IT-sikkerhetstruslene blir enda flere når cyberkriminelle profesjonaliseres. I dag er ikke spørsmålet om din bedrift kommer til å rammes, men når. Samtidig har tilgangen til IT-sikkerheten blitt demokratisert av billige og lett tilgjengelige skytjenester. Vi guider deg til både teknologien og prinsippene bak et moderne IT-sikkerhetssystem.
Selvfølgelig har ingen lyst til å bli rammet av datainnbrudd, men alle forstår kanskje ikke omfanget av hva det betyr, eller hvilke konsekvenser et datainnbrudd kan få. Det mest åpenbare er at noen lykkes med å ta seg inn og stjele bedriftens data. Den kan deretter selges til konkurrenter, brukes til utpressing, lekkes til media, legges ut i forskjellige internettfora, krypteres eller slettes fra selskapets servere. Dette vil skade bedriften på en rekke måter, ikke bare økonomisk. En bedrift som rammes av datainnbrudd risikerer å miste omdømme hos kunder og samarbeidspartnere, og kan også slite med å ansette nye medarbeidere i fremtiden. Å prøve å bagatellisere eller skjule et datainnbrudd er ikke en god idé, ettersom de nye GDPR-reglene krever at bedrifter som er berørt av datainnbrudd, skal varsle både sine kunder og Datatilsynet.
… men IT-sikkerhet handler ikke bare om datainnbrudd
Det er andre ting som kan føre til at bedriften rammes av IT-relaterte jobbtap og datasvinn, som strømbrudd, brann, vannskade, naturkatastrofe, tyveri, tapte enheter og mye mer. En velfungerende IT-sikkerhetspolitikk med tilhørende infrastruktur underletter alle disse og mange flere situasjoner. Et effektivt backup- og katastrofegjenopprettingssystem fungerer for eksempel bra når data skal overføres til nye systemer, eller når det er på tide å flytte bedriftens datasenter til skyen.
Forberedelser
Kategorisere data
Den viktigste delen av et IT-sikkerhetsarbeid er å gå gjennom det som IT-sikkerhetssystemet skal beskytte, nemlig selskapets data. Hvor mye data har selskapet? Hvor mye er virksomhetskritisk? Hva vil det innebære dersom dataen havner på avveie? Hvilke ulike nivåer av beskyttelse og tilgang trenger vi? Alle trenger sannsynligvis ikke tilgang til alt, og visse data kan for eksempel kreve tofaktorautentisering for å redigeres.
Det er viktig å huske at det ikke bare er bedriftens data som håndteres på bedriftens enheter, men vanligvis hundrevis eller kanskje tusenvis av private bilder, filer, dokumenter og filmer, selv om selskapet har retningslinjer som forbyr privat bruk av enhetene sine.
Analyser trusselbildet
Neste steg er å finne ut hvordan trusselbildet ser ut. Hvor stor sannsynlighet er det for at en viss hendelse inntreffer? Ulike bedrifter har ulike sikkerhetsbehov. Prioriter de scenariene som er mest kritiske for din bedrift. For eksempel: Hvis majoriteten av medarbeiderne befinner seg ute i felten i arbeidstiden, bør fokuset ligge på å sikre deres mobile enheter, ikke å legge alt energi på en avansert brannmur på kontoret.
Oppdage og håndtere innbrudd
Bildet av et datainnbrudd er for mange en kryptert harddisk og en melding som ber offeret om å sette inn en sum på en Bitcoin-konto. Denne typen av såkalte ransomware-angrep øker absolutt, men mange angrep er mye mer diskret enn som så.
Faktisk merker mange selskaper ikke at de har hatt et datainnbrudd før deres data er tilgjengelig for nedlasting på for eksempel en fildelingstjeneste. Deteksjon av innbrudd er derfor en av de viktigste delene i IT-sikkerhetsarbeidet.
Etabler et normal-modus
Datainnbrudd innebærer som regel at en uautorisert person på noen slags måte har tatt kontroll over medarbeideres kontoer og startet en ulovlig aktivitet, for eksempel å kopiere sensitive data. Da er det viktig at det finnes systemer som kan oppdage denne aktiviteten, og varsle eller iverksette tiltak. Men for å gjøre det må det finnes et tydelig bilde på hva som er normal aktivitet for den aktuelle brukeren, og hvordan trafikken i selskapets nettverk flyter når det ikke foregår ulovlige aktiviteter.
Dette er ekstremt vanskelig å gjøre manuelt, spesielt ettersom mer og mer av trafikken i våre nettverk er kryptert. Men dagens IT-sikkerhetssystemer kan, ved hjelp av kunstig intelligens, skape et bilde av hva som er normalt, og deretter varsle når avvik oppdages.
Når innbruddet er et faktum
I dag er det ikke spørsmålet om bedriften kommer til å rammes av et innbrudd, men når. Derfor gjelder det å sette tydelige retningslinjer for hva som skal gjøres når innbruddet er et faktum. Det viktigste er å prøve å begrense og isolere angrepet. Det gjør du ved å kutte kontakten mellom den infiserte enheten og resten av bedriftsnettverket. Hvis du har fått indikasjoner på at en bruker oppfører seg merkelig, bør du blokkere brukerens konto til du får klarhet i hva den avvikende oppførselen kommer av.
