Zero Trust Soldier

Cybersecurity is complex. Let's see if we can make it more understandable

Vent med NSMs Grunnprinsipper for IKT-sikkerhet

Sikkerhet er komplisert, men å sikre seg kan være meget enkelt.

Rammeverk, på godt og vondt, om det er NSMs Grunnprinsipper for IKT-sikkerhet, ISO 27001, NIST CSF, CIS CSC, eller annet…. De er store, omfattende, tidkrevende og til dels kompliserte.

De “få” som tar til seg rammeverkene jobber ofte med det for rammeverkets del (jada, det kommer reaksjoner her, men jeg baserer denne påstanden på erfaring hos mange igjennom flere år). Rammeverkene er bygget for helhetlig sikkerhet, som er vanskelig å argumentere imot, men blir ofte en papirjobb et godt stykke unna IT-avdelingen, mye for syns skyld.

Alle MÅ huske på at suksessfulle digitale hendelser skjer i teknologi. Rammeverkene behandles gjerne langt over teknologien, og det er poenget med denne posten, ikke at man skal kaste dem ut, men heller puste og vente litt.

Før, under og etter et angrep. Proaktiv preventiv sikkerhet vs reaktiv handling

Hva kan man gjøre før noe skjer? Mye, men det aller viktigste er tiltakene som reduserer sannsynligheten for at en skadelig ting kan skje, og her svikter det ofte. Ja, det krever teknisk kompetanse, men det er mye enklere og billigere enn alternativet. Og så skal man så klart forberede seg på en hendelse slik at skaden blir minst mulig og at systemer kommer opp igjen så raskt som mulig.

Det ironiske er at øving på hendelser ofte knyttes til løsepengeangrep, som er høyst relevant, men det er etter at skaden er et faktum. Vi MÅ gjøre oss mer motstandsdyktige.

Gran kommune hendelsen skulle IKKE ha skjedd, nettopp fordi den meget enkelt kunne vært avverget med helt grunnleggende elementer som jeg skriver om her. Ledelsen MÅ løfte bedret motstandskraft mot løsepengeangrep høyere på agendaen, så vil særs liten innsats gjøre stor forskjell. Vi snakker minutter og få timer med innsats…… Og slik er det gang på gang etter å ha lest om en hendelse. De samme manglende elementene.

Dagens trusselbilde

I dagens trusselbilde er det et par konkrete reelle ovehengende mørke skyer som kan ramme alle, og som alle derfor MÅ ta høyde for.

Løsepengeangrep og svindel

Alle statistikker man ser handler i hovedsak om disse to. Ja, tjenestenektangrep er noe mange må ta hensyn til, samt den overhengende faren for sabotasje i dagens verdenssituasjon. Men, de to tingene som absolutt alle må tenke på blir ofte ikke tenkt på med høyt fokus, og da går det til skogen stadig vekk.

Etter suksessfulle hendelser får man ofte nok innsikt til å vite hva som faktisk skjedde, og det er mye det samme om og om igjen. Vi snakker om helt grunnleggende elementer som typisk ikke krever ny teknologi, og veldig ofte er det meget enkelt å implementere. Så problemet er ikke tiltaket, men det handler om bevissthet og fokus hos ledelse.

Ledelsen oppe i dette

Forrige uke hadde jeg et møte med ledelsen hos en fylkeskommune som rett og slett var litt frustrert over alt som sies og gjøres der ute. “Skal vi bare gi opp?”. Og da kom jeg med disse to tingene, ikke som det endelige svaret, men som kanskje noe av det viktigste, da en god adressering spesielt av løsepengeangrep vil gi mange positive ringvirkninger for det meste av skadelig aktivitet som skjer i det digitale domenet.

Det var ingen tvil om at mange tiltak allerede var på plass mot løsepengeangrep, men det var aldri jobbet strukturert med å kartlegge tilstanden.

Hvordan skal man starte?

Jeg skrev denne artikkelen i juni 2024:

Den har til hensikt å bryte ned løsepengeangrep i 4 faser:

  • Veien inn i systemet
  • Kommunikasjon internt i systemet
  • Kommunikasjon ut av systemet
  • Kryptering

Begynner man strukturert å jobbe med disse 4 fasene vil man ganske enkelt kartlegge situasjonen og kan begynne å “hake av” for ting som er adressert, mens man kan starte med utbedrende tiltak for elementer man identifiserer i prosessen.

Tiltakene som omtales er i hovedsak engangsjobber, som man blir “ferdig” med (jada, det må gjøres revisjoner), og det vil gi langtidsvirkende proaktiv effekt.

Nøkkelord:

  • Assume ransomware
  • Least Privilege
  • Mennesker, IT ansatte og oppover
  • Fokus på verdiene

“Alle” blir anbefalt NSMs Grunnprinsipper for IKT-sikkerhet

Spesielt innen det offentlige, og da kommuner, blir det anbefalt å jobbe etter dette “rammeverket”. Mange sier de gjør det, men hvor involvert er IT-avdelingen i dette arbeidet? Og det er her kampen står mener jeg. Rammeverkene er store, omfattende, til dels komplekse, og generiske. Det er den generiske delen jeg ser utfordringen med, fordi det nettopp blir generisk. Rammeverkene skal ofte ikke si noe om eksakt hvordan ting skal gjøres, som er forståelig, men så ender det ofte med at tekniske tiltak ikke kommer på plass, eller at de blir “dårlig”.

Konklusjon?

Så…. Folkens…. Pust. Legg rammeverkene bittelitt til side og gjør en kjapp revisjon på dere selv. Hvor har dere data som kan skades av et løsepengeangrep? Det være seg i eget datasenter, i skyen, i SaaS eller hos tjenesteleverandør, for det er viktig å ta høyde for at dette også vil skje hos tjenesteleverandørene, som det har gjort flere ganger bare i Norge.

Når man har “pauset” rammeverkene en liten stund og revidert egen mostandskraft mot dagens reelle trusselbilde, kan man igjen flytte fokuset tilbake til rammeverkene. For denne “pausen” trenger ikke, og behøver ikke, å være lang, men den er meget viktig. Pauser er som regel meget viktige.

Neste blogg

Min neste blogg vil handle om hvorfor vi feiler, fordi det jobbes opp-ned med sikkerhet…. Ja, det er ganske grunnleggende, og det skjer dessverre altfor ofte. Noen nøkkelord:

  • Simon Sinek, Start with Why. Why, How, What.
  • Zero Trust. Inside -> Out, not Outside -> In.
, , , , , ,

Posted by:

Gøran Tømte

Leave a Reply

Discover more from Zero Trust Soldier

Subscribe now to keep reading and get access to the full archive.

Continue reading