– Et sikkert IT-system er ikke noe poeng i seg selv. Det er informasjonen som må sikres
Seniorrådgiver Carl Christian Stikbakke i Atea ser stadig eksempler på at informasjonssikkerheten i norske bedrifter er langt dårligere enn bedriftene tror selv.
Stikbakke har bakgrunn som sjef for Cyberforsvarets IKT-tjenester, og har lang erfaring med å jobbe med sikring av informasjon i IT-systemer. Han er ofte med som seniorressurs når Atea gjennomfører modenhetsanalyser for å finne ut hvor bedriftene står når det gjelder informasjonssikkerhet.
– Mange får seg en overraskelse når det viser seg at de mangler den oversikten de selv tror de har, sier den erfarne sikkerhetseksperten.
En modenhetsanalyse er en grundig gjennomgang og analyse av IT-sikkerheten i en bedrift, sett fra et overordnet og helhetlig perspektiv. Analysene er basert på Nasjonal Sikkerhetsmyndighets (NSMs) grunnprinsipper, og gjennomføres som workshops ute hos kundene.
Vil du vite mer om vår modenhetsanalyse? Ta kontakt for en uforpliktende prat
Ledelse og styrer begynner å forstå viktigheten av informasjonssikkerhet
NSM skriver i sin rapport «Nasjonalt digitalt risikobilde 2021» at digital sikkerhet er et lederansvar som i større grad må prioriteres av eiere og av styret, og at ledelsen bør måles på sikkerhetsarbeidet i virksomheten. Sikkerhetsmyndigheten sier imidlertid at selv om det er økt bevissthet om digital risiko i norske virksomheter, så blir ofte ikke dette omsatt til handling.
Også Gartner har observert at styrer blir stadig mer opptatt av sikkerhet og risikostyring, men analyseselskapet mener det ofte ikke er samsvar mellom det styrene trenger å vite og hva virksomhetenes sikkerhetsledelse klarer å formidle til styrene. Det er heldigvis flere tegn til at situasjonen holder på å endre seg.
– For å få til god informasjonssikkerhet og gjøre virksomheten i stand til å håndtere sikkerhetshendelser på en god måte, må sikkerhetsarbeidet forankres helt opp i toppledelsen i selskapet, sier Stikbakke.
Må skaffe oversikt over hvilken informasjon som er virksomhetskritisk
Som nevnt mangler mange det nødvendige overblikket over sikkerhetstiltakene i virksomheten. For eksempel oppdager Stikbakke og hans kollegaer ofte at mange ikke har aktivert alle sikkerhetsfunksjonene de kanskje allerede har i løsningene sine. Eller de er usikre på hva som er gjort.
– Bare noe så elementært som å påse at alle servere og klienter er patchet og oppgradert til nyeste versjoner. Jeg har opplevd at noen hevder dette er i orden, men så finner vi en server som ikke har vært patchet siden 2016. Dette skyldes manglende oversikt.
Informasjonssikkerhet handler imidlertid ikke bare om å «kaste penger på problemet» og kjøpe brannmurer, løsninger for endepunktsikkerhet og annen teknologi.
– Vi ser at veldig mange er på vei over i skyen, og mange tenker at de da kan kjøpe seg fri for mye – men ansvaret for sikkerheten og bedriftens informasjon ligger fortsatt hos deg. Et sikkert IT-system er ikke noe poeng i seg selv. Dette er bare verktøy du kan bruke for å sikre informasjon, det er informasjonen som er viktig – ikke IT-systemene, sier Stikbakke.
Mange får seg en overraskelse
Når Atea dykker ned i detaljene og snakker med ekspertene, viser det seg at mange i fagmiljøene er klar over at det kan være mangler – mens ledelsen kanskje tror at alt er i skjønneste orden.
– Bedriften kan ofte ha gode styringssystemer, HMS-systemer og mye annet – men når de i forbindelse med modenhetsanalysene får spørsmål om de ulike sikkerhetstiltakene som er gjort, blir gjerne blikket flakkende.
Digital utpressing har blitt et kjempeproblem, og noe som har rammet svært mange bedrifter også i Norge. Dessverre tror mange at deres bedrift ikke er interessant nok, eller stor nok, til å bli utsatt for denne typen angrep.
– Sannheten er at ingen må tro at de går klar av en slik risiko. For angriperne handler det om penger, og få bedrifter er så små at de ikke klarer å hoste opp noen hundre tusen i løsepenger for å få tilbake viktig informasjon. I hvert fall ikke når alternativet i mange tilfeller er å legge ned driften, advarer Stikbakke.
Han sier at god overvåking av logger og avvik er avgjørende, og at det ikke holder å manuelt kikke på logger en gang iblant. Ifølge NSMs grunnprinsipper, er det viktig med kontinuerlig sikkerhetsovervåking:
«Innsamling og analyse av sikkerhetsrelevant data kan bidra til å oppdage sikkerhetshendelser tidlig, vurdere skadeomfang og hendelsens karakter og forstå hendelsesforløpet. Tilgang på tilstrekkelig data kan være avgjørende for at virksomheten skal kunne gjenopprette normaltilstand og hindre gjentakelse av en hendelse, og det vil være viktig i forbindelse med etterforskning.»
– Det å vite hvilke trusler som finnes til enhver tid, og kunne overvåke det komplekse trusselbildet og sårbarhetene, det er det veldig få virksomheter som har kompetanse eller kapasitet til å gjøre selv, sier Stikbakke.
Vel så viktig som overvåking er det å vite hvordan man skal håndtere hendelser. Hvor raskt kan bedriften komme på lufta igjen? Risikerer bedriften å ikke klare å få betalt ut lønn til de ansatte? Og hva skjer hvis du ikke lenger får fakturert kundene, eller kanskje hele kunderegisteret er borte?
Ønsker du å vite mer om hvordan en modenhetsanalyse kan gi deg svar på om virksomheten din er godt nok rustet mot et cyberangrep?
Ta kontakt for en uforpliktende prat