Når gode råd og verktøy ikke brukes

Sjef for nasjonal sikkerhetsmyndighet (NSM) Sofie Nystrøm la torsdag  fram rapporten «Nasjonalt digitalt risikobilde 2021». Rapporten viser en kraftig økning i antall cyberhendelser. De rapporterer om tre ganger flere alvorlige cyberhendelser av NSM i fjor enn året før. 

De aller fleste skjønner at informasjonssikkerhet og personvern er viktig, og det finnes store mengder råd og veiledninger om hvordan arbeidet med Informasjonssikkerhet og personvern kan ivaretas. Likevel er det mange som opplever at det er vanskelig komme i gang med konkret arbeid. Samtalene har i mange virksomheter flyttet seg fra IT-avdelingen til også å foregå i ledelsen og styret, men ikke alle har en IT-avdeling eller egne stillinger for arbeid med sikkerhet og personvern. 98% av alle virksomheter i Norge består av 1-49 personer, og for mange av dem er det akkurat det som er realiteten. Det betyr ikke at alt håp er ute, her gjelder det bare å komme i gang. Mange oppdager da at enkle grep og tiltak kan gi positiv effekt på flere områder.

Vi har det siste året jobbet med å prøve å forstå mer om hvorfor det er tilfelle, og da særlig for små og mellomstore bedrifter. Hverdagen brukes til egen kjernevirksomhet, samtidig som man prøver å se litt på noen råd i mellom slagene. Dessverre erfarer vi at mange selskap har kommet kort i dette arbeidet. Gjennom en grunnleggende og overordnet kartlegging innen sikkerhet og personvern, har vi hjulpet flere virksomheter å få et overblikk over situasjonen. Tanken er at de kan benytte kunnskapen som skaffes som et utgangspunkt for arbeidet videre med å forbedre situasjonen.

Underveis i arbeidet vårt med kartlegginger ser vi noen mønstre som gjentar seg i mange virksomheter. For mange virksomheter finnes det stor mulighet for forbedring med en relativt liten innsats. Mange av disse samsvarer med de oppdagelsene NSM rapporterer om fra sitt arbeid med inntrengningstester i virksomheter rundt i landet. 

Noen av de viktigste punktene som går igjen som mangler er:

  • Oversikt: Et av temaene vi ser at går igjen er at virksomhetene ikke har oversikt over hva de har av utstyr og systemer. Ta frem et regneark, begynn å liste opp det du har. Tenk også på hvordan listen skal holdes oppdatert og av hvem.
  • Eierskap av utstyr: Nesten alle har en blanding av privateid utstyr og utstyr eid av virksomheten. For mange løses flere utfordringer ved at virksomheten eier utstyret, og kan ha nødvendig oversikt og kontroll over hva som brukes og retningslinjer for hvordan.
  • Eierskap av systemer: På samme vis foregår det også bevisst og ubevisst innblanding av private systemer i virksomhetens arbeid. Eksempler på dette kan være bruk av for eksempel iCloud for sikkerhetskopiering eller Dropbox til synkronisering mellom maskiner. Dette gjør at det blir vanskelig for virksomheten å ha orden i hvilke systemer man benytter, og hvor informasjon befinner seg. I de tilfellene hvor det behandles personopplysninger, kan dette være ekstra problematisk. 
  • Passordsikkerhet: Mange har ikke etablert rutiner for sterke passord og tofaktorautentisering. NSMs erfaringer viser at svake passord fremdeles ofte er den letteste veien inn i virksomheters systemer. De rapporterer om utstrakte funn av korte passord som er lette å gjette eller som lar seg knekke med “brute force-angrep”. Blant eksemplene er passord som «Sommer2020» og «September2020». Se NSMs råd og anbefalinger for passord, og oppdater rutinene deres.
  • Nettverkssikkerhet: NSM utfører kontrollerte forhåndsbestilte angrep, inntrengningstester, for å teste motstandskraften i virksomheter og deres systemer. Disse testene har avdekket at mange har svak nettverkssikkerhet. Mange tenker ikke på at nettverket er virksomhetens port til resten av verden, og hvor viktig det er at den er sikret og overvåket på riktig nivå. 
  • Oversikt over data: Vi ser ofte at virksomheten ikke har oversikt over hvilke data de sitter på, dataenes verdi og hvilke behov som ligger bak. Ofte mangler også nedskrevne rutiner og dokumentasjon for å sørge for tilstrekkelig sikkerhet og kontroll. I mange tilfeller er det også lovpålagt, som for eksempel behandlingsprotokoll (oversikt over behandling av personopplysninger). Benytt gjerne Datatilsynets egen mal.
  • Roller og ansvar: Flere mangler definerte roller og ansvar for informasjonssikkerhet og personvern i virksomheten. Dette trenger ikke være egne stillinger, men det er viktig at noen har ansvaret for å ivareta disse områdene.  

I tillegg til dette ser vi ofte at informasjonssikkerhet og personvern i for liten eller ingen grad er temaer som diskuteres og behandles i styre og i ledelsen. Dette gjelder også etatsledelse i statlige virksomheter. Det er sentralt å få inn på agendaen også i styrerommet, for å kunne ivareta ansvarlighet, forstå eget risikobilde og strategiske og økonomiske behov. 

På den positive siden trenger det ikke å være komplisert å få oversikt og kontroll. Det viktigste er at man kommer i gang, enten på egenhånd eller med hjelp utenfra. For å slippe å ta den samme opprydningen år etter år, anbefaler vi sterkt at man underveis i arbeidet tenker på hvordan dette kan opprettholdes. Gode vaner må skapes, og dårlige må avlæres. Dette kan vi Otte hjelpe dere med. Vi kan starte med å gå igjennom en enkel og greit kartlegging, som oppsummeres til en overordnet status på informasjonssikkerhet og personvern i din virksomhet. Basert på dette kan dere på egenhånd eller sammen med oss jobbe videre med konkrete tiltak og prioriteringer for å komme opp på et nødvendig nivå, herunder også metoder for å opprettholde dette.