I forrige innlegg skrev vi om hva sårbarheter kan føre til i en virkelighet der digitaliseringen av samfunnet hele tiden utvider sårbarhetsflatene til det vi ønsker å beskytte. Per i dag er Norge det mest digitaliserte landet i verden, noe som skaper nye sårbarheter.
For å kunne beskytte verdiene sine må organisasjoner og virksomheter redusere sårbarhetene. Forebyggende sikkerhetstiltak og etablering av god grunnsikring av IKT-miljøet krever både aktive og passive strategier.
Første steg for å lukke virksomhetens sårbarheter er å skaffe seg oversikt over dem.
Manglende oversikt
Virksomhetene har primæransvaret for at nødvendige sikkerhetstiltak blir utført for å verne om sine verdier og bygge robusthet og motstandsdyktighet mot cyberangrep.
Dagens trusselbilde, med stadig mer avanserte angrep som vedvarer over tid, gjør det imidlertid svært krevende og kostbart for bedrifter å skulle bære dette ansvaret alene.
Det digitale sårbarhetsutvalget skriver i sin rapport (NOU 2015:13) at på grunn av kompleksiteten i de digitale verdikjedene er det ingen virksomheter somhar full oversikt over egne sårbarheter.
Sikkerhet som tjeneste
Det er ikke slik at alle sårbarheter i seg selv utgjør aktive trusler, og nettopp derfor er det utfordrende for bedrifter å vite ...
1. Hvilke sårbarheter som utgjør høyest forretningsrisiko
2. I hvilken rekkefølge de må prioriteres
3. Hvordan sårbarhetene kan lukkes raskest mulig
Se for deg sårbarheter som hull i en rustning. Hullene utgjør kanskje ikke en risiko her og nå, men før eller siden vil de gjøre det. Helst bør hullene tettes før noen klarer å utnytte dem, for eksempel ved å skyte piler gjennom.
Utfordringen med stadig mer komplekse IKT-systemer og infrastrukturer er at det florerer av slike svake punkter, både av teknisk, organisatorisk og menneskelig art.
Angripere finner stadig nye “hull i rustningen” – nye sårbarheter i programvare oppdages daglig. Metodene for å trenge inn og utnytte sårbarhetene utvikles raskere enn bedriftenes mottiltak.
Derfor benytter stadig flere organisasjoner og virksomheter seg av sikkerhet som tjeneste for å få hjelp med å navigere trygt i et stadig mer utfordrende trusselbilde.
Kartlegg sårbarhetene
Gjennom effektiv sårbarhetshåndtering, der man i samarbeid med en leverandør av IKT-sikkerhetstjenester og -løsninger etablerer et system for å finne, kategorisere og prioritere sårbarheter, vil bedriften kunne ligge i forkant, slik at forsøk på angrep oppdages tidlig. Dermed kan disse forhindres, eller konsekvensene av angrep kan begrenses.
Arbeidet med å kartlegge sårbarheter baserer seg på tre grunnleggende sikkerhetstiltak:
1. Kjøre rekognosering og penetrasjonstesting for å avdekke sårbarheter og risiko
2. Patch management – Ha kontroll over software i alle ledd (firmware, software, operativsystem, servere, biblioteker, databaser)
3. Asset management – Ha oversikt over utstyr, versjoner
Konklusjon
God styring av risiko i bedriften er en forutsetning for å verne om virksomhetskritiske verdier, med tilstrekkelige sikringstiltak.
Som bedrift må dere skaffe dere oversikt over sårbarhetene, ved hjelp av sikkerhetsfaglig spesialkompetanse.
Sårbarhetshåndtering og risikostyring bidrar til å gjøre bedriften klar over hvilke interne og eksterne trusler man står overfor, og bør være en integrert del av virksomhetens kjerneprosesser.