VÆR BEREDT: Vi kan alle lære noe av speidernes historiske motto «alltid beredt», mener Jesper Olsen. (Foto: Istock)

Sikkerhetsnyttårsforsettet

KOMMENTAR: Norske virksomheter må få en høyere operativ motstandskraft som gjør det mulig få fortsette arbeidet også under et angrep, skriver Jesper Olsen.

Jesper Olsen Palo Alto Networks i Nord-Europa
Publisert

2021 har vært et hendelsesrikt år, og da tenker vi ikke bare på korona. Vi har igjen sett en økning i løsepengeangrep og sårbarheter med maskinvare. Noe som aktivt utnyttes av datakriminelle for å spre frykt, og i verste fall tvinge bedrifter til å stenge. Det har også vært en økning i falske nettbutikker, som svindler både forbrukere og bedrifter.

De fleste it-sikkerhetsmessige uhell kan unngås. Jeg har derfor et nyttårsforsett som jeg vil dele, og selv leve etter.

De fleste it-sikkerhetsmessige uhell kan unngås. Jeg har derfor et nyttårsforsett som jeg vil dele, og selv leve etter. Selv om det har blitt sagt hundrevis av ganger før, vil jeg si det igjen nå: Sammen skaper vi forandring.

Beredskap er nøkkelen til å identifisere mulige trusler. Enten det er gjennom kurs og utdanning med fokus på metodikk, phising, eller gjennom bruk av sikkerhetsteknologi som gjør det mulig å oppdage fjernangrep. «Ransomware Deployment Protocol» (RDP) er likevel fortsatt et inngangspunkt for kriminelle. Vi skal derfor se nærmere på både beredskap og RDP.

Vær beredt

Vi kan alle lære noe av speidernes historiske motto «alltid beredt». Det kan argumenteres for at beredskap i dette tilfelle er prinsippet om due diligence. For uansett hvordan du formulerer det, handler det hele om hva du gjør før en episode blir til en stor hendelse. Av erfaring vet vi at mange av oss ikke gjør nok for å sikre seg, og den beinharde sannheten er at de fleste uhell kunne vært unngått. Om ikke unngått, kunne hvert fall konsekvensene vært kraftig redusert.

Vi er nødt til å komme oss opp på en høyere operativ motstandskraft som gjør det mulig for bedriften å fortsette arbeidet, til og med under angrep. Vi må komme oss på et nivå der det er mulig for bedriften å komme seg fortere etter et cyberangrep.

Jesper Olsen, Palo Alto Networks

For å gjøre dette må vi være beredt. Vi må være beredt på å unngå angrep og beredt på å komme oss over et angrep, når det skjer.

Så hvis Operational Resilience er resultatet av at en bedrift er godt forberedt, hvorfor ikke ha det på den strategiske radaren? Kanskje er det nyttårsforsettet for bedriftens CEO, CFO, jurister, CIO, CISO og andre medlemmer av datasikkerhetsteamet.

C-folkets roller i datasikkerhet

Enhver sjef eller CEO, som ikke allerede har innlemmet datasikkerhet i bedriftens forretningsstrategi, og ikke bare i it-strategien, kan ha mye å tape. Hele organisasjonens forståelse av hvordan vi tenker datasikkerhet er til syvende og sist ledelsens ansvar. Om det ikke tas alvorlig i dette leddet, vil heller ikke resten av organisasjon ta det er alvorlig. Dermed kan ikke en god datasikkerhetskultur og forståelse utvikles.

For CFOen handler det om å prioritere datasikkerheten, til og med når det tas økonomiske beslutninger. For eksempel bør datasikkerhet vurderes når det kjøpes opp eller fusjoneres med andre bedrifter. Spesielt avgjørende er det for å sikre finansielle transaksjoner og kommunikasjon, og for å minimere risikoen for Business Email Compromises (BEC-tilfeller), hvor phising-mails er den meste kjente angrepsmetoden. Hvis en CFO i samarbeid med en CISO/CIO, fortsatt ikke forstår hvorfor det er viktig å investere i datasikkerhet, er det på tide å ta en samtale rundt dette.

Utdannelse er derfor en viktig faktor for å styrke bedriften og beskytte de mest kritiske aktiviteter.

Rollene til en CIO og CISO er klassiske og noe paradoksale. Først og fremst handler rollene om å omfavne det riktige teknologiske verktøyet, vel vitende at teknologi ikke alltid er løsningen. Den sterkeste, digitale voldsmuren er kun motstandsdyktig mot inntrengere så lenge ingen åpner porten. Utdannelse er derfor en viktig faktor for å styrke bedriften og beskytte de mest kritiske aktiviteter. Like viktig som å ansette noen med riktig utdannelse, er det også å sørge for at de ansatte forstår og er en aktiv del av bedriftens datasikkerhetsnivå.

Rammeverk

Som de fleste nyttårsforsett, er også dette lettere sagt enn gjort. Jeg anbefaler derfor at du velger et verktøy med et veldesignet rammeverk som NIST 800-160 vol2 (nylig utgitt i sin fulle form) eller MITRE CREF (fra 2011 – men fortsatt like bra).

Begge rammeverkene vektlegger cyber resilience, og burde være «top of mind» i alle bedrifter, så vel som en integrert del av bedriftens strategier.

Her er noen andre forslag til ditt organisatoriske nyttårsforsett:

• Fokuser på kritiske aktiviteter i bedriften

• Reduser angrepsflater

• Anta at du allerede nå har kompromittert data

• Forvent alltid at et angrep vil komme

Om vi alle jobber med å være forberedt, forstå våre roller og bruke dem aktivt, i tillegg til å implementere prinsipper fra kjente og utprøvde rammeverk, så kan vi ha et håp om å komme oss gjennom 2022 uten like mange digitale uhell.

Godt nyttår!

Jesper Olsen, CISO for Palo Alto Networks i Nord-Europa

sikkerhet debatt computerworld