Velg rett infrastruktur
Skybasert løsning vs. egen løsning
IT-sikkerhet er i dag et spørsmål som i prinsipp berører bedrifter i alle størrelser. Men for små og mellomstore bedrifter blir en egen IT-sikkerhetsavdeling, med infrastruktur som skal håndteres og eksperter som skal ansettes og utdannes, en unødvendig stor kostnad. I dag tjener de aller fleste på å kjøpe inn IT-sikkerheten ”as a service”. På samme måte som bedrifter i dag betaler en fast månedsavgift for eksempel for skylagring og applikasjoner, er brannmur, antivirusbeskyttelse, beskyttelse for innbrudd og et sikkert bedriftsnettverk også noe som kan abonneres på, og skaleres opp og ned etter behov.
Arbeid sikkert på farten
I dag jobber vi mer og mer mobilt og utenfor kontorets fire vegger. Vi sitter på kaféer, tog og flyplasser og trenger tilgang til rask og sikker oppkobling. Men det betyr ikke at vi kan kompromisse med sikkerheten. Selv om flere og flere apper og nettsteder i dag bruker http-protokoller for kryptert trafikk, er offentlige Wi-Fi-nettverk ikke å anbefale når du skal jobbe mobilt. I stedet for bør mobildata brukes, og helst kompletteres med en VPN-tjeneste.
Riktige rutiner for enheter på vift
Det er også viktig at bedriften har rutiner på plass for å håndtere stjålne og forsvunnede mobile enheter. Hvis du mister din datamaskin, telefon eller nettbrett, eller blir frastjålet dem, skal de ikke kunne brukes av en uvedkommen person. Passordbeskyttelse og harddiskkryptering skal selvsagt være aktivert, og enheten skal også kunne spores og slettes fra avstand, slik at sensitive data forsvinner fra enheten.
Moderne smarttelefoner har innebygde systemer for dette, og det finnes også i alle moderne MDM-verktøy (Mobile Device Management). Ved hjelp av MDM-verktøyet kan du enkelt oppdatere operativsystemer, lokalisere enheter, installere apper og tildele ulike rettigheter. Dersom en telefon blir stjålet kan innholdet raskt slettes og harddisken krypteres, alt fra et sentralt punkt. I MDN-verktøyet kan du også sørge for at enheten sikkerhetskopieres ofte, slik at medarbeiderne kan hente ut en ny enhet, gjenopprette data og fortsette å jobbe.
Glem ikke IoT-utstyret
Det er ikke bare datamaskiner, telefoner og nettbrett som utgjør angrepspunkter i bedriftens nettverk. I dag finnes det en rekke såkalte IoT-produkter (Internet of Things) som alle er oppkoblet mot bedriftens nettverk, og dermed blir potensielle veier inn for en angriper. Derfor gjelder det at oppkoblede skrivere, lamper, kaffemaskiner, paneler for møtebooking og annet oppfyller bedriftens sikkerhetskrav og for eksempel har støtte for sikkerhetsoppdateringer, og ikke lagrer og sender passord i klartekst.
Prosesser og rutiner for medarbeidere
Medarbeiderne er ofte det svakeste leddet
Dagens IT-sikkerhetssystemer er i mange tilfeller så avanserte at så lenge bedriften har et system som oppfyller bransjestandard, er et frontalangrep mot for eksempel bedriftens brannmur oftest nytteløst. I stedet for er det svakeste leddet oftest den enkelte medarbeideren.
Den desidert største delen av alle inntrenginger i dag innledes med en type av phishing-angrep, enten via mail eller sosiale medier. Medarbeideren blir lurt til å besøke en hjemmeside eller en lenke i en mail som utgir seg for å være noe annet enn det den er. Derfor er det avgjørende at medarbeiderne er klar over dagens IT-sikkerhetssituasjon og hvordan et angrep faktisk foregår. Med en økt forståelse følger vanligvis også en økt aksept og etterlevelse av bedriftens regler og prosedyrer for IT-sikkerhet.
Slik håndterer du passord
Det snakkes mye om viktigheten av å utforme rutiner for sikre passord, men å kreve at brukerne skal ha lange passord med mange avvikende tegn, og i tillegg endre dem regelmessig, kan være kontraproduktivt.
Lange passord er vanskelig å huske, og kan resultere i at brukeren lagrer dem på en usikker måte, for eksempel i en ukryptert tekstfil på datamaskinen eller på en Post-it-lapp på skrivepulten. Hvis brukerne vet at de aldri skal bruke samme passord flere steder, vil ikke regelmessige bytter av passord øke sikkerheten betydelig.
Et alternativ til lange passord som både er mer praktisk for brukeren og sikrere for bedriften, er å bruke tofaktorautentisering ved hjelp av en mobil enhet eller en USB-nøkkel.
Unngå skygge-IT
Bedriften kan investere i så mange smarte og sikre tjenester de bare vil, men det hjelper ikke hvis medarbeiderne ikke bruker dem. Om for eksempel bedriftens sanksjonerte system for fildeling oppleves for komplisert, kan enkelte medarbeidere velge å bruke alternative tjenester for å forenkle sin egen hverdag, et fenomen som kalles shadow IT. Det kan medføre en rekke risikoer; Den mest åpenbare er selvfølgelig at den alternative tjenesten ikke oppfyller selskapets sikkerhetskrav, men det mange kanskje ikke tenker på er at noen tjenester krever eierskap til materialet som lastes opp.
At sensitiv (eller hvilken som helst) data fra bedriften ikke lenger er bedriftens eiendom, er selvfølgelig ødeleggende. En tredje risiko med skygge-IT er at bedriftens data lagres på en måte som bryter med bedriftens avtale med sine kunder. Visse data skal kanskje ikke lagres utenfor landets grenser, men havner på servere over hele verden når en kommersiell skylagringstjeneste benyttes.