Fem effektive tiltak mot dataangrep
Her beskrives fem effektive tekniske tiltak som systemeiere bør benytte for å beskytte sine systemer mot internett-relaterte dataangrep.
De vanligste angrep utføres med ondsinnet programvare mot de ansattes datamaskiner samt ved gjetting av enkle passord. De fleste av disse angrepene er teknisk sett mulig å stoppe, selv om ansatte skulle klikke på ondsinnet programvare. NSM har i flere tiår utviklet tekniske sikkerhetstiltak for beskyttelse av IKT-systemer. Ut fra disse erfaringer ser vi at virksomheter kan stanse de fleste dataangrep med følgende tiltak:
1. Installer sikkerhetsoppdateringer så fort som mulig, og mest mulig automatisk.
Oppdateringene bør utføres med et sentralt styrt regime for å sikre alle relevante enheter og all relevant programvare blir oppdatert. Oppdateringene bør installeres så raskt som mulig (og mest mulig automatisk) fordi kunnskap om nyoppdagede sårbarheter spres hurtig. Man bør prioritere oppdatering av brukernes operativsystemer og de applikasjoner som leser eksterne data, bl.a. nettlesere, epost-lesere, epost-servere, PDF-lesere og Office-pakker. Produkter som ikke lar seg oppdatere bør unngås. For mange virksomheter vil det enkleste være å påse at sikkerhetsoppdateringene fra enhetsleverandøren og fra «applikasjons-butikken» gjennomføres raskt og automatisk. For andre typer enheter så må virksomheten selv aktivere automatisk oppdatering av programvare. Automatisk oppdatering bør aktiveres fordi det meste av vanlig kommersiell programvare har relativ lav risiko for ustabiliteter ved oppdateringer mens risiko for at en angriper utnytter sårbarheter er som regel desto høyere.
2. Ikke tildel administrator-rettigheter til sluttbrukere.
De fleste sluttbrukere har ikke behov for administrator-rettigheter. Dette utnyttes av angripere. Man bør derfor fjerne administrator-rettigheter fra vanlige kontorbrukere.
3. Ikke tillat bruk av svake passord, og bruk multifaktorautentisering der det er mulig.
Standardpassord som følger med IKT-produktene må umiddelbart endres, og brukere bør som minimum ikke ha mulighet til å lage enkle passord bestående av ett ord, ett tall. osv. Angripere kan automatisere arbeidet med å avdekke svake passord, eller de kan utnytte at mange benytter samme eller lignende passord på jobb og privat (millioner av kompromitterte passord er offentlig tilgjengelig). Virksomheten bør ha en plan for å migrere bort fra passord og til bruk av multifaktor autentisering (MFA). Gjenbruk også identiteter mest mulig på tvers av systemer, delsystemer og applikasjoner (ideelt «Single sign on»).
4. Fas ut eldre IKT-produkter.
Nyere produktversjoner har tettet flere sikkerhetshull enn eldre versjoner, og de nyere har som regel flere og bedre sikkerhetsfunksjoner. Dette gjelder både maskinvare og programvare. Windows 10 har for eksempel flere og mer tidsriktige sikkerhetsfunksjoner enn Windows 7. Tilsvarende gjelder for macOS, iPadOS, iOS, Android og Linux. Også siste utgave av applikasjoner som nettlesere, PDF-lesere og Office-pakker er som regel sikrere enn tidligere versjoner.
5. Tillat kun programvare som er godkjent av virksomheten eller enhetsleverandøren.
Konfigurer ansattes datamaskiner slik at kun godkjent programvare kan kjøre på dem. For noen virksomheter er det tilstrekkelig at kun programvare/applikasjoner som er signert av enhetsleverandørens eller virksomhetens egen applikasjonsbutikk (en «app store») kan kjøres på den ansattes datamaskin. For andre kan det bli nødvendig at man lister alle ønskede programmer (eller grupper av programmer) som skal kjøre på enheten ved bruk av dedikert sikkerhetsfunksjonalitet. Godkjenning av fil-mapper hvor alle godkjente applikasjoner plasseres forenkler oppgaven (for å slippe å liste alle applikasjoner individuelt). Til slutt bør man innføre tiltak mot ondsinnet programvare inne i dokumenter (se «Grunnprinsipper»).
Merknader til tiltakene
-
NSM har observert over mange år at muligheten for vellykkede dataangrep er størst der disse tiltakene ikke etterleves.
-
Disse sikkerhetstiltakene er prinsipielt like gyldige uansett hva slags datamaskiner de ansatte benytter. Det vil si enten det er en PC, MAC, et nettbrett eller en mobiltelefon. På enkelte plattformer så er disse tiltakene delvis aktivert som standard, på andre plattformer må virksomheten selv ta ansvar for implementeringen.
-
Tiltakene fokuserer på å fjerne de fleste og de mest grunnleggende sårbarhetene på ansattes datamaskiner. Samt å unngå de største problemene med svake passord.
-
Tiltakene beskrevet her vil ikke nødvendigvis kreve nyinnkjøp, i mange tilfeller kun justering av konfigurasjon utført på virksomhetens eksisterende driftsverktøy.
-
Med god etterfølgelse av disse tiltakene vil brukerne fortsatt kunne behandle epost som før og surfe på nett. Forskjellen er at brukeren (og angriperen) ikke lenger kan kjøre eller installere programvare som er ukjent for IT-avdelingen eller enhetsleverandøren. Det blir heller ikke mulig for andre enn IT-avdelingen å endre på sikkerhetsinnstillinger på datamaskinen (dette er delvis plattformavhengig).
-
Tiltakene forutsetter de ansattes forståelse for at datamaskiner og tjenestetelefoner tilhører virksomheten og at det er kun programvare som er akseptert av virksomheten eller enhetsleverandøren som kan kjøre på enhetene. Noen virksomheter vil oppleve holdningsarbeidet som den mest kritiske delen av det å innføre disse tiltakene.
-
Disse tiltakene er også beskrevet i «Grunnprinsipper for IKT-sikkerhet» versjon 2.0, se hhv. tiltakene 2.1.2, 2.3.1, 2.6.3/2.3.7/2.6.7, 2.6.4 og 2.3.2. Disse tiltakene er også del av prioritetsgruppe nr. 1 av alle tiltakene i grunnprinsippene.
-
Noen lesere lurer på andre tiltak fra en eldre liste med seks tilleggstiltak. Disse er i grunnprinsippene. Kodebeskyttelse er i 2.3.8, applikasjonsherding i 2.3.3 og 2.8.4, klientbrannmur i 2.4.4, klientkryptering i 2.7.3, antivirus i 3.1.3, og for minst mulig installasjon av ubrukt funksjonalitet se 2.3.3.
-
Med «enhet» i denne teksten menes i hovedsak en datamaskin, nettbrett eller mobiltelefon som deles ut til de ansatte, ofte omtalt som «klienter». Tiltakene kan også for noen virksomheter være relevant for virtuelle maskiner som ansatte har fjernaksess til.
-
Virksomheten bør også vurdere en rekke andre sikkerhetstiltak. Se «NSMs Grunnprinsipper for IKT-sikkerhet». Se også tiltak mot digital utpressing for ytterlig informasjon om sikring av IKT-systemer.
-