Informasjonssikkerheten er vital for offentlig og privat sektor. Alle typer IT-infrastruktur er mål for en ny type kriminelle IT-eksperter.
Skurkene kan godt sitte på den andre siden av jordkloden.
Datakriminaliteten er like global som internett, og skurkene trenger verken visum, pass eller brekkjern for å fravriste deg eller bedriften din hemmeligheter og penger.
Mørketall
Næringslivets sikkerhetsorganisasjon (NSO) og Økokrim gjennomførte i fjor en mørketallsundersøkelse som viser at norske virksomheter oppdaget 7500 datainnbrudd, 500 000 forsøk på datainnbrudd og 9 millioner virusangrep. Svært lite blir meldt til politiet.
Undersøkelsen tyder på at det samlede tapet for virksomhetene lå et sted mellom 1 og 5,2 milliarder kroner, fordelt likt mellom direkte kostnader knyttet til hendelsene og indirekte kostnader på grunn av konsekvensene for forretningsdriften. I de tilfeller der gjerningsmann kunne identifiseres, dreide det seg om egne ansatte.
For snart et år siden ble Justisdepartementet, Forsvarsdepartementet og Nærings- og handelsdepartementet enige om å utvikle en nasjonal strategi for informasjonssikkerhet.
Grunnlagsdokumentet, som nå er ute på høring, speiler retningslinjer som OECD har trukket opp. Det er det første av to trinn som vil munne ut i en nasjonal strategi. De praktiske tiltakene, som vil bli et resultat av strategien, vil omfatte alt fra IT-bruken i hjemmet til det nasjonale nivået.
Sikkerhetsstrategien har tre overordnede mål:
-Legge grunnlag for en robust og sikker infrastruktur for elektronisk informasjonsutveksling.
-Stimulere til en sikkerhetskultur rundt bruk og utvikling av informasjonssystemer og elektronisk informasjonsutveksling i Norge.
-Legge et grunnlag for bruke av elektroniske signaturer, autentisering av kommunikasjonspartere og sikker overføring av sensitiv informasjon.
Odd Helge Longva, som leder det nyetablerte Senter for Informasjonssikring sier at det norske arbeidet med å skape en nasjonal strategi på dette området foregår samtidig i de fleste andre i-land.
Senter for Informasjonssikring er etablert som et treårig prøveprosjekt av Nærings- og handelsdepartementet, og lagt til Sintef i Trondheim.
- De fleste land som vi samarbeider med er på samme nivå som oss, med små nasjonale forskjeller. Vi ligger langt framme i IKT-utviklingen, og det gjør oss utsatt for angrep og tap av informasjon.
I utgangspunktet er det like viktig å passe på papirdokumenter som digitale dokumenter, men den digitale varianten bringer med seg en rekke nye utfordringer. I en bedrift eller et hjem som er koblet til internett gjelder det samme som i den fysiske verden; å "låse døra".
Longva tror vi aldri kan skape helt sikre systemer, selv om vi jobber kontinuerlig for å forbedre sikkerheten. - Trusselbildet endrer seg svært raskt, sier Longva. Målet må være å komme over i en mer kontrollert situasjon enn den vi opplever i dag.
Risikostyring
Organisasjonene må definere sin risiko og styre sikringen etter det. Bedrifter som driver med netthandel er mest opptatt av oppetiden, mens andre kan være mer opptatt av at uvedkommende ikke får tak i viktige dokumenter.
- Det er ikke bare teknologi som skal til for å minimere risiko. Hele organisasjonen må bevisstgjøres, og sikkerheten må ses i sammenheng med kvalitetssikringen, sier Longva.
Terrortrusselen og den sterke økningen av "virus" og "ormer" har bidratt til at sikkerhetsaspektet rundt IT-bruken har fått større oppmerksomhet. I løpet av få år er stadig flere av de samfunnskritiske funksjonene basert på IKT, og vi samhandler med hverandre og det offentlige over nettet. Hjemmekontorer og mobile kontorer gjør også at viktig informasjon flyttes rundt på flere maskiner og kommuniseres på nye måter.
