Foto: KMD

Spørg ISO27001 om hacker-ulven kommer

Infrastruktur

01/05/2014 13:25

Freja Eriksen

Vi har allerede set eksempler på hvor galt det kan gå, hvis vores evne til at beskytte vores informationer ikke følger med tiden. Der er ingen tvivl om, at de, der vil os det ondt, har gjort cyberspace til deres kamplads. Derfor er vores informationssikkerhed vigtigere end nogensinde, mener Rasmus Theede. Her deler han ud af sine erfaringer med især ISO27001.

Først og fremmest tak til Birgitte Kofod Olsen for hendes interessante og relevante indlæg om informationssikkerhed i det offentlige. Også tak for, at jeg har modtaget stafetten, som giver mig mulighed for at øse – forhåbentlig lige så relevant – ud af mine egne erfaringer med informationssikkerhedsstandarden ISO27001.

I 2013 overgik statslige myndigheder fra den gamle danske sikkerhedsstandard DS484 til den internationale ISO27001 standard, som nu forefindes i en opdateret 2013-version. Det er en rigtig god idé. Jeg har personligt virkelig gode erfaringer med ISO7001 og ser standarden som et stærkt fundament for en sikker myndighed eller virksomhed (hvis den vel at mærke implementeres og benyttes med omhu). Hvor DS484 kunne være tung og bureaukratisk, er ISO27001 praktisk, fleksibel og pragmatisk. Så langt, så godt.

De mange trusler

Servernedbrud, hackerangreb, outsourcing, industrispionage og ”Denial of Service” angreb. Nyheder, der omhandler trusler mod vores elektronisk lagrede informationer, er mange og hyppige. Det kan derfor være meget vanskeligt at gennemskue, præcist hvad vi forsøger at beskytte os imod, samt hvordan og hvorfor. Konsekvensen af dette er desværre ofte, at myndigheder og virksomheder enten undervurderer de reelle trusler (”ulven kommer”) eller helt giver op (”vi kan sikkert ikke forsvare os effektivt alligevel”).

Der er dog helt reelle grunde til, at fokus på datasikkerhed er øget i løbet af de sidste år. Jeg har selv arbejdet professionelt med informationssikkerhed siden midten af halvfemserne, og ville indtil for få år siden umiddelbart påstå, at jeg havde set det meste. Spionage, hackerangreb, virusudbrud og anden cyber-kriminalitet har vi nemlig kæmpet mod i mange år. På trods af dette har jeg dog været noget overrasket over intensiteten og kompleksiteten af nogle af de angreb, jeg har været vidne til i ind- og udland de senere år. Der er ingen tvivl om, at de, der vil os det ondt, har gjort cyberspace til deres kamplads. De er også blevet overordentligt godt organiseret, og ikke mindst har de fået temmelig omfattende ressourcer til rådighed til at udføre deres angreb.

Danmark mistede i 2012 sin jomfrulighed inden for datasikkerhed, da en stor mængde af danske borgeres personlige data blev tyvstjålet fra politiets motorregister. I forhold til hvad vi ellers har set, var angrebet egentlig ikke det mest skadelige, mest komplicerede eller særligt svært at beskytte sig imod. Men Danmark fik nu for første gang en indsigt i det, der gennem årene ellers kun havde været forundt sikkerhedsprofessionelle og rigets politimyndigheder. Nemlig hvor galt det kan gå, hvis vores evne til at beskytte vores informationer ikke følger med tiden. For jo flere af vores informationer vi gør tilgængelige elektronisk, jo mere udsatte er vi naturligvis, og jo mere skal vi gøre for at beskytte os. Det er klart.

Kommer ulven? ISO27001 hjælper os med svaret

Jeg er som nævnt begejstret for ISO27001. Primært fordi standarden først og fremmest tager udgangspunkt i den enkelte myndighed/virksomheds behov for at beskytte sine vigtige informationer. Det handler nemlig i udgangspunktet ikke om at beskytte it-systemer. Det handler om at beskytte vores kritiske informationer, og her er ISO27001 et rigtigt godt udgangspunkt. Vi behøver nemlig ikke nødvendigvis kaste ublu summer efter alskens elektroniske forsvarsværker, hvis vi har helt styr på, hvilke informationer vi har brug for at beskytte.

