- Stadig økende kompleksitet og raffinement

For de som jobber med informasjonssikkerhet, må 2014 ha fortont seg som en endeløs strøm av trusler og sikkerhetsbrudd, som har påvirket butikkjeder, banker, spillnettverk, myndigheter og andre.

Nå som året nærmer seg slutten, kan vi forvente at størrelsen, alvorligheten og kompleksiteten til cybertruslene bare vil fortsette å øke i det nye året, sa Steve Durbin, administrerende direktør i Information Security Forum (ISF) til vår amerikanske søsterpublikasjon Cio.com.

ISF er en non-profitorganisasjon som jobber med informasjonssikkerhet på vegne av sine medlemmer. Disse medlemmene er store virksomheter innenfor både offentlig forvaltning og i det private næringsliv, og mange av disse finnes på Fortune 500 og Forbes 2000-listene.

For det kommende året ser Steve Durbin fem sikkerhetstrender som kommer til å dominere det nye året.

- For meg er det ikke mye som er spesielt nytt, det som er nytt, er økningen i kompleksitet og raffinement, mener han.

Cyberkriminalitet

- Internettet utgjør stadig mer attraktive jaktmarker for kriminelle, aktivister og terrorister, som er motivert av å skaffe seg penger, bli lagt merke til, skape forstyrrelser og til å med ta ned bedrifter og myndigheter ved hjelp av angrep fra nettet, sa Durbin.

Dagens datakriminelle opererer primært ut fra tidligere Sovjet-stater. De har svært høy kompetanse og er utstyrt med de aller mest moderne verktøy. Durbin observerte at de ofte «bruker verktøy fra det 21 århundre for å angripe systemer fra det 20. århundre».

I tillegg fortalte han at man gjennom 2014 har sett at de datakriminelle i stadig større grad samarbeider seg i mellom, og har demonstrert et nivå av teknisk kompetanse som tok mange store organisasjoner på sengen.

- I 2015 må organisasjonene være forberedt på det uforutsigbare, slik at de klarer å stå i mot uforutsette hendelser med høy innslagskraft. Organisasjoner som klarer å identifisere hva virksomheten er mest avhengig av, vil klare å tallfeste forretningsverdier slik at de kan investere i robusthet, og på den måten minimere effekten av uforutsette hendelser, sa Durbin.

Personvern og regulering

Myndighetene verden over har, eller er i ferd med å, etablere lovverk og reguleringer om lagring og behandling av personlig identifiserbare data. Mange steder har myndighetene innført sterke sanksjonsmuligheter mot virksomheter som ikke klarer å beskytte slike data tilstrekkelig.

Derfor mener Durbin at organisasjonene må både håndtere personvern som et regulatorisk spørsmål, og som en forretningsrisiko for å redusere både lovmessige sanksjoner og forretningsmessige kostnader som for eksempel omdømmetap og kundeflukt som følge av tap av persondata.

Lappeteppet av forskjellige lover og reguleringer verden over vil antakelig komme til å bli en økende byrde for virksomhetene i 2015, mener han. Durbin legger også til at regelverket, og strenge reaksjoner på brudd på reglene, er spesielt viktig for virksomheter som er aktive i EU-landene, ettersom det foregår mye aktivitet på dette området i unionen for tiden. Derfor må bedrifter holde øye med utviklingen der, og legge sine planer deretter.

- Lovgiverne og myndighetene legger et større ansvar og byrde på bedriftene. Derfor må bedriftene ha ressurser på plass for å svare på dette, og følge med på hva som skjer. Har du slike ressurser internt, vil du har mer bruk for dem framover. Har du det ikke, kommer det nye kostnader på dette området, sa han.

Trusler fra tredjeparter

Forsyningslinjene er en vital komponent i enhver bedrifts globale operasjoner, og utgjør ryggraden i dagens globale økonomi. De sikkerhetsansvarlige i bedriftene bør være mer oppmerksomme på hvordan dette påvirker risikobildet, mener Durbin. Mye viktig og verdfull informasjon blir ofte delt med leverandørene, og når informasjon blir delt, forsvinner den direkte kontrollen. Dette fører til økt risiko for informasjonsbrudd.

