Grunnprinsipper for IKT-sikkerhet 2.0
Beskytt virksomhetens nettverk
Målet med prinsippet: Virksomheten kontrollerer og beskytter nettverkene sine mot interne og eksterne trusler.
Hvorfor er dette viktig?
Virksomhetens eget nettverk strekker seg ofte ut over kontorlokalet og gjør det utfordrende å definere den fysiske utbredelsen. En virksomhet kan ha flere geografiske lokasjoner, og tjenester kan være satt ut til leverandører.
Skillet mellom innsiden og utsiden av virksomhetens nettverk blir stadig mindre. De ansatte benytter ofte mobile enheter og har behov for å arbeide hjemmefra og på reise. Videre vil mange virksomheter benytte seg av eksterne tjenester som ytterligere kompliserer situasjonen.
Tilkobling av virksomhetens nettverk til Internett eller andre nettverk utenfor virksomhetens kontroll eksponerer systemene for nye angrepsflater.
Enheter og datatrafikk kan også angripes fra innsiden: en kompromittert server eller klient (både virksomhetsstyrt, innleid eller privat), en utro tjener, en (kompromittert) leverandører med tilgang til nettverket, svakt sikret trådløse nett eller manglende fysisk sikring av porter/kabler.
Virksomhetens nettverk bør derfor sikres godt mot både interne og eksterne trusler, og enheter bør ikke ukritisk stole på alt som er tilkoblet eget nettverk. Tilgangen til nettverket bør sikres og dataflyt på nettverket bør beskyttes med kryptering.
Anbefalte tiltak: Beskytt virksomhetens nettverk
Nettverksikkerhet er viktig både for maskinvarebasert enheter og virtualiserte enheter («skybasert»).
| ID | Beskrivelse | |||
|---|---|---|---|---|
| 2.4.1 | Etabler tilgangskontroll på flest mulige nettverksporter. a) Nettverkstrafikk bør kun tillates på virksomhetsgodkjente porter (hviteliste-prinsipp). b) Tillat kun adgang for forvaltede enheter. c) Ikke-forvaltede enheter bør kun ha tilgang til eget gjeste-nett eller lignende. | |||
| 2.4.2 | Krypter alle trådløse og kablede forbindelser. a) Krypter alle trådløse forbindelser. Bruk tidsriktige protokoller som WPA2/WPA3 i «enterprise-modus». b) Krypter alle kablede forbindelser i egne nettverk, som minimum de som ikke er fysisk kontrollert av virksomheten. | |||
| 2.4.3 | Kartlegg fysisk tilgjengelighet for svitsjer og kabler. Virksomheter har ofte manglende oversikt over hvor egne kabler går og om uvedkommende har fysisk adgang. Hvis man ikke autentiserer og krypterer alle forbindelser, bør man kartlegge beliggenhet til kablede nettverk med tanke på om uvedkommende har fysisk adgang (mellom egne bygninger, mellom etasjer i bygning delt med andre virksomheter, mellom forskjellige geografiske lokasjoner, resepsjoner, mm.). | |||
| 2.4.4 | Aktiver brannmur på alle klienter og servere. Brannmurer er som regel innbygget i operativsystemer og kan brukes til trafikkstyring eller logging. Benytt brannmurer til å a) regulere innkommende/utgående trafikk. b) Logge sikkerhetsrelevante hendelser. Loggingen bør integreres med virksomhetens øvrige løsninger for sikkerhetsovervåkning. c) Integrer klient/server-logging med sentralisert virksomhets-logging. |
Utdypende informasjon
Lenker
NSM: Sikkerhetstiltak mot digital utpressing og andre angrep