IBM har over de siste 17 årene publisert rapporten: Cost of a Data Breach Report.[i] Denne rapporten gir innsikt de økonomiske konsekvensene av at datainnbrudd. Rapporten gir også et tydelig bilde på tiltakene bedrifter kan gjøre for å redusere kostnadene knyttet til et dataangrep. Nevnte rapport er basert på erfaringer fra 537 innbrudd i 17 land og baserer seg på 3500 intervjuer, og kan være et godt beslutningsgrunnlag også for bedrifter i Norge.
Den viktigste faktoren etter min mening fra rapporten var:
- 80% redusert kostnad med autonom og automatisert AI sikkerhetsplattform, der dette var aktivert og fult ut iverksatt.
Det gledelige med dette funnet er at dette også er det enkleste tiltaket som en bedrift kan iverksette. Det er tilgjengelig tjenester i dag som ikke bare opererer autonomt, men også kan tilknyttes erfarne sikkerhetsteknikere og etterforskere slik at responsen ved en hendelse blir best mulig.
Hvordan være i forkant når det kommer til informasjonssikkerhet?
Med utgangspunkt i erfaringer fra tidligere datainnbrudd og ransomeware-angrep i Norge ser vi at påkjenningen for de involverte kan være betydelig. Produksjonskritiske systemer blir utilgjengelig, et høyt antall teknikere må inn for å bistå både for å løse de forretningsmessige oppgavene under et innbrudd, men også for å stenge ute de kriminelle og gjenopprette systemene til normaltilstand.
Organisasjoner i Norge har man over mange år arbeidet systematisk med ledelsessystemer knyttet til kvalitet og sikring av kvalitet på forretningsprosesser. ISO 9001 og ISO 14001 er gullstandarder for å dokumentere at kvaliteten i systemene er på et høyt nivå. Samtidig har disse sikret en kontinuerlig forbedring av kvalitet på produkter, tjenester og forretningsprosesser.
I forhold til datasikkerhet, eller informasjonssikkerhet som er et mer dekkende begrep så er det ISO27001 som er gullstandarden. Det å arbeide etter en slik standard er spesielt verdifullt innenfor informasjonssikkerhet. Som en start kan anbefalingen være og bygge opp sikkerheten med utgangspunkt i dette rammeverket, selv om man ikke går for sertifisering. Begrunnelsen for å benytte et slik rammeverk, er at arbeidet med informasjonssikkerhet er av meget tverrfaglig art. Et godt sikkerhetsarbeid involverer Ledelse, risikoeiere, HR, IT, IT-driftspartner og en sikkerhetspartner på beredskapsplaner og respons ved hendelser. Det vi ser er at et rammeverk slik som ISO 27001 sikrer en god involvering av alle parter, samtidig som ledelsen får beslutningsgrunnlag basert på forståelse av risikobilde og risikoreduksjonen som forventes av tiltakene som gjennomføres. Samtidig er det en kraftig utvikling i teknikkene og verktøyene trussel aktørene tar i bruk. Vi mener at sikkerhetsarbeidet fremstår som å skyte på et mål i rask bevegelse. Derfor er den kontinuerlige forbedringsmekanismen i et slikt rammeverk av stor betydning og viktighet for å ha oppdaterte sikkerhetsløsninger.
«Mange virksomheter som rammes av digital utpressing er i liten grad forberedt. Veien inn i virksomhetens systemer er ikke nødvendigvis så avansert – et dårlig passord kan være nok.» [ii]
Hvor starter arbeidet med å styrke informasjonssikkerheten i din bedrift?
For å starte diskusjonen rundt informasjonssikkerhet og hvordan det står til i din organisasjon kan det å svare på spørsmålene nedenfor være et utgangspunkt:
- Har bedriften en sikkerhetsplattform som er installert på servere, PC-er og Mac-er til alle ansatte i bedriften der du kan se realtime sikkerhetsscore for hele bedriften?
- Har teknisk etterforskningsteam rask tilgang til dataene fra sikkerhetsplattformen din ved en hendelse?
- Når testet dere sist ledelsens beredskapsplan ved datainnbrudd, plan for teknisk etterforskning og plan for gjenopprettelse og idriftsettelse?
- Har du et oppdatert handlingskort som definerer de oppgaver du skal gjennomføre ved en hendelse?
- Hvilket system skal gjenopprettes først?
- Hvor finner du ut hvem som har tilganger til dine systemer i dag og når ble gamle tilganger fjernet sist?
- Hvor lang tid tar det å få en oversikt over eiendeler (Assets) i din bedrift. Hvordan deles ei assetliste til et etterforskningsteam ved en hendelse?
Svarene som kommer frem, gir bedriften flere gode forbedringsområder og oppstartsområder.
Hvordan komme i gang med forbedringsarbeidet?
Det viktigste tiltaket er å inngå en avtale på en sikkerhetsplattform som beskytter servere og hver PC og MAC til alle ansatte. Dette har blitt viktigere og viktigere da ansatte utfører flere oppgaver på hjemmekontor og utenfor de etablerte sikkerhetssystemene til bedriften. Det er også tiltak som To-faktor og bruk av passordhvelv for alle ansatte som alle er enkle tiltak som raskt øker sikkerheten i din bedrift. Nasjonal sikkerhetsmyndighet gjør et utmerket arbeid knyttet til sikkerhetsarbeidet i Norge og er en solid kilde til kunnskap knyttet til informasjonssikkerhet. [iii]
Tips til punkter for å komme i gang med kontinuerlig forbedring av sikkerheten hos dere
Det kan virke komplisert å komme i gang med arbeidet knyttet til kontinuerlig forbedring av informasjonssikkerheten. Med utgangspunkt i erfaringer fra tidligere kunder har vi satt opp tre tips. Det vi ser er at det ikke krever en betydelig innsats på å løfte sikkerhetsarbeidet betydelig, men at det er et langsiktig arbeid der arbeidet med bygging av sikkerhetskulturen er en viktig grunnstein i arbeidet.
