Fagblogg | NetSecurity

De største sårbarhetene innen IT-sikkerhet i 2020

Skrevet av Tor Vigesdal | 4. mai 2020 07:37:25 Z

Det er mange faktorer som skal på plass før bedriften din har et målbart system for IT-sikkerhet, og sårbarhetene, som fort blir til trusler, kan befinne seg mange steder i organisasjonen. I denne artikkelen peker vi på de største sårbarhetene innen IT-sikkerhet for bedrifter akkurat nå.

 

Manglende oversikt

Oversikt over egen situasjon er en forutsetning for å bygge et velfungerende system for IT-sikkerhet. Oversikten dreier seg i hovedsak om to områder: Hva slags IT-løsninger som er i bruk, og hvilke verdier angriperne er ute etter. 

Mange bedrifter har ikke denne oversikten, og kan derfor eksponere flere lett tilgjengelig angrepsflater. Ved å ha tydelige interne policyer på hva slags skytjenester som kan brukes og hvilke applikasjoner det er greit å installere på arbeids-PC-er, kan bedriften unngå de største feilskjærene. Lag også føringer for at IT drift og sikkerhet skal delta i eller være ansvarlige for anskaffelsesprosessene. Fokuset skal først og fremst være på bedriftens behov, men du bør tidlig vurdere samspillet med den totale IT-løsningen, slik at du ivaretar overvåking og rapportering.

For å ha en optimal IT-sikkerhet, er det en forutsetning å vite hva du forsvarer, og hvem du forsvarer deg mot. Enhver bedrift må ha oversikt over egne verdier, fordi det som er verdifullt for bedriften med stor sannsynlighet også er det som er attraktivt for angripere og kriminelle. Når du vet hva du skal beskytte, er det betydelig lettere å bygge forsvaret rundt det. Det kan også gjøre det mulig å bruke rimeligere og mer fleksible IT-løsninger for de verdiene som har lavere beskyttelsesbehov. 

Et enkelt triks for å sikre en viss oversikt er å sørge for at alle ansatte registrerer alle digitale enheter som brukes på jobb. Da kan du gjøre en risikobasert vurdering på hvilke beskyttelsesmekanismer du må ha på plass, og hvilke aktivitetslogger du skal hente inn. Ved å ha riktig logging vil det være mulig å gå tilbake og analysere aktiviteter utført i forkant av en hendelse. Det vil være svært nyttig for bedriften å kunne legge ved en full oversikt over handlinger og omfang i en rapport til Datatilsynet, enten hendelsen ble forårsaket av en uheldig ansatt eller av en ondsinnet utøver. I beste fall vil du kunne bevise hvilke opplysninger som faktisk ble berørt av hendelsen, og forhåpentlig konkludere med at ingen skade har skjedd.

 

Mangel på kunnskap 

Svakheter i bedriftens eget system for IT-sikkerheten er en ting - men de mest alvorlige truslene kommer først og fremst i form av uvedkommende som prøver å komme seg inn i systemene dine. Cyberkriminelle kan ha som mål å stjele, manipulere eller gjøre annen skade. Og én ting vet vi sikkert: De hviler ikke på laurbærene.

Det kan virke som en umulig oppgave å holde tritt med nye metoder for hacking og digitale angrep, men det er mange grep du kan ta for å holde deg oppdatert og være så godt forberedt som mulig. Selv om det kan virke som at angriperne har overtaket, fordi de er så raske og stadig forbedrer egne rekorder hva angrepstid gjelder, er det viktig å huske at det er mange flere som vil stoppe hackerne enn det er cyberkriminelle. Produsenter, leverandører og andre aktører er interessert i å hjelpe sine kunder og samarbeidspartnere med å opprettholde et så godt forsvar som mulig, og de deler av nyeste kunnskap og informasjon i form av nyhetsbrev, podkaster og artikler. 

Sjekk gjerne ut NSM, eller SANS Internet Storm Centers Daily Information Security Podcast for en kort og informativ daglig oppdatering. 

 

Kontinuerlige vurderinger - også etter at bestillingen er gjort

Vi ser ofte at folk gjør IT-sikkerhetsvurderinger i forkant av at de anskaffer programmer som Microsoft 365 via en driftspartner. Når de så tar løsningen i bruk, tar de det for gitt at nye IT-sikkerhetsvurderinger blir gjort fortløpende. I slike avtaler er det sjelden spesifisert hvem som har ansvar for den kontinuerlige sikkerhetsvurderingen. Dermed blir dette gjerne hengende i løse luften frem til det oppstår situasjoner der behovet for en sikkerhetsansvarlig er helt prekært. Leverandøren kan ha startet opp med en beste praksis, men har ikke noe formelt oppfølgingsansvar. Igjen er vi tilbake til det med å ha oversikt: Du må vite hva gullet ditt er, og hvordan du skal beskytte det. 

Det er mange måter å bruke Microsoft 365 på, det kan låses helt ned eller det kan være helt åpent, riktig bruk forutsetter at du dokumenterer dine behov og vet hvordan du setter det opp. Et IT-sikkerhetsselskap kan gjennomføre revisjoner av skytjenester hos kunder, for å gi både bestiller og leverandør en uavhengig vurdering av gjeldende vs beste praksis.

 

IT-sikkerheten er usynlig 

IT-sikkerhet lider ofte under at det ikke blir synlig hvor viktig det er før det er for sent. Det samme gjelder for forsikring: Vi forsikrer både bil, hus og oss selv, til tross for at det jo som regel går bra. Tanken på ikke å forsikre huset ditt eller ikke å ha reiseforsikring når du reiser på ferie med familien, er vel uhørt for de fleste. 

Dersom du har et godt, oppdatert og sikkert IT-system, blir det som å ha alarmmerke på døra inn til huset ditt. Ser innbruddstyvene at du har alarm, går de sannsynligvis videre til neste hus. Cyberkriminelle scanner etter sårbarheter, men møter de en sikker mur, går de som regel videre til neste. Ja, det koster penger å sikre bedriftens verdier også digitalt, og nei, du merker lite til ingenting av et velfungerende IT-sikkerhetssystem. Men prisen for ikke å gjøre en innsats og dermed åpne dørene for cyberkriminelle er så ubegripelig mye større.

Manglende opplæring og implementering

For at IT-sikkerheten i bedriften skal fungere best mulig, er det helt avgjørende at alle ansatte har et forhold til dette. Å etablere policyer som tydeliggjør regler for nedlastinger, avklaringer for hva arbeids-PC-er kan og ikke kan brukes til, samt rutiner og retningslinjer for alt knyttet til IT-sikkerhet, er et svært godt fundament. 

Ansatte som laster ned de programmene de selv synes ser spennende ut, som kobler seg på usikrede nettverk, bruker det samme selvkomponerte passordet på alle innlogginger, og som ikke har sett verdien i de ekstra sekundene det tar å bruke VPN mens de jobber hjemmefra, utgjør en sårbarhet av uante dimensjoner for bedriften de jobber i. 

 

Les mer om våre tips for internopplæring i IT-sikkerhet.

 

En profesjonell aktør som et IT-sikkerhetsselskap kan bidra til å utforme slike policyer, og foreslå prosedyrer, rutiner og systemer som tillater best mulig flyt i arbeidsdagen, samtidig som sikkerheten ivaretas.