Flere norske virksomheter har fått merknader av Riksrevisjonen for manglende informasjonssikkerhet

Innsikt

Hvor god er din digitale grunnsikring?

Flere norske virksomheter har fått merknader av Riksrevisjonen for manglende informasjonssikkerhet. Hva ville resultatet blitt hvis kommunerevisjonen gjennomførte en slik revisjon i din kommune?

Artikkelen på 15 sekunder: Flere norske virksomheter har manglende informasjonssikkerhet. Trusselutviklingen krever blant annet bruk av anerkjente standarder. Artikkelen tar for seg hvordan din virksomhet kan bedre sin digitale grunnsikring og forebygge cyberkriminalitet på en enkel måte.

Riksrevisjonen overleverte sin rapport "Riksrevisjonens rapport om den årlige revisjon og kontroll for budsjettåret 2014" til Stortinget 21. september 2015. Statistisk sentralbyrå og Direktoratet for økonomistyring fikk begge vesentlige merknader knyttet til informasjonssikkerhet. Problemstillingene som er beskrevet er primært knyttet til å oppdage sårbarheter, og implementering av tilstrekkelige sikringstiltak, basert på anerkjente standarder. Hva betyr egentlig dette? 

Fra guttestreker til organisert kriminalitet

Trusler mot IKT-systemer har eksistert lenge. I 1964 begynte det multinasjonale teleselskapet AT&T å etterforske "phone freaks" eller "phreakers", som brukte ulike teknikker for å ringe gratis. En av teknikkene var utrolig nok å bruke en fløyte fra en frokostblanding, som ga akkurat samme frekvens som verktøyene til AT&T: 2600 hertz. Og lenge eksisterte det nok en oppfatning om at hacking var mer lek enn alvor. I 1971 programmerte Bob Thomas et verktøy som skulle bevise en teori om at man kunne lage et datavirus, som han kalte "Creeper".  Dataviruset begynte å løpe løpsk, og han måtte lage et verktøy for å fjerne det. Senere ble truslene mer synlige – og alvorlige. I 1988 kjedet en ung mann ved navn Robert Morris seg, og skrev en "orm", siden kjent som Morris-ormen. Den gjorde 6000 maskiner på ARPANET utilgjengelige, en betydelig andel av maskinene tilknyttet forløperen til Internett. Resultatet ble 10.000 dollar i bot, og tre år med tilsynsverge. 

I 2001 ble det sluppet løs en orm kalt "Code Red". Den spredte seg til et stort antall Windows-maskiner og førte til skader for 2 milliarder dollar. I 2007 så man første gang trojaneren Zeus, som logget tastetrykk mot nettbanker, for så å stjele penger. I 2010 ble Irans produksjon av anriket uran angrepet med infiserte USB-minnepinner, i det som mest sannsynlig er den første store militære operasjonen på Internett som er offentlig kjent. Angrepet viste at systemer som ikke var koblet til Internett, som en kraftstasjon, ikke lenger er trygge selv om de ikke har en direkte kobling mot Internett.

De siste årene har vi sett andre alvorlige former for trusler. I 2013 ble det første gang oppdaget det vi nå kaller Ransomware, eller virus som krypterer alle tilgjengelige filer og krever penger for passordet som dekrypterer filene. Vi har også sett avanserte angrep der millioner av kredittkort blir stjålet (bl.a. Target), eller hvor store mengder konfidensiell informasjon er blitt stjålet og offentliggjort (bl.a. Sony). Trusler kalt "Advanced Persistent Threat", er vanskelige å bli kvitt hvis de først kommer inn i nettverket.

Anerkjente standarder

Riksrevisjonen har naturlig nok vurdert utviklingen i trusselbildet som et premiss for forventningene de har til informasjonssikkerhet. Og ett av kravene er bruk av anerkjente standarder. I praksis er det en standard, eller serie med standarder, det oftest blir referert til i Norge.  ISO 27000-serien består av bl.a. ISO 27001, som beskriver et styringssystem for informasjonssikkerhet, og ISO 27005, som beskriver mer detaljert hva som bør inngå i risikostyringen.

