Ledelse

– Sikkerhet er en kontinuerlig prosess

Selv om norske bedrifter har blitt flinkere til å passe på at sensitiv informasjon ikke kommer på avveie, gjøres det fortsatt feil som kan få leie konsekvenser, hevder sikkerhetsekspert.

Bård Andersson
Publisert Sist oppdatert

Willy Domaas er produktsjef i Basefarm, som har spesialisert seg som driftsleverandør av virksomhetskritiske it-løsninger. Han er nøkkelmann i Basefarms tjeneste Vulnerability Scan, en tjeneste som tidligere har reddet Facebook, Google og Dropbox fra hacking.

Ifølge Domaas gjøres det fortsatt dumme feil ute i bedriftene, ofte som følge av at bedriftene ikke har fått foretatt en risikovurdering av hvilke data som det er viktigst å beskytte.

– Den vanligste feilen er at man prøver å beskytte alt, forteller han.

Uvitenhet

Det er en gylden kombinasjon av uvitenhet og et ønske om ikke å bruke for mye tid på datasikkerhet som er årsakene til at bedrifter ikke beskytter dataene sine godt nok, ifølge Domaas.

– Bedriftene er avhengige av å vite hvilke data som bør beskyttes. Når man har fått oversikt over disse er det også lettere å forstå at tiden man investerer i dette er vel anvendt, sier han.

Samtidig må bedrifter som outsourcer slike tjenester være klare over at selv om driften outsources, sitter du med eierskapet til risikoen selv.

– Mange velger å utarbeide en kravspesifikasjon på hva man skal sette ut og sikre, men ikke hvordan. Det gjelder å stille krav til sine leverandører, anbefaler han.

GDPR

EUs lovforanordning, GDPR, har kommet for å bli. Det er positivt på mange områder, mener sikkerhetseksperten. Han synes det er fint at det har blitt et økende fokus på sikkerhet og hvordan man skal sikre sine data.

– Men det er et delt ansvar. Med GDPR ser vi lettere at vi har data som det er viktig å beskytte.

De enkle feilene gjøres fortsatt, selv om sikkerhetsprodukter som brannmurer og antivirusprogrammer i dag er selvfølgeligheter.

Foto Willy Domaas er produktsjef i Basefarm, og jobber med sårbarhet hos bedrifter, med hensyn til sikkerhet. Foto: Basefarm.

– Men enkle ting som å ta backup syndes det fortsatt med. Mange bedrifter antar at deres skyleverandører automatisk tar backup for dem, men det gjør de ikke alltid. Slettes det for eksempel en fil som man har et desperat behov etter å finne igjen, er det ikke gjort i en håndvending å lokalisere denne igjen, forklarer han.

Det surfes også på åpne, offentlige nettverk. Der er man sårbare, og man bør unngå å blottlegge viktige data der.

– Når dette gjøres er det en følge av for dårlig opplæring av sluttbrukere. Med dårlig opplæring følger infisering av datamaskiner. Da gjelder det å ha tjenester som unngår dette. Når man oppdager et datainnbrudd har det nok vært der i uker eller måneder allerede. For å løse en slik situasjon er er du avhengig av gode verktøy for logghåndtering, utdyper han.

Alarmhåndtering

Selv om man har «state of the art» installert på maskinene sine, hjelper det lite dersom man ikke vet hva man skal gjøre når alarmen ringen – for det gjør den.

– Jeg har vært i kontakt med bedrifter som ikke har noen ansvarlig, eller vet hva de skal gjøre, når alarmen går. Du er jo avhengig av å vite hva du skal gjøre. Sikkerhet må være en kontinuerlig prosess, sier han.

Når det gjelder pålogginger og passord anbefaler Domaas en såkalt tofaktor-autentisering, der man tar innloggingen i to steg.

– Det er absolutt å anbefale når man skal logge seg på noe som har med internett å gjøre, anbefaler han.

Lederverktøy

Slik unngår du at bedriftssensitiv informasjon kommer på avveie:

1. Etablér god sikkerhetskultur og hold temaet varmt:

  • For alle typer sikkerhet inkludert informasjonssikkerhet, er det viktig med en veletablert sikkerhetskultur
  • Dette innebærer både å skape god forståelse blant medarbeidere rundt hva sikkerhet innebærer og hva som må beskyttes samt hvilke trusler og risikoer som de vil bli stilt overfor i sin daglige virksomhet. En slik forståelse er ikke noe man bare gjør én gang
  • Temaet må bli holdt varmt, og medarbeiderne må også bli oppdatert på utviklingen i sikkerhetsbildet
  • Risikoanalyse for å finne ut hvilke data som er viktigst
  • Sikkerhet er en kontinuerlig prosess
  • Du kan outsource driften, men ikke ditt eierskap til risiko

