Innhold

Anbefalte tiltak mot datakriminalitet og cyberangrep

Kvinne med PC og ryggen til snakker til mann som drikker kaffe.

For å oppnå digital trygghet i bedriften må alle ansatte involveres.

Her får du innsikt i hvordan skape en digital sikkerhetskultur, råd fra Nasjonal Sikkerhetsmyndighet, sikkerhetsfaglige anbefalinger for utsetting av IKT-tjenester og definisjoner på begreper.

Norge er et av verdens mest digitaliserte land. Det skaper muligheter, samtidig som det gjør oss sårbare. Innovasjon og utvikling satses det mye på, men utdanning og kompetanse innen cybersikkerhet prioriteres ikke like mye.

Undersøkelser gjennomført av Næringslivets Sikkerhetsråd viser at tilfeldigheter og uflaks, samt menneskelige feil er hovedårsakene til at IT-sikkerhetshendelser oppstår. De samme undersøkelsene viser også at slike hendelser i stor grad oppdages ved en tilfeldighet.

Definisjoner for begrepene cyber-, informasjons- og IKT-sikkerhet

  • Informasjonssikkerhet: sikring av informasjon uavhengig av om den er lagret digitalt eller ikke. 
  • IKT-sikkerhet: sikring av informasjons- og kommunikasjonsteknologi (IKT) – altså maskinvare og programvare. Maskinvare kan være alt fra PC-er, servere, nettverksutstyr, mobiltelefoner og sensorer til droner og satellitter. Programvare inkluderer software som brukes til signalbehandling, analyser, prosessering av data, algoritmer, modeller og kontrollsystemer.
  • Cybersikkerhet: Sikring av alt som er sårbart ved bruk av IKT.  Dette kan være droner, biler, telekommunikasjon eller kraftforsyning. Siden bortimot alt vi omgir oss med i hverdagen, er styrt av IKT, danner cybersikkerhet grunnlaget for samfunnssikkerhet og trygghet i vid forstand.

Kilde: Digital21 (pdf) 

 

Anbefalte sikkerhetstiltak: 

1. Digital sikkerhetskultur

  • Sørg for at medarbeiderne får opplæring i virksomhetens sikkerhetsrutiner med et spesielt fokus på å motstå sosial manipulering og svindel.
  • Styrk medarbeideres sikkerhetskunnskap, eksempelvis ved hjelp av opplæringspakker fra NorSIS og intern trening. Nasjonal sikkerhetsmåned arrangeres hver oktober og kan brukes til å gi medarbeidere innsikt i trusselbildet og hvordan de ved å følge virksomhetens sikkerhetsprosesser kan minske faren for uønskede hendelser.
  • Kartlegg virksomhetens digitale sikkerhetskultur for å avdekke om det er behov for å igangsette tiltak.
  • Økonomimedarbeidere bør få opplæring om direktørsvindel, og virksomheten bør innføre rutiner rundt overføringer av større beløp som gjør det vanskeligere for direktørsvindlere å lykkes.

2. Benytt grunnprinsipper fra Nasjonal Sikkerhetsmyndighet (NSM):*

  • Ha kontroll på IKT-infrastruktur
    Virksomhetens IKT-infrastruktur vil være utsatt for ytre og indre påvirkninger. Dette kan være skadelig programvare som kan skade maskiner og nettverk, eller planlagte endringer som følge av et nytt regnskapssystem som skal innføres. Det vil uansett være en del hensyn virksomheten må ta slik at informasjonssystemene opprettholder den ønskede robustheten.

    I tillegg til rådene i grunnprinsipp 2.4 – «Ha kontroll på IKT-infrastruktur», bør virksomheten innføre tiltak for beskyttelse mot skadevare, overvåkning og analyse av IKT-systemet og håndtering av endringer. For å undersøke om de korrekte sikkerhetsmekanismene er på plass vil det i mange tilfeller lønne seg å gjennomføre tester og øvelser hvor man forsøker å oppnå tilgang til ressurser og data som man ikke skal ha tilgang til.
  • Ha kontroll på virksomhetens data og tjenester
    Virksomheter må ha kontroll på egne data og tjenester slik at behovet for konfidensialitet, integritet og tilgjengelighet ivaretas. Dette gjøres ved å ha kontroll på informasjonsflyten inn til og ut av virksomhetens nettverk, samt innad i eget nettverk.

