Hvorfor i alverden skal ledere interessere sig for it-sikkerhed?

Du skal involvere dig i sikkerhed fordi sikkerhed betyder noget for jeres kunder og fordi cyberangreb og sikkerhedshændelser er begyndt at ske for alle slags virksomheder. CSC, Nets, IBM, Terma, Novozymes, Erhvervsministeriet m.fl. er eksempler på virksomheder i Danmark, som man forventede eller håbede var bedre beskyttet end de faktisk var. It-sikkerhed er i den grad kommet på dagsordenen i 2014, både i virksomhederne og i medierne.

Jeres kunder - uanset om I sælger direkte til forbrugere eller til virksomheder, interesserer sig nu for emnet. Derfor bør du både som leder og topleder interessere dig for om jeres organisation er godt nok forberedt på et større cyberangreb eller et nedbrud. Og det er vel i sig selv argumentation nok! Men der er flere gode grunde, som jeg vil nævne for dig.

Image og indtjening: I har måske brugt årevis på langsom, men sikker opbygning af troværdigheden af jeres brand(s). I ønsker at jeres kunder kan have tillid til jer. En sikkerhedshændelse kan på kort tid reducere den troværdighed, den tillid, I har opbygget  i et omfang, så selv de bedste (eller dyreste) image-kampagner ikke vil kunne rette op på det.

Udgifter: Læg hertil at det koster jer enorme summer, når I skal håndtere et stort sikkerhedsbrud. Både undervejs i hændelsen og efterfølgende til efterforskning, oprydning og genetablering. Tyveri af forretningshemmeligheder og/eller immaterielle rettigheder samt industrispionage kan selvsagt være dyrt - og ligefrem en trussel mod nogle virksomhedens eksistens. Efterfølgende vil det sikkert vise sig at flere investeringer i forebyggende sikkerhed havde givet god mening, også økonomisk. Og på grund af udviklingen i trusselsbilledet vil det også fremadrettet være en god investering.

Lovgivning: Der er lovmæssige krav til jer, om at I skal have god nok it-sikkerhed. Tænk bare på de nuværende og kommende persondatalove. I den kommende EU persondatalov (en forordning), der forventes at blive vedtaget så den gælder i alle EU-lande, skal virksomheder betale bøder på måske op til 5% af deres omsætning for databrud. Der er omfattende krav om at berørte parter adviseres (Data breach notification), hvilket både er dyrt og vanskeligt at udføre. Læg hertil en række branchespecifikke krav; fx at finansielle virksomheder skal efterleve Finanstilsynets krav til it-sikkerhed, krav til energi-sektor, til sundhedsektoren og at statslige virksomheder skal følge ISO 27001-standarden.

Governance-krav: Selskabsloven kræver 1) at ledelsen etablerer fornødne procedurer for risikostyring og interne kontroller, 2) at bestyrelsen tager stilling til strategiske og forretningsmæssige risici og 3) at en ledelse som uagtsomt har tilføjet selskabet skade, skal erstatte skaden.  Med andre ord er her endnu en række lovgivningsmæssige årsager til at interessere sig for informationssikkerhed.

Revision: Du tilstræber nok også, at jeres revision bliver tilfreds med det meste af alt der måtte stå på de lange revisionsvejledninger. Jeres it-sikkerhed bliver også revideret. Og uagtet at nogle revisionshuse har en tvivlsom dobbeltrolle (da de samtidigt tilbyder en bred vifte af både udførende og rådgivende konsulentydelser inden for it-sikkerhed), så betaler det sig for jer at forberede jer proaktivt på revisionen. Det skal være nemt for jer at dokumentere, at I har styr på jeres informationssikkerhed.

Men hvad skal du som topleder foretage dig, udover at interessere dig for emnet? Det er nemt: Du skal A) kommunikere i din organisation at sikkerhed er vigtigt, at det er en forudsætning for jeres forretningsaktiviteter, og B) du skal undersøge om I har afsat tilstrækkelige økonomiske og menneskelige ressourcer i jeres organisation til at håndtere den daglige, praktiske styring af jeres informationssikkerhed.