Selv tilsynelatende uskyldige tilkoblinger kan utnyttes. Angrepet på den amerikanske butikkjeden Target i år, utnyttet en webtjenesteforbindelse som selskapets leverandør av klimaanlegg brukte for å sende inn fakturaer.

- I løpet av det kommende året kommer tredjepartene til å oppleve økende antall av rettete angrep, og det er usannsynlig at de klarer å garantere at informasjonens konfidensialitet, integritet og tilgjengelighet er sikret, sa Durbin.

Han anbefaler derfor bedriftene å jobbe med å avdekke konsekvensene av tap av informasjon og brudd på forbindelsene bedriftene har med sine leverandører.

- Det er maktpåliggende at bedriftene har robuste planer på plass for videre drift ved sikkerhetsbrudd hos leverandørene. En velstrukturert risikoanalyse for forsyningskjedene kan bidra med en detaljert og trinn for trinn handlingsplan på noe som eller vil være en svært uoversiktlig situasjon. Metoden bør være informasjonssentrisk og ikke leverandørsentrisk, slik at den er repeterbar for hele bedriftens virksomhet, råder Durbin.

BYOx fortsetter på jobben

- Bring-Your-Own-trenden (BYO) har kommet for i bli, uansett om organisasjonene ønsker det eller ei. I tillegg er det få bedrifter som har utviklet gode retningslinjer for å håndtere dette, sa Durbin.

Dette fører med seg en myriade av nye muligheter for tap av informasjon og brudd på sikkerhetsregimene i bedriftene. Durbin mener at utnyttelse av denne sikkerhetsrisikoen bare kommer til å øke i antall framover.

- Husk at en dårlig implementert strategi for personlige enheter i bedriften it-miljø fører med seg en høy risiko for utilsiktete informasjonsbrudd når grensen mellom bedriftens og personens data blir utydelig, og bedriftens data blir lagret og aksessert uten tilstrekkelig beskyttelse på en forbruker-enhet. I tillegg må du forvente at de ansatte vil finne måter å bruke private enheter på, selv om bedriften har en sikkerhetspolitikksom forbyr BYOx. Dette er som holde tilbake tidevannet. Du klarer nok å stoppe det på en liten del av stranden, men det vil finne en vei rundt. Brukermakten er bare for stor, formaner Durbin.

Brukerengasjement

Og dette bringer oss hele sirkelen rundt, til enhver organisasjons største ressurs og med sårbare angrepsmål: menneskene. Organisasjoner verden over har brukt store pengebeløp på å høyne de ansattes bevissthet omkring informasjonssikkerhet. Rasjonalet for dette er å redusere risiko ved å gi menneskene kunnskap og ansvar, slik at adferd endres.

Durbin mener at dette likevel har vært og er en feilslått strategi. I stedet burde organisasjonene legge til rette for en positiv sikkerhetsatferd som blir en del av virksomhetens forretningsprosesser. På den måten mener han at de ansatte kan forvandles fra å være en sikkerhetsrisiko til organisasjonens førstelinje forsvar i bedriftens totale sikkerhetsstrategi.

- I stedet for å bare gjøre folk klar over ansvaret sitt i forbindelse med informasjonssikkerhet og hvordan de burde reagere, ligger svaret for virksomheter av alle størrelser i å bygge inn en positiv sikkerhetsatferd som resulterer i en «stopp og tenk»-holdning som blir en vane og som blir en del av bedriftens sikkerhetskultur. Mens mange bedrifter har aktiviteter i forbindelse med etterlevelse av regler som faller inn under den generelle overskriften «bevissthet om sikkerhet», burde den kommersielle drivkraften være risiko, og hvordan nye holdninger kan redusere denne risikoen, avsluttet Steve Durbin i Information Security Forum.