Hvornår blev I sidst hacket?

At man kan blive hacket - dette måtte blandt andet Politiet sande, da særlige registre blev hacket og Patent- og Varemærkestyrelsen, da de fik stjålet brugeroplysninger. Og også Erhvervs- og Vækstministeriet var udsat for et cyberangreb hvor det blandt andet lykkedes angriberen at få adgang til centrale servere og net. Ingen af disse organisationer ignorerer it-sikkerhed, men hackere fandt alligevel en vej ind.

Det er nok ikke usandsynligt, at det kom som en overraskelse, da datasikkerheden blev brudt. Eksemplerne beviser, at selv om man har en velfungerende firewall, opdateret antivirus og måske andre præventive forsvar, så kan man ikke være sikker på, at sikkerheden er på plads. Hvis man tror det, så anskuer man simpelthen it-sikkerhed på en gammeldags og utilstrækkelig måde. Det er et faktum, at hvis du som organisation er digitalt forbundet til resten af verden, er det lige så sandsynligt, at du vil blive udsat for cyberkrimininalitet, som at dine medarbejdere ind imellem bliver syge. 

Sørg for at sikre informationerne

IT-sikkerhed handler nemlig ikke længere om at undgå at blive hacket. For det er umuligt, med mindre du kobler alt fra og undgår enhver forbindelse til nettet. I dag handler sikkerhed i stedet om informationssikkerhed. Med andre ord: Vel vidende at du bliver hacket – hvordan beskytter du så dine data?

Mit bud er, at organisationer skal se på informationssikkerhed som: Politikker, procedurer og efterretninger. Dette handler om at se bort fra alle de tekniske it-sikkerhedsforanstaltninger for en tid, og i stedet begynde at svare på for eksempel følgende spørgsmål:

·      Hvad er reglerne for, hvordan vi klassificerer vores data?

·      Hvilke sikkerhedsstandarder vedtager vi, for at beskytte vores data?

·      Afgrænser vi adgangen til de væsentlige/følsomme oplysninger?

·      Ved vi hvordan vi lukker adgangen til følsomme data hurtigt og effektivt?

Kontrol med data

Jeg mener det er essentielt, at organisationer bliver bedre til at kontrollere data, end de er i dag. Samtidigt med at de har en realistisk tilgang til, hvordan medarbejderne passer deres job og lever deres liv. Men dette er ikke let. Især ikke i de omskiftelige arbejdsmiljøer, som de fleste af os er engagerede i. Mange steder er effektivitet og målrettethed jo af høj prioritet. Imidlertid harmonerer behovet for at flekse rundt mellem arbejdsliv og privatliv ikke med best practise it-sikkerhed. Det repræsenterer en udfordring, men det er ikke umuligt. For at tingene går op i en højere enhed, må organisationens ledelse forstå og respektere den virkelighed, arbejdspladsen og dens medarbejderne befinder sig i. En virkelighed, hvor hackere vil gøre sig meget umage for at stjæle oplysninger, og hvor medarbejdere er den nemmeste vinkel at angribe fra.

Her er problemstillingen i en nøddeskal: Medarbejdere har behov for, at have adgang til applikationer og informationer, som er nødvendige for at løse deres opgaver. De har også brug for at tilgå diverse digitale platforme, for at passe deres privatliv. Mange af de platforme som bruges privat bliver også vigtigere og vigtigere i arbejdsmæssige sammenhænge. For de yngre generationer er det en forudsætning for, at de kan udføre deres arbejde effektivt.  Nogle tilgår private platforme fra arbejdspladsens enheder. Andre tilgår arbejdspladsens systemer fra deres private enheder. Mange gør begge dele – eller har alt samlet på én og samme enhed. Alle enheder og applikationer, som ikke er godkendt og løbende kontrolleres af organisationens it-sikkerhedsansvarlige, må dog betragtes som usikre!

Organisationens opgave er derfor, at sikre, at al adgang til følsomme organisationsdata og systemer bliver nøje afvejet. Adgang bør kun kunne ske fra godkendte enheder, som løbende kontrolleres af organisationen. Det er ganske enkelt uansvarligt, at give en medarbejder adgang til patientoplysninger, fra den telefon, vedkommende går på Facebook fra.

