Nasjonal sikkerhetsmyndighet (NSM) tilbød et gratis e-læringskurs i sikkerhetsmåneden oktober 2022. Å dømme etter postede kursbevis på LinkedIn og kommentarene der, har «Grunnprinsipper for IKT-sikkerhet» slått ualminnelig godt an. Det burde inspirere til å beskjeftige seg mer inngående med dem. Selvfølgelig finnes det en rekke gode internasjonale anbefalinger og rammeverk ,men disse prinsippene er tilpasset norske forhold.
Norge er et lite land med små IT-avdelinger. Strukturen er ikke fullt så hierarkisk, med færre nivåer og mer delegert myndighet. Avstanden fra kompetansemiljøer som utvikler rammeverkene til norske virksomheter, er ganske lang. Her til lands er vi dessuten raskere med å innføre nyere teknologi. Grunnprinsippene er relevante for alle norske virksomheter, både offentlige og private, små og store. Noen av hovedpunktene trekkes frem her.
Sikkerhetshendelser som krever beskyttelse
Det finnes brukere som ubevisst gjør feil, og som bevisst bryter regler. Det dukker opp uforutsette hendelser, som servere som krasjer. Det forekommer tilfeldige angrep med kryptovirus. Det foretas målrettede angrep fra hackere og organiserte grupper eller statlige aktører.
Områder som må beskyttes
IKT-miljøet i en virksomhet kan være sammensatt og uoversiktlig. Det må støtte organisasjonens funksjoner og behovene til de ansatte. Kompleksitet er en av de største sårbarhetene i dagens digitale samfunn. Risikoer bør vurderes for alle områder:
Hovedkontoret omfatter en rekke ulike elementer som skal fungere sammen: mennesker, prosesser, rutiner, kontorlokaler og enheter for sluttbrukere – ofte serverrom, infrastruktur, nettverksutstyr og IT-systemer. Krav til IKT-sikkerhet inkluderer kunnskap og opplæring med tanke på sikker bruk av systemene. Tjenesteutsetting til underleverandør kan bidra til mer effektiv og sikker drift, men også øke risikoen. Det kan være foretatt en manglende verdi- og risikovurdering. Ledelsen er ikke godt nok involvert eller forstår ikke faremomentene. Det kan være mangelfullt definerte krav i kontrakt med leverandør.
Industrielle styre- og kontrollsystemer har tradisjonelt vært atskilt fra øvrige IKT-systemer, med proprietære løsninger og protokoller. Utvikling til IP-baserte systemer og økende bruk av standard IT-komponenter innen operasjonell teknologi (OT) har gjort dem mer utsatte. Skytjenester leverer ofte bedre sikkerhet enn lokal infrastruktur. Viktige vurderinger er hvilke land data lagres i og driftes fra (Norge, EU osv.), om leverandøren er tiltrodd og seriøs, og om det er etablert gode sikkerhetstiltak og fysisk og logisk skille til andre kunder i datasentrene. Jobbreise, ferier og hjemmekontor stiller strenge krav til sikkerhet, som gjør det nødvendig med retningslinjer for bruk og håndtering av IT-utstyr. Avdelingskontorer må være koblet til med sikre forbindelser.
Utvikling av grunnprinsippene
Nasjonal sikkerhetsmyndighet (NSM) benytter seg av kunnskap og erfaring de har opparbeidet hos seg selv. Det inkluderer informasjon fra ulike deler av NSM, blant annet rådgivning, hendelser (NCSC), inntrengingstester, tilsyn, kravutvikling og partnere. De har hentet inspirasjon fra anerkjente standarder og rammeverk innen informasjonssikkerhet, som blant annet omfatter ISO 27002, US NIST Cybersecurity Framework, CIS CSC 20 og UK NCSC Cyber Assessment Framework.
Under utviklingen av grunnprinsippene er det foretatt justeringer ved å innhente tilbakemeldinger fra virksomheter de samarbeider tett med. I tillegg har NSM gjennomført innspillsrunder med sektormyndigheter og myndighetsorganer, partnere ved NCSC og offentlige og private virksomheter.
Målgruppe for grunnprinsippene
Grunnprinsippene er relevante for alle norske virksomheter, både offentlige og private. Spesielt viktig er prinsippene for sikring av samfunnskritiske funksjoner. Små og mellomstore bedrifter vil også ha nytte av dem, selv om anbefalingene i hovedsak forutsetter en egen IT-avdeling. Forretnings- og IT-ledelsen danner gjerne bindeleddet mellom toppledelse og implementasjons- og driftsnivå. Hovedmålgruppen for grunnprinsippene er systemeiere, sikkerhetsledere og forretnings- og prosesseiere.
Oversikt over grunnprinsippene
Det er 21 grunnprinsipper, med i alt over hundre sikkerhetstiltak. Grunnprinsippene og tiltakene er fordelt på fire kategorier, som ikke er ment å være en statisk prosess som gjennomføres fra venstre mot høyre. Kategoriene og prinsippene utgjør en samling aktiviteter som utføres samtidig og kontinuerlig for å møte et skiftende trusselbilde.