2. Enkelt å melde om hendelser:

  • Selv om kulturen er godt etablert, kan medarbeidere gjøre feil
  • Av feil kan ytterligere feil følge. Derfor er det viktig at medarbeidere har enkel og trygg mulighet til å melde fra om hendelser, selv om de skulle ha brudt regler eller gjort noe dumt
  • Et sted å henvende seg internt eller eksternt er derfor viktig for å kunne forhindre ytterligere skade

3. Få kontroll på printere og skannere:

  • Dokumenter som sendes til printer / multifunksjonsmaskin eller skannes kan være tilgjengelige også etter at jobben er gjort. Få kontroll på dette

4. God makulering av papir og elektronikk:

  • Ha gode makuleringsmaskinen lett tilgjengelig. De enkleste strimler opp dokumenter
  • Dersom noen er virkelig ivrige, kan de pusle sammen strimlene. Vurder å anskaffe makuleringsmaskin som hakker opp papiret nærmest til støv
  • Et alternativ er å inngå avtale med firma som henter og destruerer papir, og som også kan håndtere utdaterte lagringsmedier inkludert pc-er, mobiltelefoner, cd-er, dvd-er og minnepinner

5. Need to know - nice to know:

  • Etabler i bedriftskulturen at man bare forteller videre det folk trenger å vite, og ikke annet

6. Sørg for å ha godt avtaleverk:

  • Informasjon som kommer på avveie er ikke bare et tap i seg selv, det kan også føre til økonomiske tap i form av tap av rettigheter, mulighet til å registrere immaterielle verdier og lignende
  • Hvem er dessuten eiere av informasjonen? Bedriften? Den eksterne konsulenten som er leid inn på prosjektet? Medarbeidere?
  • Sørg for å ha et godt avtaleverk og fortløpende dokumentering av hemmelighold av bedriftshemmeligheter. Dersom noen stiller spørsmål om rettigheter er slik dokumentasjon viktig

7. Ikke bli lurt eller lur deg selv:

  • Sosial manipulering er en metode for å få tak i informasjon. Dersom noen er tilstrekkelig interesserte, kan de egle seg innpå deg på beste spion-manér og opparbeide et tillitsforhold
  • Kanskje kan skurkene tilegne seg personlig informasjon som de kan bruke målrettet svindelforsøk. Vi har lettere for å stole på ukjente eposter eller andre henvendelser når noen har personlig informasjon om oss

8. Bruk flerfaktor-autentisering:

  • Et passord skal være langt (gjerne 25 tegn eller mer). Du behøver ikke lengre å bytte det ofte, bare dersom det er grunn til å tro at det kan være avslørt
  • Svært mange it-tjenester har i dag mulighet tor flerfaktorautentisering. Det innebærer dobbelt / flere sett med autentisering. Brukernavn og passord i tillegg til personnummer og kode fra sikkerhetskort er nødvendig for å komme inn i vanlige nettbanker
  • DIFIs MinID bruker personnummer og kode som kommer på tekstmelding. Leverandører har løsninger for dette

9. Bruk gjerne forskjellige brukernavn og passord:

  • Ha flere brukernavn og lange passord. Da blir det vanskeligere å nå inn til deg
  • Det finnes også programvare som hjelper deg med å huske ulike brukernavn og passord for ulike steder, som 1Password og LastPass

10. Være obs på epost:

  • Fortsatt er epost en viktig kilde til at informasjon kommer på avveie. Det anbefales å innearbeide i kulturen at man setter opp vedleggsfiltrering og ikke åpner vedlegg som man ikke venter på
  • Ser noe mistenkelig ut og har dårlig språk, så kan det være fare på ferde. Sjekk ut avsender-adresse – er det en @noedukjenner.no eller @noemerkelig.com må du være på vakt

11. GDPR og logging:

  • GDPR har innført krav om at sikkerhetshendelser som involverer persondata må rapporteres innen tre dager fra hendelsen ble oppdaget. Oppdaget forutsetter at man faktisk har et opplegg for å oppdage
  • Basefarms SOC-tjeneste kan for eksempel motta logger fra datasystemer og analysere disse fortløpende - tusenvis av hendelser i sekundet
  • Ved avvik kan selskapet slå alarm. Det er en fordel å ha eksterne samarbeidspartnere på dette området ettersom informasjonstyveri også kan skje i regi av interne krefter

12. Ha katastrofeberedskap:

  • Dersom et innbrudd skulle skje i it-systemet eller fysisk, må skaden begrenses og analyseres (du vil ønske å vite om eller hva som er kommet på avveie).
  • For eksempel har Baserfarm et eget SIRT-team (Security Incident Response Team) som tar fatt dersom noe skjer

13. Har noen fått tak i brukernavn og passord?

  • Det skjer regelmessige, store innbrudd. Basefarm anbefaler at man regelmessig sjekker om man er blitt «pwned» som dette kalles på https://haveibeenpwned.com

Kilder: Basefarm / Willy Domaas

ledelse informasjonssikkerhet digitalisering it
Powered by Labrador CMS