LANSERER: Statsminister Erna Solberg lanserte den nye statlige strategien for digital sikkerhet den 30. januar. (Foto: Skjermbilde fra Regjeringen.no)

LANSERER: Statsminister Erna Solberg lanserte den nye statlige strategien for digital sikkerhet den 30. januar. (Foto: Skjermbilde fra Regjeringen.no)

Regjeringens sikkerhetsråd til virksomhetene

Regjeringen har lansert sin nye strategi for digital sikkerhet i Norge. Både myndighetene og samfunnet forøvrig må bidra. Her er regjeringens ti sikkerhetsråd til virksomhetene.

Onsdag 30. januar lanserte regjeringen sine nye nasjonale strategier for digital sikkerhet og digital sikkerhetskompetanse. Statsminister Erna Solberg pekte under åpningen sin på at det offentlige har sitt ansvar, som hun understreker er en prioritet for regjeringen, men at alle i hele samfunnet har sitt delansvar å ta vare på.

For både offentlige og private virksomheter har regjeringen funnet fram til ti tiltak som bør gjennomføres for å høyne sin egen informasjonssikkerhet:

10 startråd til virksomhetene

Som en del av den nasjonale sikkerhetsstrategien har regjeringen funnet fram til ti råd som dels er basert på tidligere råd fra Nasjonal Sikkerhetsmyndighet (NSM) Direktoratet for forvaltning og IKT (Difi), i tillegg til tanker som har kommet gjennom samarbeid mellom både offentlige og private virksomheter.

Grunntanken er at gjennomføring av de ti tiltakene, både i privat og offentlig sektor, skal utgjøre en nasjonal innsats for å heve grunnsikringen i Norge. For å gjøre veien til å komme i gang med dette, har regjeringen satt opp de ti tiltakene som kan utgjøre en konkret og direkte måte å komme i gang med sikkerhetsarbeidet.

Organisasjon og styring:

  • Etabler tilstrekkelig systematikk for sikkerhetsstyring, og sørg for at en fagperson støtter ledelsen i arbeidet.
  • Inkluder digital sikkerhet i virksomhetens risikoarbeid. Etabler tydelig ansvar i virksomheten, og effektive rapporteringslinjer til toppledelse og styre.
  • Lag en oversikt over virksomhetens sentrale mål, hvilke verdier og verdikjeder som inngår, hvor viktige data lagres og hvem som har tilgang til disse dataene.
  • Kartlegg virksomhetens sikkerhetskultur og identifiser hva som kan forbedres. Fastsett ønsket kultur og gjennomfør tilpasset, årlige treningsprogram for å fremme god sikkerhetskultur.
  • Sats på god bestillerkompetanse og gjør en risikovurdering som forankres hos ledelsen.
  • Programvare og sikkerhet:

  • Oppgrader program- og maskinvare. Fjern unødvendig kompleksitet og ubrukt funksjonalitet. Blokker kjøring av ikke-autoriserte programmer.
  • Installer sikkerhetsoppdateringer så raskt som mulig. Beskytt trådløse nettverk med sterke sikkerhetsmekanismer. Planlegg og dokumenter endringer. Slå på logging og gjennomgå viktige logger jevnlig.
  • Bruk kun siste versjon av nettlesere. Beskytt e-post med DMARC. Krypter viktig informasjon når det lagres på bærbare medier og når det sendes over nettet.
  • Endre standard passord og ikke tildel sluttbrukere administratorrettigheter. Bruk 2-faktorautentisering, eller som et minimum, sterke passord.
  • Etabler en beredskapsplan for ulike typer hendelser og gjennomfør øvelser som tester planverket.
     

Regjeringen har publisert en plakat med strategien i kortform, den finnes her (PDF).

Tiltakene i hele strategien finnes i et eget dokument, der utdypinger om de ti tiltakene for virksomhetene finnes i del 2, fra og med side 32 (PDF).

 

It-sikkerhet