Dataklassifikation og debat om adgang

For at være i stand til at udøve datakontrol, må organisationen have en løbende risikovurdering af dens data ud fra deres følsomhed – er der tale om personfølsomme eller forretningskritiske data som er sensitive for organisationen? Data må løbende klassificeres i kategorier, ud fra bestemte kriterier om hvor problematisk det er, hvis de bliver stjålet eller lækket.  Dernæst må der tages stilling til, hvem der må tilgå dem og fra hvilke enheder. Hvornår har medarbejdere behov for adgang til e-mails? Og hvad er konsekvensen, hvis en enhed bliver kompromitteret? Hvornår skal man have adgang til borgerinformationer. Og hvad kan der ske, hvis ondsindede får adgang til disse informationer?

Det er op til den enkelte organisation at træffe disse valg.

Så snart data og informationer er blevet klassificeret, er det tid at bestemme, hvordan de forskellige informationer skal kunne tilgås.

Et eksempel på top-level definitioner kunne være:

à Forretningskritisk information: Ingen adgang fra private eller mobile  enheder

à Ikke offentligt tilgængelig information: Ingen adgang fra private enheder

à Offentlig tilgængelig information: Adgang fra private enheder.

Man arbejder altså ud fra et need-to-know basis. Men det kræver, at man i organisationen kender sin infrastruktur. At man har overblik over alle applikationer. Og kender sikkerhedsniveauet på de forskellige applikationer og enheder. Hvilke applikationer skal eventuelt fjernes fra systemet, eller opdateres straks? Her er det vigtigt med præcise efterretninger om software sårbarheder, for at kunne imødegå truslen korrekt. Hvis du kender en given applikations placering og adgangstilladelser i dit system, og du får besked, når denne applikation bliver sårbar og derfor kan udnyttes af hackere, så kan du reagere hurtigt og præcist, og imødegå truslen.

Dataklasifikation hænger sammen med risiko-scenarier

Secunia’s seneste opgørelse over sårbare applikationer viser over 13.000 nye sårbarheder i applikationer sidste år - og tallet bliver højere i år! Det betyder heldigvis ikke, at alle 13.000 sårbarheder har en betydning for din organisation. Det er jo lige meget for dig, at en applikation er usikker, hvis du ikke har den i dit system, eller kan give adgang til personfølsom information. Pointen er: VED DU om du bruger sårbare applikationer til personfølsom information? Og kender du sikkerhedsniveauet på de enkelte applikationer? Det er her arbejdet med dataklassifikation og -kontrol ligger.

 Der er ingen tvivl om, at hvis flere brugte mere tid på at gennemgå risiko-scenarier, med dataklassifikation for øje, så ville der måske være færre situationer, hvor fremmede fik adgang til følsomme data, som i sagen med lækkede CPR-numre for nylig.

Denne sag, samt mange andre sager, har påvist hvilke elementer, alle organisationer må bokse med, når de tackler deres it-sikkerhed:

·      Udokumenterede processer, som gør det praktisk umuligt at vedligeholde og rapportere skiftende sikkerhedsniveauer.

·      Konkurrerende prioriteringer, som fører til forsinkelser for bedømmelse og opdatering af sikkerhedskritiske applikationer.

·      Fragmenteret infrastruktur, som negativt påvirker labyrinten af teknologier og systemer, der er forbundne på uholdbare (og nogle gange mystiske) måder.

·      Mangel på sikkerhedstræning og awareness blandt brugere, der i god tro kommer til at åbne for adgang til systemer og netværk.

·      Uhensigtsmæssig kommunikation (som Claus påpeger i sin overlevering af stafetten) og koordinering, der fører til misforståelser og handlinger, der ikke håndteres i tide.

Som det fremgår af ovenstående er IT sikkerhed ikke kun et spørgsmål om teknik, men i høj grad om politiker og processer Der er tale om forretningskritiske processer og det kræver i høj grad ledelsesinvolvering. Konsekvensen er, at vi nu om dage er i en situation, hvor ansvaret for it-sikkerheden skal højere op på ledelsesagendaen.

Eller hvad?

Stafetten går til

Jeg vil gerne sende stafetten videre til Lars Neupart, som er stifter og direktør i Neupart A/S, og som har årelang erfaring med strategisk it-sikkerhed. 

"Hvorfor i alverden skal ledelsen have ansvar for it-sikkerheden?"