Hvis du selv vil stikke et spadestik dybere, anbefaler jeg at undersøge jeres modenhed på disse områder:

1. Politikker, regler, procedurer og dokumentation
2. Risikostyring (risikovurderinger og løbende risikohåndtering)
3. Hændelseshåndtering og beredskabsplaner

Ordentlig governance og styring af informationssikkerhed er blevet helt almindelig god skik simpelthen fordi det er blevet en forudsætning for de fleste virksomheders forretningsaktiviteter. Derfor skal en ledelse interessere sig for informationssikkerhed :-)

PS Jeg har sammenfattet de seks grunde til dig i et dokument, som du kan hente her

Venlig hilsen

Lars Neupart

Blogger: Lars Neupart er grundlægger af Neupart A/S.

PS: Klik her for at følge os på LinkedIn.

Nets-sagen - kan vi overhovedet undgå lignende sager?

Af Gaffri Johnson, Neupart

Det er typisk eksempler i udlandet vi hører om, når snakken falder på datalækager og misbrug af følsomme data. I Danmark har vi ikke set mange større sager - det har oftest været mindre lækagesager og de fleste har omhandlet personer i det politiske liv.

Risikomæssigt vil det derfor være nærliggende at tro, at det ikke er disse typer af trusler, danske virksomheder  skal bruge kræfter på at imødekomme. Men spørgsmålet er, om den menneskelige faktor ikke altid vil være det svageste led i forhold til de tiltag virksomheder gør for at indføre den rette mængde informationssikkerhed.

“Medarbejdere vil i et vist omfang altid være jokeren og derfor også en oplagt  angrebsvektor”

Det er min påstand, at det er nemmere at regulere informationssikkerheden med tekniske og procesmæssige tiltag end at kontrollere medarbejdere. Det er faktorer såsom manglende viden og motivation - hvad enten det er politiske, økonomiske eller andre motiver, der driver medarbejdere, bevidst eller ubevidst. Medarbejdere vil derfor i et vist omfang altid være jokeren. Og derfor også en oplagt angrebsvektor for dem der ønsker at få fat på data uanset om det er den kulørte presse, konkurrenter, eller folk der ønsker at foretage industrispionage, politisk motiverede handlinger såsom APT-hændelser (Advanced Persistent Threats*), økonomisk kriminalitet eller terrorvirksomhed.

I kraft af at vi bliver bedre og bedre til at beskytte os med softwareunderstøttede løsninger, og flere virksomheder læner sig op af diverse sikkerhedsstandarder eller bliver certificeret, vil den menneskelige faktor blive et mere interessant mål eller potentiel angrebsvektor.

“Se og Hør udnytter akilleshælen og den sværest kontrollerbare faktor i informationssikkerhed, nemlig medarbejderen”

Afdækningen af de aktuelle hændelser hos Nets og IBM viser, at rejseselskaber og hospitalsvæsenet også er involveret i datalækager. Se og Hør er bl.a. blevet tippet flere gange om kendte menneskers rejsevaner og hospitalsbesøg. Se og Hør udnytter akilleshælen og den sværest kontrollerbare faktor i informationssikkerhed, nemlig medarbejderen.

Hvis Se og Hør har mulighed for at få fat i disse oplysninger, hvad holder så kriminelle fra at benytte tilsvarende metoder til økonomisk kriminalitet eller industrispionage? Jeg tror, at virksomheder må erkende, at det ikke er muligt at forhindre lignende sager i at opstå. Det er en del af de risici man må acceptere. Hvis man vil forsøge at lukke helt ned for muligheden for datalækage, vil det næsten gøre det umuligt at drive forretning. 

“En balanceret og pragmatisk tilgang er mest effektiv”

Det vil derfor altid være en balanceret og pragmatisk tilgang, der er mest effektiv. Virksomheder må derfor altid acceptere en rest-risiko, forstå implikationerne ved denne rest-risiko og planlægge derefter. 

Det vil nok undre mange, at virksomheder som Nets og IBM, der i høj grad er med til at formidle og administrere den digitale kritiske infrastruktur, ikke i højere grad selv har formået at skabe tillid omkring deres sikkerhed. Og mange vil ligeledes undre sig over at sikkerhedsrevisioner - omfattende revisorerklæringer og PCI DSS audits, ikke har formået at afdække den dårlige arbejdskultur og de smuthuller, der blev benyttet.

