Sikkerhet i digitaliseringens tid
Med digitalisering i fokus fikk Sikkerhetsdagen over dobbelt så mange deltakere som i fjor. Større kompleksitet og risiko frister ressurssterke kriminelle miljøer, og naive ansatte er fortsatt hovedveien inn til systemene. Lyset i tunnelen er at ledelsen endelig ser ut til å ville ta ansvar.
Digitaliseringen av norske virksomheter er svært viktig, men like viktig er det at sikkerheten holder tritt med utviklingen, var hovedbudskapet Bente Hoff slo an tonen med på den årlige Sikkerhetsdagen i regi av Computerworld. Som leder for strategisk cybersikkerhet i NSM, Nasjonal sikkerhetsmyndighet, valgte hun det overordnete perspektivet i innledningen sin.
Mer å beskytte
Hun understreket at digitaliseringen gir mange fordeler sikkerhetsmessig, ikke minst modernisering, siden ny teknologi generelt er sikrere enn gammel. Men det finnes mange skjær i sjøen.
Med større og mer komplekse systemer øker også risikoen, det blir mange flere digitale verdier å måtte beskytte, og truslene fra profesjonelle kriminelle aktører blir også mer avanserte.
Når flere verdier legges i det digitale rommet blir det mer å skulle passe på og håndtere. Samtidig opplever man sjelden at en løsning bare består av nye systemer. Ofte skal gamle løsninger spille sammen med det nye, med den risikoen det innebærer. En tilsvarende utfordring er at komponenter med én funksjon knyttes sammen med andre og fungerer i en ny sammenheng. Selv om de ikke var viktige opprinnelig, kan de innebære stor risiko i den nye settingen.
Minste motstands vei
Med proffere trusselaktører må sårbarhetene elimineres. Angrepene er automatisert, de velger ofte minste motstands vei, og resultatene blir katastrofale, som vi har sett mange eksempler på i det siste.
– Det kan vi ikke gjøre noe med, men sårbarhetene kan vi gjøre noe med, sier Hoff. Hun forteller at NSM ser mye som ikke skulle vært der når de rykker ut til bedrifter i trøbbel. Årsakene spenner over alt fra mailer til sjefen, til åpne porter og manglende patching på servere. Remediene er som før forankring i ledelse og styre, kompetansebygging blant ansatte og it-folk, i tillegg til de tekniske forholdsreglene. Det holder ikke lenger å bruke besteforeldrenes knep og trekke ut kontakten. Å skru ned et moderne system vil dessuten i seg selv i mange tilfeller ramme virksomheten bredt.
På et basalt nivå er det viktig å sikre eposten, der mesteparten av infeksjonene kommer inn, noe som i stor grad kan automatiseres. Logg er også svært viktig, og et område NSM ofte finner at mangler når de skal inn og rette opp etter en hendelse. Loggen er vesentlig for å rydde opp, men her slurves det mye.
– For å digitalisere sikkert må sikkerheten digitaliseres, spissformulerer Hoff, og viser blant annet til at mange fortsatt leser loggene manuelt.
På plussiden kan Hoff opplyse at fokuset på sikkerheten og konsekvensene endelig er i ferd med å slå rot i toppledelsens bevissthet, og at det her har skjedd en betydelig utvikling de siste halvannet året.
– Mange nyttige tips
Seniorrådgiver Henning Moholdt i Finanstilsynet jobber med it-drift, men skal ta større del av sikkerhetsansvaret i organisasjonen i tiden framover.
Han er kommet for å skaffe seg oversikt, se hvilke utfordringer som kan dukke opp, og få innspill på hva han bør tenke på framover.
– Det har vært bra og lærerikt. Jeg har tatt mye notater jeg skal se over og fått mange nyttige tips som vil bli brukt, sier han.
Fått fylt «to do»-listen
– Dette er spennende. Det er fint i en hektisk hverdag å kunne sette av en hel dag til faglig påfyll og få gjøre seg refleksjoner underveis. Dette sier Jon R. Johansen, som er it-sjef i CEPI. På bakgrunn av foredragene har han skrevet en to do-liste og skal sjekke opp en rekke ting når han kommer tilbake på jobben.