Vår erfaring er at de fleste som prioriterer innføringen av et styringssystem for informasjonssikkerhet, har kommet et godt stykke på vei med å få på plass noen gode prosesser og styrende dokumenter. Utfordringen fremover er spesielt knyttet til risikostyringen, det å identifisere sårbarheter. Riksrevisjonen påpeker det samme i sitt Dokument 1: også store norske, offentlige virksomheter har utfordringer knyttet til det å identifisere sårbarheter og implementere hensiktsmessige sikringstiltak. For det er vanskelig, og trusselbildet de siste årene har endret seg betydelig.

Noe av problemet er at standarder som ISO 27001 sier at man skal ha en del prosesser på plass, inkludert risikostyring, men ikke hvordan de kan implementeres. ISO 27005 beskriver de ulike aktivitetene som inngår i risikostyringen, men ikke hvordan de bør utføres.

Det viktigste som mangler i de anerkjente standardene det refereres til, er noe man kan benytte for å få på plass en god digital grunnsikring raskest mulig. Det samme gjelder for informasjonssikkerhet som for mange andre områder: 80-20 regelen. De første 80 prosentene av den digitale grunnsikringen er det en overkommelig oppgave å få på plass, men det forutsetter naturligvis at man har en idé om hva som inngår i disse 80 prosentene!

Det er dette vi mener med god digital grunnsikring: Vi må sørge for at vi har de grunnleggende sikrings-tiltakene på plass, så vi kan fokusere på arbeidet med å sikre oss mot de mest alvorlige truslene, og sikre samsvar med relevante lovkrav som personopplysningsloven.

En "snarvei" til god digital grunnsikring

Et sentralt konsept i ISO 27005 er hendelsesscenarioer. Man skal beskrive hvordan en angriper kan tenkes å utnytte systemene. Dette betyr at vi må tenke igjennom hvordan de systemene vi er ansvarlig for kan utnyttes av en angriper. Men samtidig er vi jo ikke de eneste som er på Internett, så noen må jo opplagt ha tenkt lenge og grundig på akkurat det samme!

Tony Sager brukte 35 år av livet sitt på å jobbe i det offentlige i USA. Han hadde en utrolig spennende karriere, og de siste årene ledet han NSAs (National Security Agency) aktiviteter innen hacking. Fra 2001 ledet han arbeidet med å utarbeide NSA sine offisielle sikkerhetsanbefalinger for ulike plattformer som Windows og Unix. Den siste tredjedelen av karrieren var det spesielt en ting som opptok ham, og det var hva man skulle prioritere av de mengdene mer eller mindre gode sikringstiltakene som fantes, kalt "the fog of more". Det var så mange valg, at de gode valgene forsvant i en tåke av muligheter.

Derfor samlet han sammen en gruppe mennesker han kjente godt, fra både militæret, etterretning, politi og ulike sivile virksomheter. De delte erfaringer fra faktiske hendelser, og endte opp med litt over 20 generelle hendelsesscenarioer. Scenariene delt opp slik at de kan benyttes til å beskrive mer komplekse angrep. Noen av dem fokuserer på at en angriper får tilgang til og kompromitterer en maskin som er tilgjengelig fra Internett. Andre fokuserer på hva angriperen kan få til mot andre, interne maskiner, fra en maskin de enten har kompromittert fra Internett, har fysisk tilgang til, eller allerede er en vanlig bruker på.

For å sikre seg mot disse hendelsesscenarioene, har man kommet frem til en del sikringstiltak fordelt på 20 områder. Disse områdene er prioritert, slik at det mest kritiske har fått nummer 1 osv. Innen hvert område er det først forklart hvorfor et område er viktig. Her forklarer man kort hva en angriper kan få til dersom det ikke finnes tilhørende sikringstiltak. Så er de ulike sikringstiltakene for området listet opp, før det kommer en mer utførlig forklaring som setter dem i sammenheng og forklarer hvordan de inngår i en helhet.

