Av Are Søndenaa og John Bothner, seniorrådgivere ved Nasjonalt cybersikkerhetssenter,
NSM. Innlegget sto på trykk i Finansavisen 6. juli. 

Man leser stadig i mediene om vellykkede dataangrep. Mange virksomhetsledere forstår nå at digital sikkerhet også angår dem. Utfordringen for mange er å vite hvor de skal starte. Mange er i tillegg engstelige for kostnadene ved innføring av sikkerhetstiltak.

NSM erfarer at det ikke nødvendigvis er de dyreste sikkerhetstiltakene som beskytter best. Dessverre ser vi fremdeles at mange virksomheter ikke gjør en god nok vurdering av hvilke risikoer de står overfor og hvilke sikkerhetstiltak de trenger for å håndtere risikoen. Noen kjøper inn et (ofte dyrt) sikkerhetsprodukt eller en sikkerhetstjeneste, og anser da at jobben er gjort. Slike løsninger kan hjelpe på symptomene men fjerner sjelden de underliggende «sykdommene». De mer grunnleggende tiltakene, som ofte er billigere og bedre, blir dessverre oversett. Dette er noe vi har sett gjentakende i snart 30 år. Heldigvis ser vi også virksomheter som etablerer gode, digitale sikkerhetstiltak basert på veloverveide risikovurderinger.

NSM publiserte i april 2020 en oppdatert utgave av «NSMs Grunnprinsipper for IKT-
sikkerhet». Nå i disse dager gir vi ut noen støtteprodukter, blant annet hvilke prioriteringer norske virksomheter kan gjøre når de skal innføre sikkerhetstiltak. Se
nsm.no/grunnprinsipper-ikt.

Mange virksomheter har ikke oversikt over hva som befinner seg i IT-systemene. Et første steg er å skaffe oversikt over hva som befinner seg i IT-systemene og hva som faktisk skal være der. Dette gjelder tilkoblet IT-utstyr, programmer som kjører og brukere som befinner seg i systemene.

Det neste mange feiler på er mangelfulle rutiner. Dette gjelder alt fra hvordan IKT-utstyr
anskaffes, konfigureres og vedlikeholdes til brukere som har alt for mange tilganger og
rettigheter. Det er f.eks. ikke nødvendig at alle ansatte skal få installere og kjøre alle
programmer de har lyst til på sine datamaskiner. Dette gjør det lettere for angripere, men er dessverre alt for vanlig. Andre gode rutiner som er viktig å prioritere er
sikkerhetsoppdatering, sikkerhetskopiering, passordhåndtering, logging og håndtering av hendelser. Slike rutiner er viktig også når man har satt ut tjenester til en leverandør.

Manuelle rutiner bør reduseres til et minimum da det ofte gir flere menneskelige feil som kan svekke sikkerheten. Arbeidet bør i størst mulig grad standardiseres, automatiseres og sentraliseres.

Det er ofte rutinemessige, konsekvente sikkerhetstiltak over tid som løser de mest
grunnleggende sikkerhetsproblemene. Ikke dyre sikkerhetstjenester som markedsføres
med stadig skiftende moteord. Fokuser derfor først oppmerksomhet og penger på gode,
interne rutiner.

NSM ønsker ikke nødvendigvis at norske virksomheter skal arbeide mer med rutiner, men bedre. Nøkkelen til bedre sikkerhet er ofte bevisstgjøring sammen med gode og mest mulig automatiserte arbeidsrutiner.