IKT-sårbarheter er mye mer enn manglende sikkerhetsoppdateringer
Hva er egentlig en sårbarhet i et IKT-system? Og er virkelig manglende sikkerhetsoppdatering av programvare den mest alvorlige sårbarheten for et IKT-system?
Denne kronikken ble publisert først i Finansavisen 24. oktober 2021.
En sårbarhet er alt som kan misbrukes av en angriper. Det er mange typer sårbarheter for en virksomhet, for eksempel dirkbare dører, svakhet i organisatoriske sikkerhetsrutiner, i tillegg til en rekke ulike teknologiske sårbarheter.
Det er en utbredt misforståelse at sårbarheter i hovedsak dreier seg om manglende sikkerhetsoppdatering av programvare. I så fall skulle det jo holde å være flink med sikkerhetsoppdateringer for å beskytte et system. Men IKT-systemene har som regel mange flere sårbarheter, som kan være mer alvorlig enn en redusert evne til å sikkerhetsoppdatere sin programvare.
En meget alvorlig og utbredt sårbarhet er ofte at man benytter passord som er alt for lett å gjette, dette er et stort problem, enten det gjelder passord for vanlige ansatte, eller passord for kontoer som benyttes i forbindelse med drift av IT-systemene. Det er også en sårbarhet at man lar kontoer ha mange flere systemrettigheter enn det man trenger for å benytte systemet. Igjen gjelder dette både kontoer til ansatte og kontoer som benyttes til drift av systemet. Mange virksomheters tjenester har i tillegg svak nettverksbeskyttelse, eksempelvis er det mange epost-servere som er ganske ubeskyttet mot internett. En annen sårbarhet som også ofte går igjen er ubrukte og glemte maskiner og programvare, som dessverre fremdeles er tilkoblet.
Det er viktig at norske virksomheter forstår bredden av sårbarheter angripere kan utnytte. Slik forståelse er nødvendig for å kunne forebygge både digital utpressing (løsepengeangrep) og digital spionasje. Dette er også viktig for å forstå sikkerhet ved bruk av skytjenester. Din virksomhets sikkerhet blir ikke nødvendigvis vesentlig forbedret ved flytting til skytjeneste, hvis du ikke forstår at det er flere typer av sårbarheter. Husk at du som sky-kunde er selv ansvarlig for sikker bruk av skytjenester, og derfor ofte selv er ansvarlig for oversikt over sårbarheter.
Det er naturligvis fremdeles en sikkerhetsmessig fordel å holde all programvare oppdatert. Ansattes datamaskiner holdes i stor grad oppdatert automatisk. Mens det på server-siden er et større forbedringspotensial i mange virksomheter. Det er ingen god grunn til ikke å aktivere automatisk oppdatering også på servere, i alle fall servere som har standard programvare (for eksempel epost-servere). Manuell oppdatering er en unødvendig og evig oppgave som skaper sårbare situasjoner og må holdes til et minimum.
Så hvordan skal man fjerne alle disse sårbarhetene? Start gjerne med å se på anbefalinger som er nevnt i «NSMs grunnprinsipper for IKT-sikkerhet» på NSMs nettsider. Lykke til med sikkerhetsarbeidet!