Infrastruktur

Eksperter: Slik skaper vi en sikrere offentlig sektor

Sikkerhetsskandalen i Transportstyrelsen i Sverige har gitt myndigheter og kommuner i Norden en oppvekker. Likevel mangler myndighetene kunnskap om hvordan vi tetter sikkerhetshullene. Her forteller to av Nordens fremste sikkerhetseksperter hvordan IT-sikkerheten kan bli bedre.

Digitaliseringen er her – med et hav av nye muligheter og tjenester. Men når utviklingen prioriteres havner IT-sikkerheten i skyggen, mener ekspertene i dag. Flere undersøkelser viser at det innenfor offentlig sektor finnes store mangler i sikkerheten. I en undersøkelse gjort av Svensk IT-Säkerhetsindex får svenske kommuner bunnkarakter. 37 prosent av de spurte IT-sjefene i børsnoterte selskaper, kommuner og myndigheter fortalte at tester av IT-sikkerheten kun ble gjort en sjelden gang. 10 prosent oppga at det aldri hadde blitt gjort. Dette er tall som gir et godt bilde av beredskapen i offentlig sektor, ifølge NTT Security.

Det er på tide å ta et nytt grep om sikkerheten i offentlig sektor, mener Anne-Marie Eklund Löwinder, sikkerhetssjef for Internetstiftelsen i Sverige, IIS.

– Det politiske målet om at myndighetene skal digitaliseres er fint, men det er lett å la seg rive med av alle digitale løsninger og innovasjoner. Da gjelder det å styrke IT-sikkerheten samtidig som digitaliseringen dras i gang, sier hun.

Myndighetene må også være klar over trusselbildet der ute, og hvilke konsekvenser et eventuelt angrep kan få, sier hun. Det er viktig å kunne gjøre en riktig vurdering av hvorvidt det er verdt å ta en risiko eller ikke.

– I risikoanalysen må du alltid vurdere kostnad og effektivitet. Det er kanskje ikke optimalt å bruke penger på beskyttelse mot noe som muligens inntreffer én gang hvert tiende år. Da må du vurdere hvert enkelt tilfelle, sier Anne-Marie Eklund Löwinder.

Noe som er helt sikkert er at mange myndigheter og kommuner ligger under nivået for hva som er minstekravet innen IT-sikkerhet. Disse manglene ligger først og fremst på ledernivå, sier Anne-Marie Eklund Löwinder.

– I takt med digitaliseringen av den offentlige forvaltningen lar ledelsen seg friste av en mer fleksibel IT til en lavere kostnad enn tidligere. Løsningen har blitt outsourcing. Tidspress og funksjon går foran sikkerhet. Forståelsen for hva god informasjonssikkerhet betyr er oftest altfor liten og arbeidet blir ikke prioritert.

Hva tror du blir det neste store sikkerhetsspørsmålet?

– Internet of Things, IoT, blir neste store sikkerhetsspørsmål. Allerede i dag finner vi trådløs kommunikasjonsteknologi i alt fra kjøleskap og TV-er hjemme til samfunnskritiske funksjoner som broer, medisinsk utstyr og transportmidler. Med et stort antall elektronisk utstyr savnes det i dag et grunnleggende krav om sikkerhet, og de sikkerhetshullene som blir oppdaget er ofte altfor enkel å komme til, sier hun.

– Det vi må huske på er at alt dette utstyret er datamaskiner. Angriperne har jo bare utfordringen med å finne et eneste hull i hele den komplekse tingen, mens vi på forsvarssiden må tette hele overflaten. Med den innsikten må vi begynne å jobbe målrettet med samfunnskritiske sikkerhetsspørsmål hos myndigheter og i kommunene.

Sikkerhet fra start

Henrik Davidsson, nordisk salgsdirektør på NTT Security, er enig med Anne-Marie Eklund Lövinder om at sikkerheten må inkluderes i kravene helt fra starten. Til tross for at bare 42 prosent av IT-sikkerhetssjefene i selskapets undersøkelse gjennomførte tester regelmessig, anså 88 prosent av dem at deres virksomhet har veldig god eller god beredskap for IT-relaterte trusler.

– At så mange som ni av ti anser at deres beredskap er god til tross for manglende regelbundne sikkerhetstester er urovekkende. Undersøkelser viser at mange IT-sjefer ikke har et klart bilde av hvordan deres beskyttelse mot inntrenging ser ut, sier Henrik Davidsson.

Henrik Davidsson sier at om vi inkluderer IT-sikkerhet i utviklingsarbeidet fra start og har rutiner for sikkerhetstester vil risikoen for inntrengning og informasjonslekkasje minske betraktelig.