Kategori 1 – Identifisere og kartlegge går ut på å forstå virksomhetens behov, prioriteringer og systemer før man starter sikringsarbeidet. Det innebærer å gjøre seg kjent med strukturene og prosessene for sikkerhets- og risikostyring der. Man trenger en oversikt over IKT-systemene, data og arbeidsprosesser, samt maskin- og programvare. Brukernes behov for IT-utstyr og applikasjoner må kartlegges, sammen med rettigheter og tilganger. Kategorien peker på styring, leveranser, prosesser, roller, IKT-systemer og produkter. På bakgrunn av disse faktorene velger man sikkerhetstiltak som er mest hensiktsmessig for de viktigste delene av IKT-systemene.
Kategori 2 – Beskytte og opprettholde ivaretar at IKT-systemer er forsvarlig sikret. Man må oppnå en tilstrekkelig sikker tilstand og opprettholde den over tid og ved endringer. Det krever gode prosesser for planlegging, anskaffelse, konfigurasjon, endringer og drift. Angrepsflaten må reduseres ved å fjerne sårbarheter, herde komponenter og etablere en sikker arkitektur og styring av rettigheter. Man bør forebygge spredning av angrep, beskytte data med kryptering og minimere konsekvenser ved blant annet bruk av sikkerhetskopiering.
Kategori 3 – Oppdage omfatter å detektere og fjerne flest mulig trusler og sårbarheter. I hovedsak benyttes automatiserte verktøy for å avdekke avvik fra ønsket sikker tilstand. Merk at man aldri vil klare å identifisere alle trusler og sårbarheter på denne måten; man må derfor implementere sikkerhetstiltak i kategori 2 så godt man kan. Verktøy og metoder er kartlegging av sårbarheter, deteksjon og blokkering av kjente trusler, sikkerhetsovervåkning og inntrengningstester.
Kategori 4 – Håndtere og gjenopprette sikrer at virksomheten er forberedt når en (større) uønsket hendelse inntreffer. Kategorien tar for seg prosesser, roller og metodikk som skal til for å forberede en virksomhet best mulig. Dette er fordelt på tre steg:
(1) Forbered virksomheten i forkant med innarbeidede planer og en god forståelse av kritiske deler av systemet.
(2) Reager så effektivt som mulig når hendelsen inntreffer ved kjapt å kartlegge omfang og alvorlighetsgrad.
(3) Lær mest mulig av hendelsen. Hva var rotårsaken til at hendelsen inntraff og fikk utfolde seg? Hvilke prosesser og sikkerhetstiltak fungerte, hvilke tiltak manglet, og hva bør forbedres? Hva slags erfaringer og hvilken informasjon bør kommuniseres internt og til eksterne interesseparter.
Oppbygningen av hvert prinsipp
Alle grunnprinsipper er bygd opp etter samme lest. De består av en overskrift, et mål, en beskrivelse av hvorfor prinsippet er viktig, anbefalte tiltak, og utfyllende informasjon. De er oppført i et regneark som du kan laste ned fra NSM. Et grunnprinsipp er for eksempel Ivareta en sikker konfigurasjon som er del av kategorien Beskytte og opprettholde.
Grunnprinsippet (overskriften) angir et anbefalt prinsipp som virksomheter bør følge.
Målet med prinsippet forklarer hva man oppnår ved å innføre det.
Hvorfor er dette viktig? gir svar på hvorfor prinsippet er viktig og mulige konsekvenser om det ikke blir implementert.
Anbefalte tiltak beskriver sikkerhetstiltak en virksomhet bør sette opp for å følge grunnprinsippet.
Utdypende informasjon inneholder «kjekt-å-vite-informasjon» og lenker hvor man kan finne mer ufyllende opplysninger.
Hvilke sikkerhetstiltak bør du starte med?
Mange ønsker veiledning i hvilke av de over 100 sikkerhetstiltakene man skal begynne med. NSM har derfor definert tre prioritetgrupper og plassert ulike tiltak i dem. Gruppe 1 inneholder de 15 viktigste tiltakene. Gruppe 2 bidrar med de 20 neste, som bør implementeres etter at man er ferdig med gruppe 1. Gruppe 3 omfatter de resterende sikkerhetstiltakene, som bør settes opp etter at man er ferdig med de første to gruppene. Alle henter elementer fra de fire kategoriene. Her skal vi kaste et raskt blikk på gruppe 1.
1 (1.2.3) Kartlegg enheter i bruk i virksomheten. Enheter omfatter bærbare, stasjonære, mobil, nettbrett, servere og nettverksutstyr, samt virtuelle enheter.
2(1.2.4) Kartlegg programvare i bruk i virksomheten. Det gjelder for alle enheter og inkluderer operativsystemer, applikasjoner, plugins, biblioteker og fastvare på nettverksenheter (svitsjer og lignende).