- Sikkerhet er en helhet, der ingen ting er sikrere enn det svakeste leddet, sier avdelingsleder Arne Tjemsland i System Sikkerhet ASA i Arendal. - Derfor er det helheten som er viktig og ikke de enkelte sikkerhetselementene i bedriften som avgjør sikkerhetsnivået.
Rett inn
Hele poenget med en nettjener er at den skal være tilgjengelig på internett. Svært mange slike tjenere kommuniserer igjen med andre tjenere i bedriften. Hvis nettjeneren har et sikkerhetshull, vil en inntrenger kunne komme seg inn i bedriften.
- De fleste egenutviklede applikasjoner som tilbyr funksjonalitet på en nettjener har sikkerhetshull, og noen er temmelig grove. Vi kan teste systemene gjennom innbruddsforsøk for å avsløre og tette slike hull.
- Bedrifter der ledelsen har innsett at de er sårbare for innbrudd og informasjonstyverier er sikkerhetsmessig modne. Problemet mange IT-sjefer sliter med, er at det er så lett å anskueliggjøre slik risiko. Du ser jo ikke de som prøver å trenge seg inn, og slike utfordringer når ikke alltid opp i trange tider. Bedriften kan bli dømt for lovbrudd hvis den ikke sikrer personopplysninger. Bedriftene som rammes taper også penger og anseelse.
Digital signatur
Hvis visjonene om et e-Norge virkelig skal ta av, trengs det en nasjonal standard for digital legitimasjon og signatur, eller PKI, som står for Public Key Infrastructure. Vi må kunne stole like mye på et elektronsk signert dokument som på et med underskriften produsert av kulepenn hvis vi skal utløse rasjonaliseringseffekten.
Det er mange former for PKI-løsninger fra de rene programvarebaserte, som mange nettbanker bruker, til smartkortbaserte, som Norsk Tipping anvender. Mange håpet på at Skattedirektoratets AltInn-prosjekt, som skulle sørge for sikker innrapportering fra næringslivet over nettet, kunne danne grunnlaget for en nasjonal standard. Men de har i stedet basert seg på et system med engangspassord over SMS.
- Det offentlige bør ha en viktig rolle i en nasjonal standardiseringsprosess, sier leder Paul Chaffeyi Abelia, som også er formann i PKI-forum. Nå ber Rikstrygdeverket om tilbud på en totalpakke som skal gjør det mulig å formidle elektroniske sykemeldinger, og det vil være fint om dette kan bringe oss nærmere en standard.
Chaffey peker på at Regjerningen, gjennom IT handlingsplanen e-Norge, har skjønt hvor viktig en PKI-standard kan være for både effektivisering av samfunnet og for heving av sikkerhetsnivået.
|
Råd til bedrifter Ta med informasjonssikring som en del av kvalitetstankegangen. På samme måte som HMS er dette et konkurranseelement og ikke bare en utgift. Høy sikkerhet skaper tillit og reduserer tap. Organiseringen av informasjonssikringen og medarbeidernes kunnskap om og holdninger til dette er minst like viktig som teknologien. Kunnskap og holdninger må stadig oppdateres. En eller flere brannmurer og viruskontroll er en selvfølge, men det er like viktig å holde dem oppdatert. Utnytt de muligheter til passordbeskyttelse som ligger i programmer og operativsystem. Det er gratis og viktig. Installer sikkerhetsoppgraderinger fra programvareleverandørene. De er raskt ute med slike straks de får kjennskap til sikkerhetshull. Hvis alle installerer de gratis oppgraderingene Microsoft og andre leverandører tilbyr etter hvert som sikkerhetshull oppdages, kan mange innbrudd unngås. Få testet egenutviklede løsninger av kvalifiserte sikkerhetsfolk, gjerne ved at de prøver å bryte seg inn i systemet. Still krav til leverandørene om sikkerhet. Spesielt ASP-er og ISP-er bør tilby dette som en del av serviceavtalen i tillegg til oppetid og tilgjengelighet. Vedlikehold listen over hvem som har rettigheter til data. |
