Infrastruktur

Eksperter: Sådan skaber vi en mere sikker offentlig sektor

Sikkerhedsskandalen hos Transportstyrelsen i Sverige har fået myndigheder og kommuner i Norden til at vågne op. Men der er stadig store huller i myndighedernes viden om, hvordan man lukker sikkerhedshullerne. Her fortæller to af Nordens bedste sikkerhedseksperter om, hvordan IT-sikkerheden kan blive meget bedre.

Digitaliseringen er over os – med et hav af nye muligheder og tjenester. Mens man prioriterer udviklingen, glemmer man IT-sikkerheden, mener eksperterne. Flere undersøgelser har vist, at der er store huller i sikkerheden inden for den offentlige sektor. I Danmark fik det offentlige for nylig hård kritik, efter Datatilsynet afslørede at sikkerheden halter. Og i en undersøgelse foretaget for to år siden af den globale IT-sikkerhedsvirksomhed NTT Securitys nordiske afdeling, svarede hele 42 procent af de adspurgte, at de jævnligt gennemfører tests. 37 procent af de adspurgte IT-chefer i børsnoterede selskaber, kommuner og hos myndigheder sagde, at tests af IT-sikkerheden kun er foretaget en enkelt gang. Ti procent sagde, at det aldrig var blevet gjort. Ifølge NTT Security giver disse tal stadig et retvisende billede af IT-sikkerhedsparatheden inden for den offentlige sektor.

Det er simpelthen på høje tid, at vi tager sikkerheden inden for den offentlige sektor alvorligt, mener Anne-Marie Eklund Löwinder, sikkerhedschef for Internetstiftelsen i Sverige, IIS.

– Det er et fint politisk mål, at myndigheder skal digitaliseres, men det er let at lade sig forføre af alle de digitale løsninger og innovative tiltag. Det handler om at styrke IT-sikkerheden, samtidig med at digitaliseringen vinder frem, siger hun.

Myndigheder skal vide hvilke trusselsbilleder, der findes, og hvad konsekvenser af et eventuelt angreb vil være, siger hun. Det er vigtigt at kunne foretage en korrekt vurdering af, om det er værd at løbe en risiko eller ej.

– I en risikoanalyse skal du altid sammenligne omkostninger med resultat. Det er ikke optimalt at kaste penge efter beskyttelse mod noget, der måske kun indtræffer én gang hvert tiende år. Det skal du vurdere fra sag til sag, siger Anne-Marie Eklund Löwinder.

Det er tydeligt, at mange myndigheder og kommuner befinder sig på et alt for lavt niveau med hensyn til IT-sikkerhed. Og sikkerhedshullerne skal findes på ledelsesniveau, siger Anne-Marie Eklund Löwinder.

– I takt med digitaliseringen af den offentlige sektor bliver ledelsen forført af mere fleksible IT-løsninger til lavere pris. Løsninger er blevet outsourcet. Tidspres og funktionalitet bliver prioriteret frem for sikkerhed. Forståelsen af, hvad god informationssikkerhed er, er generelt alt for lille, og arbejdet med sikkerhed prioriteres ikke.

Hvad tror du, bliver det næste store sikkerhedsspørgsmål?

– Internet of Things, IoT, bliver det næste store sikkerhedsspørgsmål. Vi har allerede trådløs kommunikationsteknologi i alt fra hjemmets gadgets, så som køleskabe og tv til samfundskritiske funktioner som broer, hospitalsudstyr og transportmidler. Men mange af disse gadgets lever i dag ikke op til de basale krav om sikkerhed. Og de sikkerhedshuller, de har, er alt for lette at komme til, siger hun.

– Vi må huske på, at alle disse enheder, er computere. Hackerne skal bare finde et eneste hul i enhedens komplekse struktur, mens vi på forsvarssiden skal lappe hele overfladen. Med den viden i baghovedet er vi nødt til at arbejde meget hårdt med de samfundskritiske sikkerhedsspørgsmål hos myndigheder og kommuner.

Sikkerhed fra begyndelsen

Henrik Davidsson, nordisk salgsdirektør for NTT Security, er enig med Anne-Marie Eklund Löwinder om, at sikkerheden skal med i kravsspecifikationen lige fra begyndelsen. På trods af at kun 42 procent af IT-sikkerhedscheferne i virksomhedens undersøgelse regelmæssigt gennemfører tests, så vurderer 88 procent af dem, at deres virksomhed har et godt eller meget godt beredskab mod IT-relaterede trusler.

– At ni ud af ti mener, at deres beredskab er godt trods mangel på regelmæssige sikkerhedstests er skræmmende. Undersøgelsen viser, at IT-chefer ikke har et klart billede af, hvordan deres beskyttelse mod udefrakommende trusler ser ud, siger Henrik Davidsson.

