Tiltak for skjerpet digital beredskap
NSM har utarbeidet en sjekkliste over prioriterte tiltak virksomheter bør iverksette i en skjerpet sikkerhetssituasjon.
Dato | Endring |
---|---|
21.04.22 | Oppdatert tekst under tiltakspunkt "Sårbarhetsflater" |
11.03.22 | Oppdatert tekst under tiltakspunkt "Sårbarhetsflater" og "Identiteter og tilganger". |
09.03.22 | Oppdatert tiltaksliste. Lagt til punkt om skytjenster. |
07.03.22 | Oppdatert tekst i tiltaksliste. |
25.02.22 | Opprinnelig publisering |
For å kunne møte en skjerpet situasjon må virksomheten på forhånd ha etablert gode og gjennomøvde beredskapsplaner, i tillegg til årvåkenhet. NSMs grunnprinsipper for IKT-sikkerhet er en viktig ressurs i arbeidet med å styrke virksomhetens robusthet i møte med et utfordrende trussel- og risikobilde.
Når risikonivået øker er det krevende å gjennomføre raske endringer i virksomhetens sikkerhetstilstand. Noen fokusområder bør imidlertid uansett ha prioritet, og disse gjennomgås nedenfor.
For en mer detaljert gjennomgang har NSM utarbeidet et regneark med konkrete tiltak som kan bidra til å skjerpe digital beredskap. Regnearket tar utgangspunkt i NSMs grunnprinsipper.
Under har vi foreslått tiltak din virksomhet bør prioritere i en skjerpet situasjon:
Kartlegging av systemer
Du må ha en oppdatert oversikt over systemer og programvare som kjører i ditt nett, samt en oversikt over oppdateringsstatus for disse.
Vedlikehold et nettverkskart over knytningene mellom nettverkssegmenter og systemer i tillegg til forgreininger mot andre virksomheter.
Slike oversikter er helt grunnleggende og nødvendige når en hendelse først inntreffer.
Sikkerhetskopier
Oppdaterte sikkerhetskopier av datasystemer må regelmessig lagres på et isolert system for å beskytte mot tilsiktet og utilsiktet sletting, manipulering og uthenting. Verifiser jevnlig at det er mulig å gjenopprette både systemer og datasett fra sikkerhetskopien.
Sårbarhetsflater
Sørg for å ha kontroll på internetteksponerte tjenester og gjennomfør sikkerhetsoppdateringer med én gang de foreligger. Benytt Allvis NOR eller andre former for sårbarhetskartlegging. Ved å redusere antall internetteksponerte tjenester reduserer du virksomhetens sårbarhetsflate.
Når det gjelder eldre utstyr og løsninger som uansett skal fases ut, bør utfasing gjennomføres nå. Eldre utstyr og løsninger som har sikkerhetsfunksjonalitet, f.eks. VPN, og løsninger som mangler mulighet for flerfakstorautentisering (MFA) bør prioriteres. Vær oppmerksom på at Remote Desktop Protocol (RDP), som er sårbar og utnyttes av trusselaktører, og for RDP må tilgang begrenses, aktivitet logges og sikkerhetsovervåkning etableres.
Mange virksomheter har allerede etablert nye tjenester eller flyttet eksisterende tjenester til sky. NSM har erfart at gamle løsninger har lett for å henge igjen, ofte fordi en liten gruppe trenger tjenesten eller den gamle tilgangen til tjenesten. Skjerpet digital beredskap krever at man skjærer gjennom, fjerner gamle løsninger og aksepter noen mindre konsekvensene i stedet for å opprettholde en større sårbarhetsflate.
Gjør en fornyet gjennomgang om bruk av privat eller annet medbrakt utstyr (BYOD-policy) kan strammes inn i virksomheten. Dette gjelder også for hjemmekontor og utstyr som nettbrett og mobiltelefoner.
Et konkret tiltak for å redusere sårbarhet er å ikke tillate makroer i dokumenter som kommer fra eksterne kilder. Dette kan enten gjøres i brannmuren eller systemkonfigurasjonen. Ikke sikker på hva makroer er? Sjekk denne podcastepisoden fra NSM.