– Vi lever av at farmasøytisk industri deler informasjon med oss, og vi kan ikke tillate oss noen hendelser. Vi har en egen tjenesteleverandør som vi først og fremst valgte på grunn av sikkerheten, så vi vet at den grunnleggende infrastrukturen er sikker, men kultur og rutiner må det tenkes mer på, sier han. Fortsatt opplever han at enkelte i organisasjonen ser sikkerheten som en hemsko for egen kreativitet og vil nå legge stor vekt på å innarbeide sikkerhet på individnivå. Til det har han i løpet av konferansen fått med seg en rekke tips og triks og ting som skal inn i sikkerhetsopplæringen.
Faglig påfyll
Dag Laumann, som er it-sjef i Giek Kredittforsikring, synes han får et godt bilde av hvor langt it-sikkerheten er kommet. Han har 25 års erfaring og ser en kontinuerlig endring med nye elementer som kommer inn, selv om de samme temaene går igjen. De siste årene har han merket en positiv endring på ledelsessiden. At ledelsen er blitt mer klar over at it er essensielt for virksomheten, og at det samme gjelder sikkerheten. Laumann sier han kommer på konferansen for å få generell faglig påfyll.
Bygger nettverk
– Vi vil se hva som er på dagsorden innen sikkerhet, sier Nina Hesby Tvedt, som er ansvarlig for salg og marked i Secure-NOK. Selskapet jobber med industriell sikkerhet og infrastruktur, og Hesby Tvedt merket seg NSMs bekymring over manglende oversikt i infrastrukturen i forbindelse med digitaliseringen. Nettverksbygging og samtaler står høyt på agendaen hennes. Innen industrien er mye av sikkerheten digitalisert, men også der er atferd og bevisstgjøring hos folk en utfordring, sier hun.
Det svake leddet
Stian Kareliussen er senior it-konsulent i Terratec som jobber med flyfoto. De har store mengder billeddata og følger sikkerhetsforskriftene og reglene fra NSM. Han kommer for å holde seg oppdatert og finner mye interessant på sikkerhetsdagen.
– Det kommer stadig nye trusler og her får jeg mange ideer om hva som rører seg. Jeg ser at de ansatte er knutepunktet for de kriminelle og at det er her en må overvåke for å styrke sikkerheten.
Etterlyser den positive vinklingen
Øystein Paulsen er daglig leder i Norge for selskapet Neupart, som selger ledelsessystemer for informasjonssikkerhet.
– Ledelsen må ta ansvar, men de må kunne gjøre det på en enkel måte, sier han.
Paulsen kommer primært for å prate med partnerne som har stand og fortelle om løsningen sin. Han synes mange foredrag har vært interessante, men savner mer glød og positiv vinkling fra foredragsholderne.
- Generelt blir sikkerheten sett på som en hemsko og noe negativt. Jeg savner det positive fokuset, at man ser på mulighetene og på sikkerheten som noe som fremmer businessen. Tar du sikkerheten på alvor, blir du stolt på. Jeg savner budskapet om at sikkerhet faktisk hjelper deg til å bli mer suksessfull.
Fram på scenen
– Vi må vise oss. Vi er ikke så synlig i Norge som vi burde være, selv om vi har vært her i ti år. Nå deltar vi oftere på slike
arrangementer enn før. Dette sier Bengt Berg, som jobber med salg og backoffice i Eset. Halvveis i konferansen har han rukket å prate med mange, både konkurrenter og kunder, og han har også fått leads han skal følge opp i tiden framover. Berg synes konferansen er bra, men han hadde ønsket noe lengre pauser og mer tid til mingling.
Treffer kunder
– Vi kommer for å treffe kunder og promotere vår filosofi og våre løsninger innen sikkerhet, sier Stian Aarhus, som er storkundeansvarlig i Palo Alto Networks. – Vi har fått profilert oss, snakket med mange og fått fortalt om oss selv.
Han har fått snakket med både eksisterende og potensielle kunder fått hørt en del gode foredrag. Som spesielt positivt trekker han fram konferansens form med relativt korte sesjoner og mange pauser som åpner for mye mingling.