Sådan mindskes risiciene og konsekvenserne, hvis uheldet skulle være ude

Baseret på den tilgængelige viden - med forbehold da vi ikke kender de præcise omstændigheder, følger her vores bud på processer, der kan være med til at mindske risiciene for datalækage.

a)  Uheldig medarbejderadfærd
Ifølge flere kilder var det ikke unormalt, at medarbejdere lavede opslag i kreditkorttransaktioner for at følge med i ægtefællers eller kæresters transaktioner. Dette vidner om en uhensigtsmæssig arbejdskultur.

• Informationssikkerhedsfunktionen og ledelsen har et ansvar for at specificere adfærdsregler og normer samt at forankre disse. De bør også have tilstrækkelig indsigt i virksomhedens arbejdskultur til, at de kan fange uhensigtsmæssig adfærd inden det bliver et problem.

b)  Rolle og rettighedsstyring
Hvis ikke adgange til systemer er veldefineret, risikerer en virksomhed at medarbejdere har adgang til systemer og data, de ikke bør have adgang til.

• Roller og rettigheder bør forankres i forhold til de opgaver de enkelte medarbejdere udfører. Princippet ”on a need-to-know basis” bør gennemsyre adgangsprocesserne til alle de kritiske systemer. 
• Profiler skal altid være personhenførbare. 
• Principper for funktionsadskillelse skal være beskrevet og implementeret for alle kritiske systemer. 
• Virksomheden skal have et overblik over alle kritiske systemer, hvor data befinder sig (i transit, lagret og behandlet). 

c)  Håndtering af medarbejdere med udvidet rettigheder
Nets-hændelsen viser med al tydelighed, at processerne omkring administratoradgange ikke har været helt på plads. Det er essentielt at disse roller er lagdelte og opfylder nogle basale sikkerhedskrav:

• Profiler med udvidede rettigheder har alt for ofte for mange rettigheder på tværs af alle systemer. ”On a need-to-know princippet” bør også omfatte profiler med udvidede rettigheder, fx. administratorroller og tilsvarende. Rettighederne bør tilpasses de specifikke administrative opgaver, de udfører.
• Alle administratorer skal være underlagt logning af deres egne handlinger på kritiske systemer.
• Administratorer skal fx. ikke kunne oprette, ændre eller slette andre privilegerede brugere. Det bør håndteres som en del af IAM-processen og af særskilte funktioner i virksomheden. Igen bør princippet om funktionsadskillelse gælde.
• Profiler med udvidede rettigheder må ikke have adgang til at kunne ændre logindstillinger for system- og brugeraktivitet. Rettigheder til disse funktioner bør håndteres af en særskilt profil.

d)  Hændelsesstyring og it-beredskabet 
Mangelfulde processer for hændelsesstyring og it-beredskabet kan være afgørende for at minimere skader forbundet med sikkerhedshændelser. En effektiv og struktureret proces for hændelsesstyring er også med til at øge sandsynligheden for et vellykket efterforskningsarbejde i kølvandet på en sikkerhedshændelse.

• Der skal være etableret en hændelsesstyringsproces der bl.a. indeholder konkrete beskrivelser og procedurer for eskaleringen frem til en evt. aktivering af beredskabsplanen.
• En virksomhed der håndterer personfølsomme oplysninger skal desuden have indarbejdet hensyn til disse i deres hændelsesstyringsprocesser og beredskabet. Der skal desuden foreligge en klar og præcis kommunikationsstrategi. 
• Beredskabsplanen skal være med til at sikre en hurtig genoprettelse af ydelser, men også tilliden til virksomheden. Der har været flere hændelser i 2014 med bl.a. Nets og Rejsekort, hvor kommunikationsdelen af deres beredskab ikke har været skarp nok, hvilket har resulteret i en generel mistro til deres evne til at drive virksomhed. Ineffektiv hændelsesstyring og beredskab risikerer at skabe et troværdighedsproblem og vil få virksomheder til at fremstå uprofessionelle.

e)  Ekstern it-sikkerhedsrevision
Både Nets og IBM får gennemført en it-revision og IBM får udarbejdet en ISAE 3402** omhandlende Nets driftsforhold. Desuden bliver begge virksomheder udsat for en PCI DSS audit. Alligevel har ingen af disse formået at identificere væsentlige sårbarheder eller mangler. Det viser sig desuden, at Finanstilsynet ikke har tjekket Nets i fire år. I forhold til den vigtige rolle de har for samfundet kan det måske undre, at der ikke har været mere fokus på ekstern kontrol af informationssikkerheden.

