Rapporter
Informasjon og kompetanse i forebyggende sikkerhetsarbeid
Når sikkerhetstiltak implementeres utelukkende på bakgrunn av erfaring, kjører man baklengs inn i fremtiden. Da vil vi alltid ha et etterslep på iverksetting av nødvendige tiltak. Utvikling av sikkerhetsmekanismer basert på hendelser og erfaring er nødvendig for å tette kjente sårbarheter, men er ikke tilstrekkelig for å tette alle sikkerhetshull. Mange sårbarheter ved eksisterende produkter er ennå ikke oppdaget, men vil like fullt kunne utnyttes dersom trusselaktører avdekker dem. Trusselaktører utnytter de svakhetene de finner, uavhengig av om de er menneskelige, organisatoriske, digitale eller fysiske. Noen mål anser de som verdt å vente lenge på å nå, andre utnyttes der det tilfeldigvis oppstår en mulighet.
Det er behov for tett samarbeid mellom myndigheter og virksomheter for å øke kompetansen om forebyggende sikkerhet. Ulike myndigheter legger til rette med råd, veiledninger og kurs. Det er også behov for at sikkerhetsfaglig kompetanse kommer tydeligere frem i høyere utdanning. I denne forbindelse lanserte regjeringen i 2019 en strategi for digital sikkerhetskompetanse.
NSM har flere tiltak for å bistå virksomheter som ønsker å forbedre sitt sikkerhetsarbeid. Vi tilbyr tjenester som inntrengingstesting av sikkerhetstiltak, scanning av sårbarheter mot internett ved hjelp av Allvis NOR og kontinuerlig monitorering og varsling av kjente digitale sårbarheter gjennom vårt varslingssystem for digital infrastruktur (VDI). I tillegg er NSM aktiv gjennom sosiale medier, podcast og foredrag. NSM anbefaler alle virksomheter å søke informasjon på www.nsm.no. Der finnes det veiledere, håndbøker og mye annen informasjon, blant annet konkrete anbefalinger om hva som utgjør god passordsikkerhet. Der finner man også informasjon om noen av kursene NSMs kurssenter tilbyr.
NSM har utarbeidet grunnprinsipper som beskriver de sentrale grepene virksomhetene bør ta for å bedre forebyggende sikkerhet. Flere av disse er tilgjengelige på NSMs nettside:
- Grunnprinsipper for IKT-sikkerhet
- Grunnprinsipper for personellsikkerhet
- Grunnprinsipper for fysisk sikring (blir tilgjengelig på NSMs hjemmesider ila. 2020)
- Grunnprinsipper for sikkerhetsstyring er også under utarbeidelse
NSM erfarer at mange virksomheter har mye kompetanse innen sikkerhet, men at denne ikke alltid er satt tilstrekkelig i et system. Dette gjelder spesielt virksomheter som ikke har forebyggende sikkerhet som en del av sin kjernevirksomhet.
Ny sikkerhetslov stiller imidlertid større krav til kompetanse. Denne bør derfor vedlikeholdes og videreutvikles av den enkelte virksomhet og settes inn i et helhetlig system. Dette krever at virksomheten innfører en kombinasjon av tekniske, organisatoriske og menneskelige tiltak for å oppnå forsvarlig sikkerhetsnivå.
God forebyggende sikkerhet fordrer at vi vet hvilke verdier som må beskyttes, enten av hensyn til egen virksomhet, andre virksomheter eller av nasjonale hensyn. Det kan være utfordrende for den enkelte virksomhet å kjenne til hvilke verdier som kan være interessante for en trusselaktør. Trusselinformasjonen som Etterretningstjenesten og PST hvert år deler i sine ugraderte rapporter, kan da være til stor hjelp. Sikkerhetsarbeidet krever også at virksomhetene avdekker egne sårbarheter, og at de basert på en helhetlig risikovurdering iverksetter tiltak for å lukke disse sårbarhetene.
God forebyggende sikkerhet forutsetter derfor at virksomhetene tar i bruk regelverk, råd og veiledning om hvordan informasjon, informasjonssystemer, objekter og infrastruktur kan sikres, samt hvordan personellsikkerheten kan ivaretas.