Ofte stilte spørsmål om Grunnprinsipper for IKT-sikkerhet
Implementering og faglige valg
3.1 Hva vil det koste å implementere grunnprinsippene?
Kostnader knyttet til implementering av sikkerhetstiltak vil variere fra virksomhet til virksomhet, og det vil avhenge av hvor mye som allerede er på plass av tiltak. Enkelte tiltak kan koste svært lite å innføre for en virksomhet, mens det for en annen vil kunne være en betydelig utgift. Vi anbefaler virksomheter å starte med tiltak som vil gi stor sikkerhetsmessig gevinst, og som samtidig ikke koster uforholdsmessig mye å innføre. Det viktigste er ofte å komme i gang med sikkerhetsarbeidet og ta ett steg av gangen mot en sikrere hverdag.
God IKT-sikkerhet er å hindre at fremtidige IKT-hendelser og cyberangrep får alvorlige konsekvenser, inkludert økonomiske, for virksomheten og virksomhetens samarbeidspartnere.
3.2 Hvilken bistand kan man få fra NSM for å implementere grunnprinsippene?
NSM bistår en rekke virksomheter hvert år, både med rådgivning, hendelseshåndtering, tilsyn med mer. De fleste av disse virksomhetene er definert innen kategorien «samfunnskritisk», det vil si at hele eller deler av samfunnet kan stoppe opp dersom de ikke får gjort jobben sin. For de fleste andre virksomheter vil bistanden i hovedsak bli i form av «en-til-mange». NSM publiserer råd og anbefalinger på nett, holder foredrag og tilbyr relevante kurs.
3.3 Må jeg fremdeles tenke på sikkerhet hvis jeg velger en skyløsning hos en ekstern leverandør?
Virksomheten har ansvaret for sikkerheten uansett om den leveres av virksomheten selv eller av en ekstern leverandør.
Leverandøren er ansvarlig for sikkerheten i plattformen som tilbys til kunden, men kunden har kontrollansvar for at sikkerhetsnivået er tilfredsstillende.
Kunden er i tillegg ansvarlig for hvordan plattformen benyttes. For eksempel må en virtuelle server som kjører i en leverandør-sky sikres av kunden med tilgangskontroll, herding, sikkerhetsoppdatering, dataflyt til og fra (sone-plassering for serveren) samt en rekke andre tiltak.
Dersom man kjøper en skybasert applikasjonstjeneste (SaaS) som for eksempel epost-tjeneste, regnskap, eller saksbehandling, har kunden som regel færre valgmuligheter når det gjelder sikkerhetstiltak. Kunden må likevel gjøre en del valg basert på ønsket bruk og basert på hva slags data tjenesten skal behandle. Et eksempel er retningslinjer og teknologivalg i forbindelse med tilgangskontroll.
For mer informasjon se NSMs samleside om sikkerhet og sky, www.nsm.no/sky
3.4 Hva slags kompetanse bør man ha i virksomheten ved anskaffelse?
IKT-sikkerhet må inkluderes i alle typer IKT-anskaffelser. En virksomheten bør som minimum ha nok sikkerhetskompetanse til å forstå hva man kjøper og om det man kjøper er tilstrekkelig og tilpasset virksomhetens behov.
Et eksempel er at man må vurdere IKT-sikkerhet ved anskaffelse av alle typer produkter og tjenester, og ikke kun når man kjøper dedikerte sikkerhetsprodukter som en brannmur.
En virksomhet bør som minimum ha følgende type kompetanse ved anskaffelse av IKT-tjenester og IKT-produkter:
- Virksomhetskompetanse. Dette omfatter virksomhetens viktigste data og tjenester, de ansatte, kundene, maskinvare og programvare i bruk.
- Sikkerhetskompetanse. Det kan inkludere IKT-sikkerhet, personellsikkerhet og fysisk sikkerhet.
- Integrasjonskompetanse. Anskaffede tjenester og produkter må samvirke med virksomhetens øvrige IKT-produkter, arkitektur og arbeidsprosesser.
- Anskaffelseskompetanse. Forstå de mange praktiske sider ved innkjøp samt leverandørmarkedet for de tjenestene man skal kjøpe.
- Juridisk kompetanse. Er nødvendig ved inngåelse av avtaler/kontrakter.
Les mer i «Sikkerhetsfaglige anbefalinger ved tjenesteutsetting». Se også øvrige lenker i kapitel 2.1 i «NSMs Grunnprinsipper for IKT-sikkerhet».
3.5 Må vi fremdeles beskytte klienter og servere hvis vi tar sikkerhetskopi av alle data?
Med gode rutiner for sikkerhetskopi kan man teoretisk sett redde all data selv om man for eksempel blir utsatt for kryptovirus. Men man kan sitte igjen med kryptere data hvor servere og klienter er kompromittert og ikke til å stole på. I noen tilfeller må man reinstallere alt av firmware, operativsystem og applikasjoner og i andre tilfeller må man bytte ut alt av maskinvare i tillegg. Det kan bli en enorm oppgave som kan koste virksomheten mye i form av ressursbruk og kostnader.
Så, man bør absolutt beskytte klienter og servere. Det holder ikke å kun ha gode rutiner for sikkerhetskopiering. Se NSMs prioritering av sikkerhetstiltak for å komme gang med god beskyttelse av blant annet klienter og servere.
3.6 Vi er ikke noe attraktivt mål, vi har ingen verdier. Hvorfor skal vi da investere i sikkerhetsovervåkning, inntrengningstester, og alt annet som vi synes er dyrt?
Slike utsagn tyder ofte på at man ikke godt nok har vurdert hva virksomheten har av kritiske data og tjenester, samt beskyttelsesbehovet til disse.
Enkelte virksomheter innser ikke at de har verdifulle data før etter at de er blitt utsatt for en uønsket hendelse (dataangrep). Det er først når man har mistet tilgangen til virksomhetsdata man forstår viktigheten av god sikkerhet.
Det er ikke gitt at alle sikkerhetstiltak er dyre og koster mye. Det er ikke gitt at de dyreste tiltakene er de man bør starte med. De mest effektive sikkerhetstiltakene kan være de billigste, så lenge man implementerer de riktig. Se NSMs liste av prioriterte sikkerhetstiltak.