ISO27001 er sikkerhedsbranchens, efter min mening, mest vellykkede forsøg på at indføre en struktureret og pragmatisk tilgang til informationssikkerhed, hvor vi kan vurdere de reelle trusler mod vores informationer, og hvor vi nøje kan overveje, hvad der skal til for at beskytte os. Lige fra hvordan vi ansætter vores medarbejdere, udvikler applikationer, beskytter vores it og ikke mindst, hvordan vi reagerer effektivt, hvis vi skulle blive ofre for it-kriminalitet eller it-nedbrud.

Når ISO27001 først er succesfuldt implementeret, er det ikke længere et spørgsmål, om ”ulven kommer”. Vi er nu klar over, hvor der er størst risiko for, at ulven kommer fra, og hvor mange der i så fald vil komme. Vi har udført og implementeret planer for, hvordan vi vil sikre os mod ulveangreb, og ikke mindst har vi fundet ud af, om det overhovedet kan betale sig at beskytte sig mod ulveangreb i Danmark. Hvad medier og ”eksperter” så ellers måtte sige om dette.

Vi kan aldrig vide os 100 % sikre, for der kommer nye typer af trusler og angreb stort set dagligt. Men at vide, at vi har gjort, hvad vi kan og bør for at beskytte os, og at vi er klar til at reagere effektivt, hvis ulykken skulle være ude, er et rigtigt godt udgangspunkt. Dette gælder både for den sikkerhedsansvarlige, for ledelsen i virksomheden/myndigheden og ikke mindst for de kunder og borgere, hvis information vi er sat til at passe på.

Et stærkt fundament

Når vi ønsker at implementere ISO27001 er der – i forenklede træk – nogle krav, der SKAL opfyldes: Vi skal tage stilling til, hvad vi overhovedet vil med sikkerhed (det såkaldte ”scope”). Vi skal have ledelsens fulde støtte, have styr på, hvad det præcist er, vi gerne vil beskytte (vores kritiske aktiver), og hvordan vi har tænkt os at gøre det. Alt dette er baseret på en grundig risikovurdering. Derudover skal vi kunne dokumentere, at vi har implementeret de nødvendige kontroller (ISO27001 hjælper os heldigvis med en liste, vi kan vælge fra), og så skal vi løbende måle på, at kontrollerne fungerer, som de skal.

Læs også: Digital rådgiver Pernille Tranberg: Det offentlige skaber transparente borgere

Lyder det enkelt? Det er det ikke! Hvis ISO27001 skal have reel værdi, kræver det grundig forberedelse og udarbejdelse af regler og politikker, som kan forstås af både ledelsen, forretningen og medarbejderne. Alt efter virksomhedens/myndighedens størrelse eller kompleksitet kan dette kræve fra et par hundrede til flere tusinde timers hårdt arbejde. Og fordi man tidligere har foretaget en succesfuld implementering af DS484, er det absolut ikke en garanti for en nem overgang til ISO-standarden.

Vælger vi at investere den nødvendige tid og gøre hvad der skal til, har vi til gængæld et uhyre stærkt fundament for det fremtidige arbejde med at beskytte vores kritiske informationer og ikke mindst et stærkt værktøj til at give ledelsen det overblik, den har brug for, for at kunne træffe de rigtige sikkerhedsmæssige beslutninger. Når jeg skriver fundament, er det fordi, at implementering af ISO27001 ikke gør det alene. Standarden er udpræget ikke-teknisk og fortæller dig ikke, om du f.eks. har konfigureret din tekniske infrastruktur korrekt (firewalls, anti-virus forsvar, m.m.). Vi slipper derfor ikke for at have den nødvendige teknik og at have folk, der er dygtige nok til at administrere, konfigurere og overvåge den. Men ISO27001 fortæller os, hvor vi bør sætte ind med teknik, og dette kan vise sig at være en rigtig god forretning.