    Data og tjenester må beskyttes både når det ligger lagret hos virksomheten, eller hos en tjenesteleverandør (se tiltak 3), og når data formidles over ulike informasjonskanaler. E-post og nettleser bør ha et særskilt fokus da mange av truslene (skadevare som kryptovirus, phishing-forsøk, direktørsvindel osv.) fra Internett kommer inn via disse kanalene. Se også NSM veileder «Grunnleggende tiltak for sikring av e-post».
  • Kontroller tilgang til data og tjenester
    Tilgangen til virksomhetens data og tjenester må kontrolleres slik at det ikke blir misbrukt av uvedkommende. Dette gjøres ved å ha kontroll på kontoer, kontrollere bruk av administrative privilegier, sørge for sikker pålogging, f.eks. med «To-faktor autentisering» og etablere hensiktsmessig logging.
Personvern

De som ønsker å utføre et cyberangrep trenger som regel at en ansatt i din bedrift gjør en feil for å lykkes.

3. Sikkerhetsfaglige anbefalinger for tjenesteutsetting

Tjenesteutsetting av IKT-tjenester til profesjonelle aktører kan gi bedre sikkerhet og mer stabile og tilgjengelige tjenester. Tilgang til ekspertkompetanse og verktøy man ikke selv besitter kan bedres, kostnader kan bli lavere og mer forutsigbare og det kan i større grad bidra til bedre fokus på virksomhetens kjerneaktivitet.

Samtidig må du være bevisst hvilken risiko en tjenesteutsetting medfører. Tilsvarende eller høyere nivå på både tjenestekvalitet og IKT-sikkerhet bør være en målsetning ved tjenesteutsetting.

En tjenesteutsetting stiller store krav til egen virksomhet og krever annen kompetanse enn om tjenesten leveres av egen organisasjon. Før det foretas en strategisk beslutning om bruk av tjenesteutsetting bør virksomheten vurdere om den er «rigget» for å håndtere alle faser i en tjenesteutsettingsprosess.

Virksomheten må også kartlegge hvilke lover, krav og regler som gjelder både nasjonalt og internasjonalt. Eksempelvis gir både Sikkerhetsloven og Personopplysningsloven med forskrifter føringer ved tjenesteutsetting. Noen sektorer har også regulert hvilke muligheter virksomheten har til å tjenesteutsette.

For å ivareta IKT-sikkerheten ved tjenesteutsetting, anbefaler NSM at virksomheten er bevisst behovet for:

  • Oversikt og kontroll på hele livsløpet
  • God bestillerkompetanse
  • Gode risikovurderinger for å kunne ta riktig beslutning
  • Riktige og gode krav til ikt-tjenesten og til leverandør
  • Riktig beslutning på riktig nivå

I dagens digitaliserte samfunn vil bortfall av IKT-tjenester som oftest påvirke hele eller store deler av virksomheten. Settes virksomhetskritiske tjenester ut til en tredjepart, kan det øke risikoen for både tilsiktede og utilsiktede hendelser som for eksempel bortfall av tjeneste eller tap/endring av data.

Beslutningen om tjenesteutsetting bør ikke utelukkende tas av virksomhetens IKT-miljø alene. Valg av leverandørmodell og tjenesteutsetting av IKT-tjenester er en viktig strategisk del av virksomhetsstyringen. Virksomhetens leder bør sørge for en godt forankret prosess for alle berørte parter i virksomheten. Når en beslutning om tjenesteutsetting tas, bør den baseres på risikovurderinger som beskriver tjenesteutsettingens påvirkning på hele virksomheten, herunder leveranseevne, IKT-portefølje, økonomi og behov for kompetanse. 

* Oversikt over NSMs grunnprinsipper for IKT-sikkerhet:

Hele veilederen Grunnprinsipper for IKT-sikkerhet kan lastes ned her (nsm.stat.no).

  • Arbinn.no forenkler din lederhverdag
  • Få raskt svar på spørsmål innen jus, HMS, lønn, tariff med mer.
  • Medlemskap i NHO gir tilgang til flere veiledere, nyttige verktøy og maler for kontrakter.
  • Innholdet holdes oppdatert av NHOs advokater og HMS-eksperter.

Verktøyet er gratis for NHO-medlemmer.

Som medlem får du tilgang til alt innhold på arbeidsgiverportalen Arbinn.no, advokathjelp, rådgiving, kurs, økonomiske fordeler, arrangementer og påvirkningsmuligheter i politiske saker.