Mange virksomheter har på kort tid tatt i bruk videokonferanseløsninger og andre kommunikasjonsplattformer, og NSM får stadig spørsmål om gode, sikre digitale verktøy for hjemmekontor-løsninger.

NSMs grunnprinsipper for IKT-sikkerhet gir et godt utgangspunkt for å stille krav til denne typen løsninger.

Her er noen viktige anbefalinger tatt fra grunnprinsippene som du bør vurdere ved anskaffelse av en for eksempel videokonferanseløsninger. Anbefalingene nedenfor er hentet fra siste versjon av NSMs grunnprinsipper for IKT-sikkerhet (versjon 2.0) som blir publisert i sin helhet i midten av april 2020.

Anbefaling #1: Ivareta sikkerhet i anskaffelses- og utviklingsprosesser

Er løsningen du kjøper moderne og oppdatert? Er selskapet du kjøper tjenesten av solid og anerkjent? Løsninger som er sertifiserte og evaluerte av tiltrodd tredjepart bør foretrekkes.

Ta stilling til driftsmodell og behov for virksomhetskontroll over løsningen. Ved behov for stor grad av kontroll bør «on-prem»-løsning foretrekkes fremfor om løsningen leveres som en skytjeneste.

Les mer i grunnprinsipp 2.1.

Anbefaling #2: Ivareta en sikker konfigurasjon

De fleste løsninger leveres med en standardkonfigurasjon satt av produsent eller forhandler. Disse konfigurasjonene er vanligvis utviklet for å forenkle installasjon eller bruk, ikke for å tilby god sikkerhet. Har løsning eksempelvis tilgang til dokumenter på datamaskinen for enkel deling med andre? Hva med skjermdeling? Er det ønskelig funksjonalitet?

Du må gå igjennom og herde løsningen, eksempelvis ved å ta bort funksjonalitet det ikke er tjenstlig behov for samt fjerne standard-innstillinger og passord. Følg tjenesteleverandørens mønsterpraksis for sikker konfigurasjon. Hvis ikke slik finnes, bør du spørre leverandøren om en slik dokumentasjon kan fremskaffes.

Les mer i grunnprinsipp 2.3

Anbefaling #3: Ha kontroll på identiteter og tilganger

Du må ha oversikt over identiteter og brukerkontoer som benytter løsningen. Løsningen bør tilby god brukerstyring / kontoadministrasjon som gir god kontroll og oversikt for deg som administrator. Skal løsningen integreres mot virksomhetens eksisterende brukerdatabase, eller skal dette administreres separat? Integrering mot eksisterende brukerdatabase kan forenkle brukeradministrasjon men eksponerer brukerinformasjon til en tredjepart.

Løsninger som tilbyr multi-faktor autentisering bør foretrekkes. Vi erfarer at løsninger med bare brukernavn og passord-autentisering løper en høyere risiko for kompromittering enn de som har 2FA/MFA.

Les mer i grunnprinsipp 1.3 og 2.6

Anbefaling #4: Beskytt data i ro og transitt

De fleste videokonferanseløsninger på markedet i dag benytter sikker tilkobling (TLS eller tilsvarende) ende-til-ende. Ende-til-ende kan forstås som mellom bruker og leverandør, eller som uavbrutt kryptering mellom brukere. Sistnevnte er bedre.

Hvis man ikke krypterer datastrømmen mellom bruker og leverandør kan uvedkommende ha mulighet til å lese eller manipulere, dvs. at informasjonens konfidensialitet og integritet brytes. Den samme risiko løper man hvis krypto som benyttes er av svak kvalitet eller hvis krypteringsnøkler er svakt beskyttet.

Hvordan håndteres og oppbevares de kryptografiske nøklene/sertifikatene som muliggjør sikker tilkobling? Er dette noe som tjenesteleverandøren håndterer for virksomheten, eller må virksomheten selv håndtere dette? Hvis sistnevnte bør det etableres en rutine for kryptoadministrasjon.

Fra hvilken geografisk lokasjon tilbys tjenesten? Er det fra land vi er venner med? Mellomlagrer (cacher) tjenesten dokumenter som deles / er delt i møte? Hvor gjøres det?

Les mer i grunnprinsipp 2.7

Anbefaling #5: Etabler sikkerhetsovervåkning og analyser data fra denne

Tilbys sikkerhetsovervåkning av løsningen? Kan denne overvåkning integreres mot det øvrige overvåkningssystemene i virksomheten? Kan logger fra løsningen samles inn og plugges inn i den øvrige loggdatabasen i virksomheten for samlet analyse? Eksempelvis kan det loggføres og gis en oversikt hvilke dokumenter / filer som er delt over løsningen?

God sikkerhetsovervåkning blir spesielt viktig hvis løsningen er tett integrert med øvrige IKT-systemer i virksomheten.

Les mer i grunnprinsipp 3.2 og 3.3