Hvis vi læner os for meget, risikerer vi at vælte

Jeg hører desværre alt for ofte både virksomheder og myndigheder, der udtaler ”vi læner os op ad ISO27001”. Udfordringen her er, at læner vi os for meget, risikerer vi at vælte. For følges principperne i standarden ikke i sin helhed, vil der opstå huller, som historien viser alt for nemt kan udnyttes. ISO27001 er udfærdiget til at danne fundamentet for sikkerhed i virksomheden, og med de it-trusler, vi står over for nu og i fremtiden, har vi ikke råd til dybe sprækker i fundamentet.

Vil man være rigtig seriøs omkring ISO27001, kan man lade sig certificere, men mindre kan også gøre det (en certificering kræver ikke ubetydelige ressourcer at opnå og vedligeholde). Det vigtigste er, at vi har en uafhængig funktion med god forstand på ISO7001 til at se os over skulderen og udfordre os på vores tilgang til sikkerhed. Den uafhængige funktion kan både være vores egne interne revision eller en ekstern funktion som f.eks. et revisionshus eller andre med ISO27001 kompetencer. Det vigtigste er blot, at det ikke udelukkende er os selv, der vurderer vores eget arbejde. For hvor meget selvindsigt vi ellers selv mener, vi har, kan vi ikke være objektive. Inklusiv undertegnede. I min nuværende stilling har vi valgt at lade os certificere. Vi har desuden uddannet vores egen interne revision i ISO27001 OG har ekstern revision til at kigge os over skulderen. Dette giver konstant værdifulde inputs og forslag til forbedringer, som jeg ikke kan eller vil undvære. Men det kræver naturligvis ressourcer.

Det med småt

Et par gode råd: Husk at stille samme krav om kvalitet og grundighed til din certificeringsleverandør, som du gør til dine andre leverandører (de er ikke ufejlbarlige). Det gælder ikke kun om at få et certifikat, det gælder om at være sikker. Jeg har desværre set eksempler på, at disse to ting ikke nødvendigvis har hængt sammen. Til sidst: Vælger du en leverandør, fordi denne er certificeret i ISO27001, så husk at læse det med småt (på certifikatet står dette under ”Certifikatets gyldighedsområde”). I ISO27001 vælger man, udover en række ufravigelige hovedkrav, nemlig selv hvilke kontroller og ydelser, man vil have med på sit certifikat. Og det ville være ærgerligt, at lige præcis den kontrol, som din virksomhed/myndighed har brug for, ikke er inkluderet.

Har det været besværet værd?

Absolut! I dag kan jeg som sikkerhedsansvarlig ikke forestille mig en hverdag uden ISO27001, som den grundlæggende drivkraft i vores sikkerhedsorganisation. Jeg har ledelsens og medarbejdernes bevågenhed, jeg ved, hvor vores styrker og potentielle forbedringsområder ligger, og jeg ved præcist, hvor og hvordan vi skal reagere i tilfælde af uforudsete sikkerhedshændelser. ISO27001 er med til at give mig det overblik og dermed den ro, som både min ledelse og jeg som sikkerhedsansvarlig har brug for. Held og lykke med implementeringen, der er lys forude på sikkerhedsområdet!

Næste deltager

Jeg sender hermed stafetten videre til Ivan Bjerre Damgård, som er professor ved Institut for Datalogi ved Aarhus Universitet. Et af hans specialer er CPR, digital autentifikation og dermed borgernes mulighed for at færdes og interagere sikkert på nettet. Efter at vi i Danmark har oplevet et større tyveri af CPR numre, og vi samtidig ser en stigende tendens til kriminel misbrug af CPR informationer til bl.a. at overtage uskyldige borgeres identiteter, er mit spørgsmål:

Skal CPR nummeret overhovedet bruges til at autentificere borgere og hvis ikke, hvad er alternativet? 

Mest Læste

Annonce