneskelige faktoren kommer inn for å begrense eventuelle skader. Resten løses gjennom automasjon og predefinerte playbooks.
– Heldigvis har vi ikke hatt mange kritiske hendelser siden vi fikk tjenesten på plass, forteller en lettet Skarvang.
Oppfyller NSMs anbefalinger for logging
Kjellaug Johansen, som er leder for IKT i kommunen, forteller at det også var viktig for dem å tilpasse seg NSMs anbefalinger for lagring av logger.
– For å kunne analysere datalogger tilbake i tid, og oppfylle NSMs anbefalinger for logging, har vi inkludert Data Lake som ivaretar våre logger på sikker plassering. Dette gjør det lettere å analysere data tilbake i tid og enklere i en eventuell etterforskning av en hendelse.
Johansen forteller at de gikk noen runder internt for å finne den riktige balansen mellom pris og graden av sikkerhetsnivå.
– Vi har diskutert mye fram og tilbake om hvor mye vi skal sikre oss i alle bauer og kanter, og landet på en løsning vi mener gir best kost-nytte for vårt behov.
– Vurderingene handler blant annet om vår kommunestørrelse, og at vi ikke er store nok til å ha spisskompetanse på alt. Samtidig er vi en del av linjen ut til innbyggerne, og har et ansvar for å sikre verdifulle tjenester, som helsetjenester, som menneskene i kommunen sårt trenger, legger hun til.
Smidig og smertefri leveranse
Lars Jørgen Andersen i Netsecurity, som har kundeansvaret for Aurskog-Høland kommune, forteller at tjenesten inkluderer en portal der hele IT-teamet i kommunen har tilgang.
– Alt er oppe og går hos kunden nå, og kunden har full oversikt i sin kundeportal. Portalen inneholder et dashboard der avdelingen får full oversikt over eventuelle hendelser, trusler og teknikaliteter, og hvordan disse er håndtert.
Han forteller at en nyttig funksjon i portalen er muligheten for å hente ut rapporter.
– Det er enkelt for kunden og ta ut rapporter og vise ledelsen konkret hva de får ut av investeringen. Det bekrefter hva som faktisk ligger bak, og at det er mer enn bare en utgift i budsjettet.
Han forteller at Netsecurity hadde sitt første møte med kommunen for over et år siden, og når kommunen først konkluderte gikk leveransen raskt og smertefritt.
– Etter det første møtet fikk vi på plass budsjettoverslag og kostnadsbildet tilpasset deres behov. I april i år konkluderte de, og etter det tok det bare rundt tre uker å fullføre leveransen.
Skarvang forteller at leveransen ble gjennomført på en veldig god måte.
– Det er viktig for oss å ha leverandører vi har tillit til, og jeg må si vi føler oss veldig godt ivaretatt av Netsecurity. I de tilfellene der vi har hatt spørsmål, har vi fått raske og gode avklaringer. Vi har fått på plass statusmøter der vi går gjennom hendelser, noe som har vært veldig nyttig. Det har også vært lett for oss å komme med innspill, og de har vært flinke til å finne ut av ting sammen med oss. Det har åpnet helt nye muligheter for oss, slår han fast.
Andersen forteller at de har opparbeidet seg en solid kundemasse i kommunemarkedet.
– Det har vært fryktelig stor etterspørsel fra kommunemarkedet, noe vi synes er veldig spennende. Det gjør det lettere for oss å kartlegge deres behov, og skreddersy løsninger deretter. Løsningen til Aurskog-Høland kommune har blitt kjempegod, og frigjør ressurser for dem, avslutter han.
Webinar: Managed Detection & Response
Kan man beskytte seg mot organisert datakriminalitet med begrensede ressurser?
Se opptak av webinaret »Managed Detection & Response
MDR-tjenesten overvåker 24 timer i døgnet, 365 dager i året. Alltid på vakt for å gjøre bedriften din sikrere.
Finn ut mer »