De første fem områdene er de viktigste, og regnes som fundamentale for å ha et minimum av digital grunnsikring. De handler om å ha oversikt over hvilke maskiner som befinner seg i nettverket og hvilke programmer de kjører, oppdatere servere og applikasjoner når det kommer sikkerhetsoppdateringer mot kjente sårbarheter, aktivt søke etter kjente sårbarheter i nettverket for å se om man har glemt noe, og ha god oversikt over hvem som har utvidede rettigheter til systemer (f.eks. administrator). På godt norsk: sunt bondevett. 

For hva betyr dette hvis det hadde vært en bygning? Man skal sikre at alle vinduer og dører er sikret mot enkle innbrudd, sjekke at ingen står åpne etter kontortid, og passe på at ikke alle har systemnøkler med tilgang til alle rom i hele bygget. I den virkelige verden er dette lite kontroversielt. Så hvorfor har man ikke oversikt over dette i den digitale verden?

Den første publikasjonen fra arbeidet Tony Sager satte i gang, kom i 2008, og har nylig kommet i sin sjette versjon. En uavhengig organisasjon utvikler rammeverket, og publikasjonen heter nå: "The CIS Critical Security Controls for Effective Cyber Defense". De forkortes til CIS Controls. Ifølge Center for Internet Security, som gir ut CIS Controls, så har den australske regjeringen gjort en undersøkelse som viser at de fem første områdene, altså de som prioriteres høyest, dekker 85 prosent av kjente sårbarheter. Årsaken er ganske enkel: de fleste sikkerhetshendelser inntreffer fordi noen utnytter sårbarheter virksomheten strengt tatt vet om. En systematisk og kostnadseffektiv tilnærming er utfordringen.

Her har CIS Controls har sin styrke. Det er kanskje ikke så spennende å snakke om å få oversikt over hvilke maskiner som befinner seg på nettet og sørge for at programvaren er oppdatert, men det har vist seg å være utrolig effektivt for å redusere risikoen. Den siste versjonen av CIS Controls har også et meget interessant vedlegg om hvordan man kan måle at ulike sikringstiltak fungerer over tid. Når de manglende sikringstiltakene er implementert, er det naturlig at Riksrevisjonen og andre vil fokusere på hvordan en virksomhet har god oversikt over kvaliteten på de sikringstiltakene man har valgt. Det får bli tema for en senere artikkel.

God digital grunnsikring begynner med god oversikt

Informasjonssikkerhet kan ofte oppleves som en stor og kompleks problemstilling det er umulig å verken forstå fullt ut eller løse på en kostnadseffektiv måte. Vi mener at selv om det selvfølgelig er en stor jobb å etablere en god digital grunnsikring, så er det mulig å komme et godt stykke på vei ganske raskt. Vi har typisk brukt to dager hos en virksomhet for å gjennomgå alle sikringstiltakene i CIS Controls, og deretter noen dager for å hjelpe til med analyse og gjøre noen overordnede prioriteringer.

Ved å gjøre en vurdering av hvilke sikringstiltak man har på plass og hvilke man burde hatt, så får man både en oversikt over hvilke generelle hendelsesscenarioer man er eksponert for, og hvilke sikringstiltak man bør prioritere å implementere. Resultatet er en enkel sikkerhetsstrategi for å få på plass en god digital grunnsikring, som gjør at man er ganske godt beskyttet mot de vanligste truslene man er utsatt for på Internett.

Denne artikkelen er en del av Kommunalt Innblikk - et magasin hvor vi ønsker vi å formidle ny kunnskap, nye synspunkter og oversikt over dagsaktuelle temaer som gjelder din kommune og ditt lederansvar.

 

Den 5. utgaven av magasinet, som denne saken er hentet fra, omhandler behandling og sikring av personopplysninger. Du finner resten av artiklene her.

Var denne siden nyttig?