Innhold

Anbefalte it-sikkerhetstiltak

Åpen laptop

Digital trygghet krever innsats

Norge er et av verdens mest digitaliserte land, noe som i tillegg til muligheter også gir oss nye sårbarheter og utfordringer. Det er satset mye på innovasjon og utvikling, men ikke like mye på utdanning og kompetanse innen IT-sikkerhet.

Undersøkelser gjennomført av Næringslivets Sikkerhetsråd viser at tilfeldigheter og uflaks, samt menneskelige feil er hovedårsakene til at IT-sikkerhetshendelser oppstår. De samme undersøkelsene viser også at slike hendelser i stor grad oppdages ved en tilfeldighet.

Anbefalte sikkerhetstiltak: 

1. Digital sikkerhetskultur

  • Sørg for at medarbeiderne får opplæring i virksomhetens sikkerhetsrutiner med et spesielt fokus på å motstå sosial manipulering og svindel.
  • Styrk medarbeideres sikkerhetskunnskap, eksempelvis ved hjelp av opplæringspakker fra NorSIS og intern trening. Nasjonal sikkerhetsmåned arrangeres hver oktober og kan brukes til å gi medarbeidere innsikt i trusselbildet og hvordan de ved å følge virksomhetens sikkerhetsprosesser kan minske faren for uønskede hendelser.
  • Kartlegg virksomhetens digitale sikkerhetskultur for å avdekke om det er behov for å igangsette tiltak.
  • Økonomimedarbeidere bør få opplæring om direktørsvindel, og virksomheten bør innføre rutiner rundt overføringer av større beløp som gjør det vanskeligere for direktørsvindlere å lykkes.

2. Benytt NSMs Grunnprinsipper:*

  • Ivareta en sikker IKT-infrastruktur
    For at virksomhetens ansatte skal jobbe effektivt og ha tillit til arbeidsverktøyene må informasjonssystemene kunne stoles på. Dette gjøres ved å etablere robuste systemer og tjenester, konfigurere og tilpasse maskin- og programvare og verifisere at konfigurasjonen er riktig. Virksomheter med et fåtall ansatte kan ha nytte av å se på anbefalinger hos nettvett.no for sikring av datamaskin, mobiltelefon og nettbrett.
  • Ha kontroll på IKT-infrastruktur
    Virksomhetens IKT-infrastruktur vil være utsatt for ytre og indre påvirkninger. Dette kan være skadelig programvare som kan skade maskiner og nettverk, eller planlagte endringer som følge av et nytt regnskapssystem som skal innføres. Det vil uansett være en del hensyn virksomheten må ta slik at informasjonssystemene opprettholder den ønskede robustheten. I tillegg til rådene i grunnprinsipp 2.4 – «Ha kontroll på IKT-infrastruktur», bør virksomheten innføre tiltak for beskyttelse mot skadevare, overvåkning og analyse av IKT-systemet og håndtering av endringer. For å undersøke om de korrekte sikkerhetsmekanismene er på plass vil det i mange tilfeller lønne seg å gjennomføre tester og øvelser hvor man forsøker å oppnå tilgang til ressurser og data som man ikke skal ha tilgang til.
  • Ha kontroll på virksomhetens data og tjenester
    Virksomheter må ha kontroll på egne data og tjenester slik at behovet for konfidensialitet, integritet og tilgjengelighet ivaretas. Dette gjøres ved å ha kontroll på informasjonsflyten inn til og ut av virksomhetens nettverk, samt innad i eget nettverk. Data og tjenester må beskyttes både når det ligger lagret hos virksomheten, eller hos en tjenesteleverandør (se tiltak 3), og når data formidles over ulike informasjonskanaler. E-post og nettleser bør ha et særskilt fokus da mange av truslene (skadevare som kryptovirus, phishing-forsøk, direktørsvindel osv.) fra Internett kommer inn via disse kanalene. Se også NSM veileder «Grunnleggende tiltak for sikring av e-post».
  • Kontroller tilgang til data og tjenester
    Tilgangen til virksomhetens data og tjenester må kontrolleres slik at det ikke blir misbrukt av uvedkommende. Dette gjøres ved å ha kontroll på kontoer, kontrollere bruk av administrative privilegier, sørge for sikker pålogging, f.eks. med «To-faktor autentisering» og etablere hensiktsmessig logging.

3. Sikkerhetsfaglige anbefalinger for tjenesteutsetting

Tjenesteutsetting av IKT-tjenester til profesjonelle aktører kan gi bedre sikkerhet og mer stabile og tilgjengelige tjenester. Tilgang til ekspertkompetanse og verktøy man ikke selv besitter kan bedres, kostnader kan bli lavere og mer forutsigbare og det kan i større grad bidra til bedre fokus på virksomhetens kjerneaktivitet. Samtidig må virksomheter være bevisst hvilken risiko en tjenesteutsetting medfører. Tilsvarende eller høyere nivå på både tjenestekvalitet og IKT-sikkerhet bør være en målsetning ved tjenesteutsetting.

En tjenesteutsetting stiller store krav til egen virksomhet og krever annen kompetanse enn om tjenesten leveres av egen organisasjon. Før det foretas en strategisk beslutning om bruk av tjenesteutsetting bør virksomheten vurdere om den er «rigget» for å håndtere alle faser i en tjenesteutsettingsprosess. Virksomheten må også kartlegge hvilke lover, krav og regler som gjelder både nasjonalt og internasjonalt. Eksempelvis gir både Sikkerhetsloven og Personopplysningsloven med forskrifter føringer ved tjenesteutsetting. Noen sektorer har også regulert hvilke muligheter virksomheten har til å tjenesteutsette.

For å ivareta IKT-sikkerheten ved tjenesteutsetting, anbefaler NSM at virksomheten er bevisst behovet for:

  • Oversikt og kontroll på hele livsløpet
  • God bestillerkompetanse
  • Gode risikovurderinger for å kunne ta riktig beslutning
  • Riktige og gode krav til ikt-tjenesten og til leverandør
  • Riktig beslutning på riktig nivå

I dagens digitaliserte samfunn vil bortfall av IKT-tjenester som oftest påvirke hele eller store deler av virksomheten. Settes virksomhetskritiske tjenester ut til en tredjepart, kan det øke risikoen for både tilsiktede og utilsiktede hendelser som for eksempel bortfall av tjeneste eller tap/endring av data.

Beslutningen om tjenesteutsetting bør ikke utelukkende tas av virksomhetens IKT-miljø alene. Valg av leverandørmodell og tjenesteutsetting av IKT-tjenester er en viktig strategisk del av virksomhetsstyringen. Virksomhetens leder bør sørge for en godt forankret prosess for alle berørte parter i virksomheten. Når en beslutning om tjenesteutsetting tas, bør den baseres på risikovurderinger som beskriver tjenesteutsettingens påvirkning på hele virksomheten, herunder leveranseevne, IKT-portefølje, økonomi og behov for kompetanse.

 

* Oversikt over NSMs grunnpsinsipper for IKT-sikkerhet:

Hele veilederen Grunnprinsipper for IKT-sikkerhet kan lastes ned her (nsm.stat.no).