Sofie Nystrøm, sjefen for Nasjonal sikkerhetsmyndighet (NSM) la forrige uke frem rapporten «Nasjonalt digitalt risikobilde 2021». NSM rapporterer der om tre ganger flere alvorlige cyberhendelser i fjor enn året før.

Geir Bækholt
Geir Bækholt (Foto: Martin Aalby Svalesen)

I arbeidet vårt med kartlegginger rundt om i norske virksomheter ser vi noen mønstre som går igjen mange steder. For mange virksomheter er det god mulighet for forbedring med en relativt liten innsats.

Cathrine Vånge Singstad
Cathrine Vånge Singstad (Foto: Hans Kristian Thorbjoernsen)

Mange av de svake punktene vi ser, samsvarer med de oppdagelsene NSM rapporterer om fra sitt arbeid med inntrengingstester i virksomheter rundt i landet. Her er noe av det som går igjen:

  • Oversikt: Virksomhetene har ikke oversikt over hva de har av utstyr og systemer. Ta frem et regneark, begynn å liste opp det virksomheten har. Tenk også på hvordan listen skal holdes oppdatert, og av hvem.
  • Eierskap til utstyr: Nesten alle har en blanding av privateid utstyr og utstyr eid av virksomheten. For mange løses flere utfordringer ved at virksomheten eier utstyret og kan ha nødvendig oversikt og kontroll over hva som brukes, og retningslinjer for hvordan.
  • Eierskap til systemer: På samme vis foregår det også bevisst og ubevisst innblanding av private systemer i virksomhetens arbeid, som bruk av for eksempel Icloud for sikkerhetskopiering eller Dropbox til synkronisering mellom maskiner. Dette gjør det vanskelig for virksomheten å ha orden på hvilke systemer man benytter og hvor informasjon befinner seg. I de tilfellene hvor det behandles personopplysninger, kan dette være ekstra problematisk.
  • Passordsikkerhet: Mange har ikke etablert rutiner for sterke passord og tofaktorautentisering. NSMs erfaringer viser at svake passord fremdeles ofte er den letteste veien inn i virksomheters systemer. De rapporterer om utstrakte funn av korte passord som er lette å gjette, eller som lar seg knekke med «brute force-angrep». Blant eksemplene er passord som «Sommer2020» og «September2020». Se NSMs råd og anbefalinger for passord, og oppdater rutinene deres.
  • Nettverkssikkerhet: NSM utfører kontrollerte, forhåndsbestilte angrep, såkalte inntrengningstester, for å teste motstandskraften i virksomheter og deres systemer. Disse testene har avdekket at mange har svak nettverkssikkerhet. Mange tenker ikke på at nettverket er virksomhetens port til resten av verden, og hvor viktig det er at den er sikret og overvåket på riktig nivå.
  • Oversikt over data: Vi ser ofte at virksomhetene ikke har oversikt over hvilke data de sitter på, dataenes verdi og hvilke behov som ligger bak. Ofte mangler også nedskrevne rutiner og dokumentasjon for å sørge for tilstrekkelig sikkerhet og kontroll. I mange tilfeller er det også lovpålagt, som for eksempel behandlingsprotokoll (oversikt over behandling av personopplysninger). Benytt gjerne Datatilsynets egen mal.
  • Roller og ansvar: Flere mangler definerte roller og ansvar for informasjonssikkerhet og personvern i virksomheten. Dette trenger ikke være egne stillinger, men det er viktig at noen har ansvaret for å ivareta disse områdene.

I tillegg ser vi ofte at informasjonssikkerhet og personvern i for liten, eller ingen grad, er temaer som diskuteres og behandles i styret og i ledelsen. Det gjelder også etatsledelse i statlige virksomheter. Det er sentralt å få dette inn på agendaen også i styrerommet, for å kunne ivareta ansvarlighet, forstå eget risikobilde og sikre strategiske og økonomiske behov.

På den positive siden trenger det ikke å være komplisert å få oversikt og kontroll. Det viktigste er at man kommer i gang, enten på egen hånd eller med hjelp utenfra.

… bevisst og ubevisst innblanding av private systemer i virksomhetens arbeid, som bruk av Icloud for sikkerhetskopiering eller Dropbox til synkronisering

(Vilkår)Copyright Dagens Næringsliv AS og/eller våre leverandører. Vi vil gjerne at du deler våre saker ved bruk av lenke, som leder direkte til våre sider. Kopiering eller annen form for bruk av hele eller deler av innholdet, kan kun skje etter skriftlig tillatelse eller som tillatt ved lov. For ytterligere vilkår se her.