Våre tre tips er:
- Utarbeid en sikkerhetsmanual til alle ansatte i din bedrift.
- Benytt Teams og Tasks i arbeidet med å tilgjengeliggjøre dokumenter knyttet til sikkerhetsarbeidet, samtidig som oppgaver og samhandling organiseres gjennom teamene og ved bruk av Task-applikasjonen. De fleste bedrifter har disse programmene allerede tilgjengelig og opplæring knyttet til bygging av sikkerhetskulturen kan enkelt kjøres en-til-en og til grupper gjennom teams-møter.
- Gjennomføre en øvelse der senarioet er at bedriften er angrepet av ransome-virus. En god start er en skrivebords øvelse (uten test av de tekniske systemene) der ledergruppen går gjennom et tenkt tilfelle og setter opp handlingskort til de ansvarlige for gjennomføring av oppgaver ved et angrep. Det personlige handlingskortet spesifiserer oppgavene som skal utføres ved en hendelse.
Hvordan organisere sikkerhetsarbeidet for å imøtekomme kompleksiteten
Organiseringen av sikkerhetsarbeidet er et interessant tema. Den tradisjonelle modellen er at IT avdelingen tar denne oppgaven. Eller at Økonomisjef har rollen som IT ansvarlig der selve driften er satt ut til en IT-Driftspartner. Den store utfordringen knyttet til en slik modell er at IT sjef og IT avdelingen i perioder kan oppleve store arbeidsmengder på grunn av digitaliseringsprosjekter, eller på grunn av innføring av nye IT verktøy i bedriften. Kjernevirksomheten blir prioritert først og sikkerhetsarbeidet blir utsatt.
Fremdriften i sikkerhetsarbeidet må etableres på nytt etter at prosjekter er ferdigstilt. Med dette som grunnlag anbefaler vi å opprette en egen rolle, eller inngå et samarbeid med en sikkerhetspartner som fungerer som sikkerhetskoordinator. Sikkerhetskoordinator har en tverrfaglig prosjektlederrolle mellom IT-sjef/IT-driftspartner/ledelse og leverandørene av de sikkerhetsproduktene som allerede er på plass. I rollen ligger også fremdriftsansvaret for gjennomføring av tiltak og sikrer gjennom dette arbeidet med kontinuerlig forbedring av informasjonssikkerheten. Det er mulig å leie inn en sikkerhetskoordinator der systemene bygges opp og overleveres til ansvarlige internt når dokumentene og kontrollene er etablert. Sikkerhetskoordinatoren vil etablere dokumenter og kontroller, samt utdanne internkontrollører og internrevisorer slik at organisasjonen over tid kan inkludere disse oppgavene som en del av kjernedriften.
Vi er samarbeidspartner med aktører innen en rekke næringer i Norge. Vi hjelper disse bedriftene med etablering og vedlikehold av ISMS, andre kunder leder vi den daglige gjennomføringen av sikkerhetsarbeidet, eller vi leverer sikkerhetsplattformen Cynet[iv] til kundene. Vi er også kontaktpunktet hvis bedriften blir utsatt for datakriminalitet. Min konklusjon er at bedrifter som starter et systematisk sikkerhetsarbeid, raskt reduserer risikoen knyttet til en hendelse. Bedrifter trenger ofte bistand til å etablere sikkerhetsarbeidet, med et behov for økte ressurser i en kort periode til utarbeidelse av styringsdokumenter tilpasset bedriften, etablering av kontroller, gjennomføre første risikovurdering og starte arbeidet med internkontroller[v]. Avslutningsvis er min konklusjon at det er enklere å komme i gang med sikkerhetsarbeidet enn det generelle inntrykket ledere og eiere sitter med i dag.
Linker til ressurser
Om det er spørsmål eller ønskelig med erfaringsutveksling angående organisering og samhandling knyttet til informasjonssikkerhetsarbeidet, er et eksempel på det slik samarbeid beskrevet i denne linken: Bygger fremtidens teknologi for bærekraftig fiskeoppdrett – Funn. Det er også mulig å bli satt i kontakt med disse aktørene for å dele erfaringer og få innspill. Nedenfor er linker til ressurser knyttet til arbeid med informasjonssikkerhet.
Vil du ta en nærmere prat angående informasjonssikkerhet og hva vi kan tilby, er kontaktinfo mobil: 915 72 171 eller e-post: Ogi@365.vikt.no
Linker
[i] https://www.ibm.com/security/data-breach
[ii] Link til artikkel 1.12.2021 hos NSM: https://nsm.no/fagomrader/digital-sikkerhet/rad-og-anbefalinger-innenfor-digital-sikkerhet/skadevare/digital-utpressing-situasjon
[iii] Link til NSM: Nasjonal sikkerhetsmyndighet – Forsiden (nsm.no)
[iv] Link til AI drevet sikkerhetsplattform: Automatisert beskyttelse mot digitale trusler – VIKT
[v] Link til Digdir: Internkontroll i praksis – informasjonssikkerhet | Digitaliseringsdirektoratet – Difi