3 (2.1.2) Kjøp moderne og oppdatert maskin- og programvare.Eldre IT-produkter bør fases ut siden disse ofte har sårbarheter, noe som er mest kritisk på klienter.
4 (2.1.9) Ta ansvar for virksomhetens sikkerhet også ved tjenesteutsetting. Kunden har ansvar for sikkerheten ved tjeneseutsetting. Om en virtuell maskin flyttes ut i skyen, må kunden likevel sørge for god tilgangskontroll, sikkerhetsoppdateringer, sikkerhetskonfigurering osv.
5 (2.2.3 ) Del opp virksomhetens nettverk etter virksomhetens risikoprofil. Del opp nettverk i soner og kontroller dataflyt mellom dem. Vurder nyere teknologi for nettverk, som mikrosegmentering, Zero Trust (Null tillit) eller software defined networking (SDN).
6 (2.3.1) Etabler et sentralt styrt regime for sikkerhetsoppdatering. Oppdater all programvare – operativsystemer, applikasjoner, plugins – på klienter, servere og nettverksutstyr.
7 (2.3.2) Konfigurer klienter slik at kun kjent programvare kjører på dem. Hensikten er å sikre at kun kjent programvare kan utføres på klienter. For noen klientplattformer kan kun programvare styrt av en applikasjonsbutikk eksekvere. De har som regel få utfordringer med skadevare. Andre plattformer har en mer liberal eksekveringsmodell, hvor man bør benytte hvitelisting av programvare.
8 (2.3.3) Deaktiver unødvendig funksjonalitet. Det finnes mye ubrukt og unødvendig funksjonalitet som skaper sårbarheter, som unødvendige applikasjoner og plugins, samt sårbare protokoller. Disse bør avinstalleres eller deaktiveres. Sluttbrukere bør kun ha mulighet til åpne nyere Office-formater, som «.docx», og blokkeres for de eldre og mer sårbare formatene som «.doc».
9 (2.3.7) Endre alle standardpassord på IKT-produktene før produksjonssetting. Standardpassord bør fjernes, passord må ha god kvalitet, eller man må gå over til multifaktor-autentisering (MFA).
10 (2.6.4) Minimer rettigheter til sluttbrukere og spesialbrukere. Sluttbrukere og spesialbrukere med for mange og for vide rettigheter er ettertraktede mål for angripere. Fortsatt er det utbredt med brukere som er lokal administrator på klientmaskinen, en uheldig praksis som gjør jobben vesentlig enklere for angripere. Et annet eksempel er ansatte som får skriverettigheter til fellesområder og fellesfiler, når leserettigheter ofte er nok. Spesialbrukere, som utviklere og forskere, har ikke behov for tilgang til alle data eller for rettigheter til å foreta seg alt i systemene.
11 (2.6.5) Minimer rettigheter på driftskontoer. Unngå den vanlige feilen med å drifte for mye med domeneadministrator-rettigheter. De færreste vanlige driftsoppgaver trenger dét.
12 (2.9.1) Legg en plan for regelmessig sikkerhetskopiering av alle virksomhetsdata. Ha en plan for sikkerhetskopiering og test regelmessig at den fungerer. Det anbefales å ha offline-kopier fordi løsepengevirus ofte først ødelegger sikkerhetskopier for så å kryptere produksjonsfilene.
13 (3.2.3) Avgjør hvilke deler av IKT-systemet som skal overvåkes.Finn ut hva du skal monitorere.
14 (3.2.4) Beslutt hvilke data som er sikkerhetsrelevant og bør samles inn.Informasjonssystemer behandler, lager og prosesserer store mengder data. Det er viktig å skille ut sikkerhetsrelevante data.
15 (4.1.1) Etabler et planverk for hendelseshåndtering.Ha en plan, fordel roller og ansvar, og øv på planen. Før eller senere skjer det noe galt. Da har man ofte dårlig tid og må være forberedt.
Avsluttende ord
Ovenfor tydeliggjøres hvem som bør befatte seg med hvilke deler av prinsippene. Innlegget her var bare ment som smakebit, i beste fall som en introduksjon til «Grunnprinsipper for IKT-sikkerhet». Flere emner er enten ikke berørt eller bare behandlet kursorisk. Selve e-læringskurset er på rundt tre timer, og det er en fordel å legge inn pauser, så man får meg seg det tettpakkede innholdet. Det bør nevnes at kurset avliver flere myter, som at det er trygt på innsiden av brannmuren, og at antivirus er nok for å stoppe skadevare. Selv har jeg gått for lenge over bekken etter vann – i dette tilfellet over «Dammen» etter anbefalinger fra National Institute of Standards and Technology (NIST) og Center for Internet Security (CIS). Virksomheter flest finner det de trenger hos Nasjonal sikkerhetsmyndighet (NSM) .
Grafikken er hentet fra NSMs e-læringskurs.