It-sikkerhet viktigere enn noen gang

It-sikkerhet viktigere enn noen gang

KRONIKK: Holdninger som "dette skjer ikke her" kan koste virksomheten dyrt.

It-sikkerhet er en bærebjelke for å sikre at vi får mest mulig problemfri utnyttelse av nye og smarte løsninger som næringslivet og samfunnet trenger mer og mer av. Etterhvert har dette faget blitt en sentral del av hele virksomhetens sikkerhets- og risikoprofil.

2011 var, i henhold til den nettopp utgitte "X-Force Trend and Risk Report" (*), året med eksplosjonsartet utvikling i it-sikkerhetsbrudd globalt. Derfor er 2011 døpt til "The Year of the Security Breach". En rekke høyprofilerte eksempler fra Norge i den senere tid viser at vi ikke er noe unntak for problemer knyttet til it-sikkerhet og -sårbarhet.

Noen trender gjør dette spesielt tidsaktuelt.

1. Mobilbruk: Kombinasjonen av at vi har "hele kontoret" tilgjengelig på mobilen, at den er knyttet opp mot betalingsløsninger og at den kan spores på GPS gjør den mer attraktiv som mål for spionprogramvare. Vi tar stadig flere og mer avanserte enheter i bruk, og vi gjør det i en økende sammenblanding av privat og jobbrelatert bruk.

2. Sosiale medier: Den sterke veksten innen sosiale medier gir en ytterligere dimensjon på sårbaret som fanger interessen til stadig flere hackere og kriminelle. Flere tilfeller enn noen gang tidligere er rapportert der det blir gjennomført målrettede angrep mot individer som gjerne er nøkkelpersoner med en etterspurt kunnskap eller er ansatt i et interessant selskap. Gjennom for eksempel å indikere at man er en tidligere kollega, eller tilhører samme nettverk og utnytte Facebook, LinkedIn etc., opparbeider de seg tillit før de henter stadig mer informasjon blant annet ved å plante skadelig kode gjennom linker.

Noe av grunnen til at nettkriminelle lykkes er selvfølgelig mangel på gode it-sikkerhetsrutiner. Men vel så viktig, og oversett, er at selskapene ikke har nok fokus og bevissthet på bruk av mobile enheter og varsomhet innen sosiale medier.

For mange er det store og åpenbare fordeler og muligheter ved å la sine ansatte være stadig mer aktive på disse bruksområdene, også i embeds medfør. Men i lys av sikkerhet og sårbarhet må man ta nødvendige forholdsregler for å skjerme virksomheten. Den globale X-Force-rapporten viser til en undersøkelse hvor bare en tredjedel av bedriftene har en it-sikkerhets-policy for bruk innen sosiale medier. Og enda færre driver en aktiv justering av den. I Norge viser Dataforeningens årlige undersøkelse om "Norske virksomheters bruk av sosiale medier" at under halvparten har innført kjøreregler for ansattes bruk av sosiale medier, og dermed har de heller ikke sagt noe som helst om sikkerhet.

3. Hvor åpen skal man være?: Et av problemene med it-sikkerhet er behovet for å lære av det som foregår. Mange selskaper er imøtekommende når det gjelder å fortelle om at angrep eller sikkerhetshull, men ønsker sjelden å forklare hva som faktisk skjedde på et teknisk nivå. Sikkerhetshendelser dysses fort ned, og det er store mørketall. På tross av dette hadde fjoråret et svært høyt volum av høyprofilerte sikkerhetshendelser.

Mange er kanskje engstelige for å eksponere sine egne rutiner. En utfordring er nettopp mangel på vilje til å informere om hendelsene ned til et nivå slik at andre kan lære av det.

Det må være bedre å oppfordre til større åpenhet slik at andre kan sette inn tiltak raskere, og stoppe nye angrep ved økt felles innsats for å bekjempe trusselen mot ens egen virksomhet.

Det nye trusselbildet gjør det stadig mer krevende å finne det rette eller optimale nivået for it-sikkerhet, i en verden der datavolumet eksploderer, og der kommunikasjonsomfanget mellom mennesker bare øker – internt, men spesielt med eksterne.

Om sikkerhetsnivået var riktig i går, bør man gå gjennom det på nytt. Ikke bare i form av rene investeringer, men i form av rutiner og prosesser.

Men for å dra full nytte av de nye, fantastiske bruksmulighetene, og som gjør hele verden mer effektiv, sosial og smart, er det noen grunnleggende og tidløse råd som gjelder – og mer nå enn noengang før:

  • Gjennomfør regelmessig revisjon av din sikkerhetspraksis
  • Kontroller alle endepunktene
  • Segmenter/definer hvilke systemer og informasjon som er sensitiv
  • Beskytt nettverket
  • Revider dine web-applikasjoner regelmessig
  • Utdann brukerne innen phishing
  • Søk etter dårlige passord
  • Inkluder sikkerhet i alle prosjektplaner
  • Gå gjennom praksis hos dine forretningspartnere
  • Ha en beredskapsplan for it-sikkerhetshendelser

Med ønske om et sikkert IT-år i 2012!

Kilder:

1. IBM X-Force 2011; Trend and Risk Report, en årlig status på sikkerhetslandskapet og hvor trendene går. Dette baseres på 13 milliarder daglige sikkerhetshendelser i driftssentre over hele verden, samt forskning fra forskningsinstituttet X-Force.

2. Dataforeningens rapport "Norske virksomheters bruk av sosiale medier" siste tre år finnes her:http://www.dataforeningen.no