Hvor meget værdi kan vi overhovedet tillægge en revisionserklæring og har den nok pondus? Hvis den ikke formår at identificere væsentlige svagheder eller dens observationer ikke bliver synliggjort i tilstrækkelig grad, hvor meget tillid kan vi så have til disse? For mange virksomheder og kunder har fejlagtigt sat lighedstegn mellem it-revision/outsourcing-erklæringer og informationssikkerhed, hvilket er en misforståelse. Deres formål har fra starten været at understøtte den finansielle revision og ikke haft fokus på holistisk informationssikkerhed.

• Den eksterne sikkerhedsrevision bør i højere grad begynde at fokusere på processer, adfærd og awareness. Der er større risici forbundet med disse forhold end fx. en manglende test af backup eller en fejlet change management kontrol. 
• Vi skal derfor væk fra den revisionsprægede checkliste kontrol og i højere grad basere sikkerhedsrevisionen på en risikobetragtning med fokus på de elementer, der er relevante i forhold til informationssikkerhed.
• Det samme kan siges om PCI DSS. Med den seneste version (3.0) er der kommet lidt mere fokus på interne sikkerhedsprocesser og medarbejderadfærd, men måske stadigvæk ikke nok. PCI-audits har en tendens til at fokusere meget på kontrollerne omkring systemudvikling, netværkssikkerhed, penetrationstest og logisk adskillelse af kortdata-miljøer fra andre netværk. Og har måske for lidt fokus på rettigheder, roller, medarbejderadfærd og awareness.

------
*Advanced Persistent Threats: I høj grad koordinerede angreb på specifikke mål som brancher, enkeltvirksomheder, presse og kritisk infrastruktur. Er typisk enten politisk motiveret eller omhandler industrispionage. Der bliver ofte benyttet avancerede angrebstyper og det sker på flere simultane angrebsvektorer. Tidligere hændelser indikerer, at angrebene kan være statssponsorerede.

**ISAE 3402 type 2 erklæring (tidligere RS 3411) dækker over erklæringsopgaver, der forholder sig til udvalgte kontroller hos en serviceleverandør, der vedrører ydelser, som er relevante for en virksomheds interne kontroller for regnskabsaflæggelse. Oftest vil det være de ”generelle it-kontroller” baseret på best practices fra den amerikanske revisorforening AICPA. Men kontrollerne kan også være nogle specifikke kunden udvælger sammen med revisionen for at give det mest retvisende billede af it-kontrolmiljøet hos kunden. I det omfang en kunde ønsker det, kan Cobit eller ISO 27002 rammeværket også inddrages.

Om forfatteren: Gaffri Johnson er Senior Security Advisor hos Neupart A/S og udfører sikkerhedsrådgivning om bl.a. ISO 27001 og it-risikovurderinger. 

Tips til at kommunikere it-sikkerhed med ledelsen

It-ansvarlige, it-sikkerhedsansvarlige og andre med indblik i it-sikkerhed kan nemt se det fornuftige i it-risikovurdering, i en effektiv it-sikkerhedspolitik, i et ISMS, og i at have opdaterede og tilgængelige it-beredskabsplaner. Nogle gange er det fornuftige i de præcis samme aktiviteter bare ikke lige så indlysende for personer i virksomhedens ledelse. Denne forskel i opfattelse eller prioritering kan der være mange rigtig mange gode grunde til.

Hos Neupart har vi lavet en ultra kort præsentation som giver korte og ikke-tekniske svar på disse spørgsmål:

1. Hvorfor virksomheder skal risikovurdere deres afhængighed af it? 
2. Hvordan investerer man optimalt i it-sikkerhed?
3. Hvorfor egentlig have et  Information Security Management System? 
4. Hvorfor skal man arbejde med beredskab og nødprocedurer?

Du kan se præsentationen her. Den er måske mest egnet i mellemstore virksomheder, men det vil jeg vil rigtig gerne høre din mening om. Du kan svare mig på email eller her på bloggen. Skriv også, hvis du har andre gode tips til at kommunikere it-sikkerhed til ledelsen.

Til ledelsen:  It-sikkerhed for forretningen

Om forfatteren: Lars Neupart er stifter af Neupart A/S og vil gerne fortælle dig at SecureAware = effektiv informationssikkerhed. Følg ham på Twitter.