Grunnprinsipper for IKT-sikkerhet 2.0
Beskytt e-post og nettleser
Målet med prinsippet: Virksomheten minimerer angriperes mulighet til å manipulere menneskelig oppførsel i forbindelse med bruk av e-postklienter og nettlesere.
Hvorfor er dette viktig?
Sikker konfigurasjon er viktig for at angripere ikke skal utnytte virksomhetens verdier og ressurser. Funksjoner og applikasjoner som skal motta og behandle data fra ukjente eksterne kilder er likevel ekstra utsatt. E-post og nettsider infisert med skadevare (virus, trojanere, osv.) er vanlige inngangsportaler for angrep der innhold kan skreddersys for å lure brukerne. Vedlegg og lenker i epost er en av de vanligste inngangsveiene for å distribuere datavirus, ormer og annen type skadevare. Vedleggene og lenkene utnytter ofte sårbarheter i andre applikasjoner, som Excel, eller at filtypen som vises i e-postklienter (.jpg, .exe, .zip, osv.) ikke alltid samsvarer med den faktiske filtypen.
Anbefalte tiltak: Beskytt e-post og nettleser
Implementering av dette applikasjonsspesifikke prinsippet anbefales utført etter andre tiltak, se informasjon etter tabellen.
| ID | Beskrivelse |
|---|---|
| 2.8.1 | Verifiser at innkommende e-post er fra en legitim avsender-adresse (avslør «spoofing»). Gjør dette ved bruk av DMARC, DKIM, SPF og DNSSEC. Se lenke 1 og 2 for mer informasjon. |
| 2.8.2 | Aktiver STARTTLS på virksomhetens e-postserver for autentisering og konfidensialitetssikring av all e-post mellom virksomheten og andre samarbeidende virksomheter som har aktivert STARTTLS. Se [1] for mer informasjon. |
| 2.8.3 | Bruk kun støttede e-postklienter, nettlesere og programtillegg («plugins») i virksomheten. Bruk kun siste versjoner med den nyeste sikkerhetsfunksjonaliteten og de siste sikkerhetsoppdateringene. Avinstaller/deaktiver nettlesere som er inkludert i operativsystemet og som ikke lenger støttes. |
| 2.8.4 | Tillat kun virksomhetsgodkjente programtillegg. For mange virksomheter er nødvendige programtillegg («plugins») kun de som integrerer epostleser og nettleser mot for eksempel saksog arkivsystemer. Tillegg som ikke er nødvendige for virksomheten kan utgjøre en sårbarhet, og bør derfor ikke tillates. |
Merk at tiltakene i tabellen er viderekommende tiltak mht. epost og nettlesing. Andre applikasjonsgeneriske sikkerhetstiltak bør implementeres først, som for eksempel: 2.1.2 (bruk moderne maskinvare og programvare), 2.3.1 (sikkerhetsoppdateringer), 2.3.2 (styring av klientapplikasjoner), 2.6.4.a (unngå admin-rettigheter til sluttbrukere) samt 2.5.1 (styrt dataflyt).
Utdypende informasjon
E-post bør sikres i flest mulige ledd: i forbindelse med bruk av forskjellige nettverksprotokoller, i virksomhetens tilkobling mot internett, på epostserveren, i operativsystemet og applikasjonene på klientene, samt til slutt av mennesket som er mottageren.
Nettleserteknologi har utviklet seg i et raskt tempo. Fra den opprinnelige formen med å laste og vise tekst og bilder fra Internett, har den blitt et universelt «front-end». Nettlesere håndterer et bredt spekter av forskjellige fil- og medieformater. De er også en plattform for kjøring av fullverdige applikasjoner, enten applikasjonen (for eksempel saksbehandling eller e-postbehandling) er på lokal server, eller i en ekstern sky (SaaS). Bruk av nettlesere kan føre til en rekke sikkerhetsproblemer grunnet feil bruk, feil konfigurering eller programmeringsfeil. Mengden valg og funksjoner innebærer komplekse konfigureringsmuligheter og dermed potensielle sikkerhetsproblemer.
Lenker
Norid, Sikrere norske domenenavn med DNSSEC
Digitaliseringsdirektoratet – Referansekatalogen for IT-standardar, Grunnleggande datakommunikasjon