Henrik Davidsson mener, at hvis vi på et tidligt tidspunkt inkluderer IT-sikkerhed og rutiner for sikkerhedstests, så mindsker vi risikoen for indtrængen og informationsbrud.

– Vi taler om Security by design, eller DevOpSec, det vil sige, at sikkerheden skal tænkes ind fra begyndelsen, når du udvikler en applikation eller et nyt system. På den måde har du et helikopterperspektiv og får integreret sikkerheden i udviklingsprocessen, så den ikke kan tilsidesættes.

I forbindelse med sikkerhedstests handler det om at knytte de pågældende systemer sammen med sårbarheder og risici for at opdage sikkerhedshullerne, der kan føre til brud. Gennem tests får du viden om risici og hvilke tiltag, der skal foretages for at øge sikkerheden. Dette er en lav pris at betale i forhold til de omkostninger i form af skadet omdømme, mistede forretningshemmeligheder og kundeinformation, der er ved et brud. Derfor er det vigtigt, at man ikke haster løsninger igennem, men lader udviklingen tage den tid, der er brug for.

– Ofte handler det om opgaver, der skal gennemføres inden for en begrænset tidshorisont og på et begrænset budget. Men når du udvikler nye funktioner, opstår der også risici, som du ikke ser. På den måde opbygger vi med tiden et risikolager. Hvis vi tænker risiko ind fra begyndelsen, havner vi ikke der.

Kan du foreslå et nyt, effektivt værktøj, der kan forhindre angreb?

– En interessant teknologi er netværksanomalier, der leder efter afvigelser både i netværkstrafikken og i brugeradfærden. Det gøres ved at skabe digitale illusioner i infrastrukturen. Hermed menes, at du lægger et antal falske filer ud, som sender en alarm, hvis der sker noget uforudset. Den slags teknologi er ikke billig, men den er utrolig effektiv til at opdage angreb.

Guide: Datasikkerhed og datatyveri

Hvor stor er risikoen for at blive ramt af angreb?

– Eftersom informationen inden for den offentlig sektor skal være tilgængelig for mange mennesker, øges risikoen for at blive ramt af angreb, ransomware eller skadelig kode. Den risiko er i dag meget stor, fordi angrebsmetoderne er så indviklede og svære at spore. Derfor skal du ikke tænke, ’hvis’ noget sker, men snarere ’når’ det sker. Og så naturligvis have et beredskab klar.

Anne-Marie Eklund Löwinders råd til øget IT-sikkerhed:

  • Alle vigtige funktioner i samfundet skal have en grundlæggende beskyttelse. Det vil sige, at vi sætter et fast niveau, som vi ikke går under.
  • Hav strenge regler om rettigheder – det betyder, at medarbejdere ikke skal have flere rettigheder end nødvendigt for at kunne udføre deres job. Segmentér netværk – skil dem ad allerede i de forskellige systemers infrastruktur, så der ikke er åben adgang mellem systemerne. Hold efterfølgende øje med, at alt bliver opdateret og sikkerhedskopieret. Hold sikkerhedskopierne adskilt fra netværket.
  • Arbejd systematisk med sikkerhedsrisici og hav koblet en procedure for at rapportere sikkerhedsbrud eller hændelser til din informationshåndtering.
  • Sørg for at have overvågning, så du har styr på, hvad der sker i verden. Vær opdateret. Diskuter aktuelle sikkerhedsspørgsmål i organisationen allerede på et tidligt stadie.
  • Lad ikke omkostningseffektivitet være det overordnede mål. Ellers begår du en fejl. Tag et helikopterperspektiv på sikkerhed og kvalitet allerede på planlægningsstadiet.

Henrik Davidssons tips til at mindske risikoen for IT-angreb:

  • Det er umuligt at beskytte sig helt mod alle tænkelige trusler, men man kan vurdere og håndtere risici. Det er derfor vigtigt at have en handlingsplan for trusselsbilleder og risikohåndtering.
  • Gennemfør tests og sammenlign resultater i form af risici og mulige konsekvenser. Beslut dernæst hvilke tiltag, der skal til for at øge sikkerheden. Begynd med at fikse de mest kritiske og omfattende sikkerhedsrisici.
  • Lad en uvildig ekspert udføre testen. Resultaterne skal kunne sammenlignes med organisationer, der ligner din. Det gør det muligt at danne sig et tydeligt billede af dit eget sikkerhedsniveau.
  • Overvej at arbejde med en underleverandør, som passer til jeres virksomhed. På den måde kan du supplere jeres egne ressourcer med eksterne ressourcer og kompetencer, for det er ofte meget specifikke kompetencer, der kræves.

Download guiden til bedre datasikkerhed.

Sidst opdateret: 1 juli 2022

Tags