– Vi snakker om Security by design, eller DevOpSec, det vil si at sikkerheten skal være på plass allerede fra starten når du utvikler en applikasjon eller innfører et nytt system. Det innebærer at du har et helhetsperspektiv og inkluderer det i sikkerheten i utviklingsprosessen sånn at den ikke kan settes til side.

I sikkerhetstestene gjelder det å lenke de berørte systemene til sårbarhet og risiko for å oppdage hulrom der det kan oppstå hendelser. Gjennom testene får du informasjon om risikoområdene og hvilke handlinger som kreves for å øke sikkerheten. Dette er en lav kostnad i forhold til hva en inntrenging kan koste i form av et skadet rykte samt tap av forretningshemmeligheter og kundeinformasjon. Derfor er det også viktig å ikke stresse fram løsninger, men å la utviklingen ta den tiden som trengs.

– Ofte handler det om oppdrag som skal gjennomføres på begrenset tid med begrenset budsjett. Men når du skaper nye funksjoner følger det også med risikoer du ikke ser. På den måten bygger vi opp risikogjeld over tid. Om vi derimot har med risikotenkingen fra starten, havner vi ikke der.

Kan du gi tips til nyttige verktøy som kan forhindre angrep?

– En interessant teknikk er nettverksanomalier som leter etter avvik i både nettverkstrafikk og brukeratferd gjennom å skape digitale illusjoner i infrastrukturen. Med det menes det at du legger ut et antall falske filer som direkte setter i gang en alarm om noe uforutsett skulle skje. Disse typene teknologier er ikke de billigste, men utrolig effektive for å finne inntrengere.

Guide: Datasikkerhet og datainnbrudd

Hvor stor er risikoen for å rammes av angrep

– Ettersom informasjonen innen offentlig sektor skal være tilgjengelig for mange mennesker øker også risikoen for å rammes av inntrenging, ransomware eller skadelige koder. Den risikoen er ekstremt stor i dag fordi angrepsmetodene er så intrikate og vanskelige å spore. Derfor skal du ikke tenke «om» noe skjer, men heller «når» det skjer, og ha en beredskap for det.

Anne-Marie Eklund Löwinders råd for å øke IT-sikkerheten:

  • Alle viktige funksjoner i samfunnet skal ha en grunnleggende beskyttelse. Det vil si at vi bestemmer et nivå vi ikke vil gå under.
  • Ha strenge regler for jurisdiksjon – det vil si at medarbeidere ikke har flere tillatelser enn nødvendig for å gjøre sin jobb. Segmenter nettverk – skill dem fra hverandre allerede i infrastrukturen for de ulike systemene sånn at de ikke er åpne for hverandre. Sørg for å holde alt oppdatert og sikkerhetskopiert til enhver tid. Hold sikkerhetskopien fraskilt fra nettverket.
  • Jobb systematisk med sikkerhetsrisikoer og ha en prosess for å rapportere sikkerhetsbrister eller hendelser koblet til informasjonshåndteringen.
  • Overvåk og hold oversikt over hva som skjer i verden. Vær oppdatert. Diskuter aktuelle sikkerhetsspørsmål innen organisasjonen på et tidlig tidspunkt.
  • La ikke kostnadseffektivitet være et hovedmål, da er man på feil spor. Ha et helhetsperspektiv på sikkerhet og kvalitet allerede i planleggingsstadiet.

Henrik Davidssons tips for å minske risikoene for IT-inntrenging:

  • Det er umulig å beskytte seg helt fra alle tenkelige trusler, men det går an å vurdere og håndtere risikoer. Ha derfor en handlingsplan for trusselbilder og risikohåndtering.
  • Gjennomfør tester og sammenstill resultater i form av risikoer og tenkbare konsekvenser. Gjør deretter tiltak for å øke sikkerheten. Start med å fikse de mest kritiske og omfattende sikkerhetsrisikoene.
  • La en utenforstående ekspert utføre testene. Resultatet skal kunne sammenlignes med liknende organisasjoner. Dette er for å skape et tydelig bilde av ditt egne sikkerhetsnivå.
  • Vurder å jobbe med en administrert tjenesteleverandør som passer din virksomhet. Dette for å komplettere med ressurser og kompetanse, da det ofte er veldig spesifikk kompetanse som kreves.

Last ned veiledn til bedre datasikkerhet

Les mer om Dustins kompetanse innen offentlig sektor

Sist oppdatert: 1 juli 2022

Tagger