Nu er vi jo solidt forbundet til resten af verdenen. It sikkerhed kan godt blive bedre, og den skal hele tiden blive bedre. Når vi opfinder nye tekniske kontroller, finder kriminelle andre metoder og veje. Sådan er historien og sådan fortsætter det. Citat fra et tidligere indlæg fra Peter Kruse; ”Det er blevet en væsentlig bedre og mindre risikabel forretning at begå it kriminalitet end det er at røve banker og stjæle kontanter”.
Og det rammer selvfølgelig også virksomhederne. Den væsentligste faktor for it kriminalitet er penge. Der er sket en enorm stigning i mængden af ”Phishing” angreb over de senere år, hvor formålet er på forskellige måder at stjæle penge og informationer.
Tekniske sikkerhedsværn er ikke nok
I Arla har vi installeret mange forskellige tekniske sikkerhedsværn og på flere niveauer og lag. Det er nødvendigt og koster mange penge i anskaffelse og ressourcer til drift. Men det kan ikke gøre det alene. Den menneskelige faktor spiller som altid ind. Ved at gennemføre en risikoanalyse og på basis heraf indføre en god awarenes strategi kan en række af virksomhedens Cyber risici reduceres væsentligt.
Læs også: Fortrolige sundhedsdata samles ulovligt i database
Ud over at der skal udsendes generel awareness information til alle i virksomheden, om brug af passwords, opbevaring af fortrolige informationer, sociale medier, brug af fysiske medier, og mobile enheder etc. etc., vil risikovurderingen afsløre, at det er ret så vigtigt at prioritere målrettede awareness aktiviteter til forskellige udvalgte grupper, eksempelvis ledelse, specifikke medarbejderfunktioner og roller, regioner eller lande alt efter, hvad retning truslen peger.
Det er dynamisk og kan flytte sig hele tiden. I risikovurderingen bør en række spørgsmål afdækkes, som for eksempel: Hvor og på hvilke områder er medarbejderne mest udsat og for hvilken trussel? Har vi tidligere været udsat for hændelser? Hvor og hvornår har vi været udsat for hvilke hændelser? Hvad viser trenden og trusselsbilledet? – og så målrette aktiviteterne herefter. Man kan overveje at teste Cyber sikkerhed aktivt – for eksempel at teste specifikke dele af incident response bl.a.: Hvordan er medarbejderens viden om god adfærd omkring brugen af it? Hvordan reagerer medarbejderne, hvis de bliver ramt af et angreb? Hvordan reagerer it-beredskabet? Etc.
IT-sikkerhedsstafetten
Flere tilfælde af hackerangreb på offentlige kernesystemer og Rigsrevisionens meget kritiske rapport i efteråret 2013 bør afføde en vigtig debat om IT-sikkerhed i Danmark.
Den totale digitalisering af al kommunikation mellem borgere, erhverv og offentlige instanser medfører mange udfordringer. Dem søger IT-stafetten på DenOffentlige.dk at adressere.
Læs alle indlæggene i IT-sikkerhedsstafetten her.
Mangel på implementering af it-sikkerhedspolitik
Det er selvfølgelig væsentligt, at der eksisterer en it-anvendelsespolitik der indeholder retningslinjer og god skik for brugerens anvendelse af it. Den skal være relevant, opdateret og følge med tidens trusselsbillede. Det er der ikke så meget nyt i. I mit tidligere arbejde som it-revisor og it-sikkerhedskonsulent i gennem 10 år, har jeg besøgt mange forskellige virksomheder. Fælles for langt de fleste var, at der eksisterede en politik, men langt fra alle var opdaterede og desværre endnu færre reelt implementerede.
Og måske lidt ude af kontekst – et specielt stort problem i outsourcing kontrakter. Nok kan en it-sikkerhedspolitik, og krav om ekstern revision være en del af kontrakten – men det er straks værre med opfølgningen. En politik er først implementeret, når den er vel kommunikeret, og der eksisterer en vedligeholdelses- og kommunikationsplan, herunder også awareness aktiviteter. Ellers er den kun til ære for den, der kommer og spørger.
IT supportere har en vigtig rolle for virksomhedens IT-sikkerhed
Et eksempel på en målrettet awareness aktivitet ud over generel udsendelse af information er, at fokusere specifikt på IT supportere. IT supportere er som regel meget servicemindede og kyndige it-medarbejdere. De kender brugerne. De er ude i marken og har kontakt i det daglige med medarbejderne rundt omkring i verdenen. De er vigtige ambassadører for it-anvendelsespolitikken og har i deres egenskab af problemløsere for brugeren i det daglige - en naturlig indgangsvinkel til at rådgive brugerne om sikkerhed.
De skal kunne opfange faresignaler og stille de rigtige spørgsmål, når pc’en opfører sig mærkeligt. (Måske efter at en bruger er kommet til at klikke på en vedhæftet fil i en mail og sagt ja tak til et eller andet…). It-supporterne skal have grundlæggende relevant træning og en introduktion til truslerne og være bekendte med retningslinjer og eskalationsprocesserne og deres rolle, og de skal kende de relevante budskaber fra risikoanalysen.
Målret IT-sikerhed til de forskellige grupper af medarbejdere
Et andet eksempel er medarbejdere i bestemte funktioner. Hvis risikovurderingen viser at fx Phishing er særligt problematisk for en bestemt gruppe af personer i en bestemt funktion, så fokuser på en lidt dybere træning til de pågældende medarbejdere om den trussel, de står overfor, hvad de skal være på vagt overfor, typiske tegn på denne specifikke type Phishing angreb det nu drejer sig om, og hvilke procedurer der kan anvendes for ikke at ”falde” i.
I korte træk skal vi møde vore brugere, hvor de er, fokusere awareness indsatsen på at reducere risici, hvor det giver mening. Awareness aktiviteter behøver ikke koste mange penge, men at bruge nogle ressourcer på en god risikoanalyse er godt givet ud. Cyber sikkerhed er komplekst, og hvis man som bruger ikke kender risici og ved, hvad man står over for, så er det svært at gøre det rigtige. For at få succes med styring af risici kræver det, som med hundredevis af andre vigtige opgaver i en virksomhed, ledelsesfokus.
Stafetten går til
Jeg vil gerne sende stafetten videre til Claus Fonnesbech, Senior Communications Advisor hos Discus Communications med spørgsmålet: Hvordan formidler man vigtigheden af it-sikkerhedsbudskabet til topledelsen? Og hvilken rolle spiller kommunikation i forbindelse med it-sikkerhed i dag?