Identiteter og tilganger
Foreta gjennomganger av brukere og tilganger ved jevne mellomrom. Fjern brukere som ikke lenger skal ha tilganger, og sikre at ingen brukere har tilgang til flere tjenester enn nødvendig.
Sørg for at alle brukere har sterke, unike passord. Benytt flerfaktorautentisering (MFA). Sperr eller begrens tilganger til tjenester hvor MFA ikke er mulig.
Dersom virksomheten gir tilgang til egne systemer uten bruk av VPN må tiltak som geoblokkering og MFA benyttes.
Gjennomgå mekanismer for tilgangsstyring. Ta utgangspunkt i en behovsprøving av hvem som trenger tilgang, når og fra hvor.
Gjennomgå bruk av sesjonsnøkler og lignende og vurder hvor lenge de trenger å være gyldige for autentiserte brukere.
Kontroller at overføringer av passord skjer kryptert. Sørg for at innlogginger med web-grensesnitt gjøres over HTTPS. Dette gjelder også innlogging på eksterne tjenester levert av andre virksomheter. Det er viktig at tjenesteleverandører varsles om sårbarheter i tjenestene sine.
Sikkerhetsovervåkning
Etabler forsterket monitorering av systemer og nettverk. Avhengig av hvordan overvåkningsregimet ser ut i din virksomhet kan dette innebære å etablere logging på flere systemer, utvide tidsrommet for lagring, logge både inn- og utgående trafikk eller etablere videresending til en sentralisert løsning.
Dette vil være avgjørende for hvor effektivt man klarer å undersøke og håndtere en hendelse når den først inntreffer.
Etabler kapasitet til å analysere data fra slik overvåkning, og til å gjøre søk med utgangspunkt i tilgjengelige indikatorer.
Årvåkenhet blant ansatte
Gjennomfør tiltak rettet mot medarbeidere for å styrke sikkerhetskultur og risikoforståelse.
Skjerp sikkerhetstiltak mot nettfisking og sosial manipulasjon, både gjennom menneskelig årvåkenhet og ved tekniske løsninger som eksempelvis spamfilter. Dette gjelder for e-post, tjenester for videomøter, digitale samarbeidsplattformer og for sosiale medier. Sørg for gode regimer for sterke passord og flerfaktorautentisering (MFA).
Håndtering av hendelser
Utarbeid en beredskapsplan i tilfelle en hendelse inntreffer. For at slikt planverk skal være relevant og fungere etter hensikt er det viktig at det til enhver tid er oppdatert og gjennomprøvd.
Sørg for oppdaterte lister over kontaktpunkter blant relevant personell og eventuelle tjenestetilbydere innen hendelseshåndtering. Se gjerne hen til NSMs kvalitetsordning for håndtering av IKT-hendelser.
Fokus på godt planverk gjør virksomheter bedre i stand til å håndtere uforutsette sikkerhetshendelser.
Virksomheter kan bli utsatt for digital utpressing ("ransomware"). NCSC har laget en samleside med informasjon om forebygging og håndtering av digital utpressing.
Verdikjeder og tjenesteutsetting
Vær klar over at leverandørkjeder representerer sårbarhetsflater for digitale angrep. Disse må dermed inngå i vurderingene av hvilke sikkerhetstiltak som bør forsterkes ved økt beredskap. Etabler en oversikt over dine leverandører av systemer, komponenter og tjenester, for å sikre kontinuitet er det viktig å ha oversikt over hvilke avhengigheter som gjelder.
Tiltakene som gjelder for tjenesteutsetting er de samme som for øvrig, men det kan være behov for visse justeringer ved implementering – avhengig av løsningene din virksomhet har valgt.
Forsterk beskyttelsen av skytjenester
Siden skytjenester er utenfor virksomhetens infrastruktur er det spesielt viktig å kontrollere og skjerpe tilgangskontroll og sikkerhetsbarrierer.
Mange virksomheter benytter programvareløsninger som har god mulighet for tilpasse sikkerhetsnivået. Noen av de mest utbredte tjenestene er Microsoft 365 og Google Workspace.