NSM: Stadig flere cyberangrep

Les myndighetenes råd for bedre IT-sikkerhet

Bente Hoff Nasjonal sikkerhetsmyndighet

Flere cyberangrep: IT-sikkerhet blir vanskeligere og vanskeligere, sier Bente Hoff i Nasjonal sikkerhetsmyndighet (NSM). FOTO: NSM

– Antall cyberangrep øker og blir stadig mer komplekse. Dette er en trend vi forventer vil fortsette, sier IT-sikkerhetsekspert Bente Hoff i Nasjonal sikkerhetsmyndighet.

Nasjonal sikkerhetsmyndighet (NSM) er Norges ekspertorgan for informasjonssikkerhet, og Norges nasjonale fagmiljø for IKT-sikkerhet. Organisasjonen overvåker blant annet cyberangrepene mot Norge. Seksjonssjef for strategisk IKT-sikkerhet, Bente Hoff, i Nasjonal  sikkerhetsmyndighet (NSM) forteller at pilene peker én vei – oppover.

– Vi har de siste årene sett en økning i antall cyberhendelser og de alvorligste angrepene blir mer komplekse. Et eksempel er økt bruk av kryptering blant trusselaktører, sier Hoff.

Alt håp er imidlertid ikke ute. Sikkerhetseksperten understreker at de aller fleste angrep kan forhindres ved god grunnsikring av IKT-systemene.

– Hvilke cyberangrepstrender ser sikkerhetsmyndighetene?

– Fortsatt er det epost med lenker eller vedlegg som er den vanligste måten for utenforstående å komme inn i en virksomhets datasystemer på, svarer Hoff før hun fortsetter:

– Vi ser at gjerne utnytter det svakeste leddet i en verdikjede. Vi har sett at angripere forsøker å utnytte svakheter hos underleverandører.

– Betyr det at man ikke bør sette ut drift av hele eller deler av IT-systemene (outsourcing)?

– Nei, en liten IT-avdeling i et selskap kan slite med å ha god nok breddekompetanse på IT-sikkerhet. Utsetting av IT-tjenester kan gi bedre sikkerhet, men utsetting krever gode risikovurderinger og god bestillerkompetanse, understreker Hoff.

Sikker outsourcing

Hun understreker at større og mer kompetente IT-miljøer reduserer sårbarhetene. På den andre siden fører tjenesteutsetting økt sikkerhetsrisiko på grunn av redusert kontroll på stadig mer komplekse verdikjeder. Det gjelder ikke minst når man tar i bruk skytjenester.

Hoff og NSM girt følgende råd for å ivareta sikkerheten best mulig når man tar i bruk skytjenester eller setter ut IT- tjenester.

– Virksomheten bør kartlegge hvilke verdier som eksponeres ved tjenesteutsetting, og vurdere dette opp mot behovet for konfidensialitet, integritet og tilgjengelighet. I tillegg er risikoprofil, geografisk plassering og nasjonal tilhørighet til tjenesteleverandøren(e) en del av det totale risikobildet som må vurderes, anbefaler Hoff.

Hun sier at mange føler at børa blir løftet av skuldrene når man setter ut IT-tjenester, men understreker at man fortsatt har ansvar for data og informasjon.

Pass på informasjonen

Sensitive data og graderte data er underlagt Lov om forebyggende sikkerhetstjeneste (sikkerhetsloven), men hva som faller inn under "sensitive data" varierer fra virksomhet til virksomhet og fra sak til sak.

– Hver enkelt virksomhet bør vurdere hva som er sensitiv informasjon for dem. Det kan være anbudsdokumenter, avtaler, produkttegninger, tilbud, kundelister eller annen informasjon som det vil ha store konsekvenser om man mister tilgang til eller konkurrenter får adgang til. Og tenk gjennom hvilke datatap det er kleint om mediene slår opp. Tap av omdømme kan få alvorlige konsekvenser, sier Hoff.

Hoff viser et lysbilde som viser ulike aktører i cyberkrimlandskapet, alt fra rampestreker til spionasje, sabotasje og krise/krig. NSM konsentrerer innsatsen mot de tre siste gruppene.

– De ulike aktørene benytter mange av de samme verktøyene og metodene, sier Hoff.

 

Ulike trusselaktører

Sikkerhetseksperten viser til en undersøkelse fra 2016 som viser at nesten halvparten, 46 prosent, av virksomhetenes mest alvorlige hendelser ikke ble fanget opp av rutiner, kontroller og revisjoner, men oppdaget ved en tilfeldighet.

NSMs konklusjon er at mange alvorlige hendelser som treffer virksomhetene, trolig går upåaktet hen. "For å kunne bedre sikkerhetstilstanden og styre risiko må man ha god kjennskap til egne systemer og sårbarheter i disse," råder sikkerhetsmyndighetene.

Fire trinn mot bedre sikkerhet

NSM har laget et sett med grunnprinsipper for hvordan IKT-systemer bør sikres for å beskytte verdier og leveranser. De beskriver hva en virksomhet bør gjøre for å sikre et IKT-system, hvorfor det bør gjøres, men ikke hvordan.

Grunnprinsippene er delt inn i fire trinn:
1. Identifisere og kartlegge

Kartlegg leveranser, verdikjeder, enheter, programvare, brukere og tilgangsbehov.

2. Beskytte

Ivareta sikkerhet i utviklingsprosesser, sikker design av IKT-miljø. Ha kontroll på infrastruktur og kontoer. Beskytt informasjon og datatransport, epost og nettleser.

3. Opprettholde og oppdage

Sørg for god endringshåndtering. Beskytt mot skadevare. Gjennomfør inntrengingstester og «red-team»-øvelser. Overvåk og analyser IKT-systemet.

4. Håndtere og gjenopprette

Forbered virksomheten på håndtering av hendelser, vurder og kategoriser hendelser og lær av hendelser.

Her finner du sikkerhetsmyndighetenes "Grunnprinsipper for IKT-sikkerhet".

Annonse

IT-sikkerhet

* Et datainnbrudd koster i snitt 90 millioner kroner for de rammede bedriftene.

* En tredjedel av alle selskaper i Europa oppgir at de har hatt datainnbrudd.

* Halvparten av dataangrep retter seg mot klienter (PC-er, mobiler, nettbrett, skrivere).

* I snitt leser 30 prosent av ansatte leser phishing-eposter, 12 prosent åpner vedlegg eller klikker på linkene i eposten.

* I "NOU 2015:13 Digital sårbarhet – sikkert samfunn" refereres det til tall samlet inn av Center for Strategic and International Studies som estimerer at Norge taper omtrent 20 milliarder kroner pr. år grunnet IKT- kriminalitet.

* Nasjonal sikkerhetsmyndighet (NSM) er Norges ekspertorgan for informasjons- og objektsikkerhet, og det nasjonale fagmiljøet for IKT-sikkerhet. Direktoratet er nasjonal varslings- og koordineringsinstans for alvorlige dataangrep og andre IKT-sikkerhetshendelser.

Kilder: Ponemon Institute, PwC og Ernst & Young.

Andre leser også
Annonse