Eksperter: Sådan skaber vi en mere sikker offentlig sektor

Sikkerhedsskandalen hos Transportstyrelsen i Sverige har fået myndigheder og kommuner i Norden til at vågne op. Men der er stadig store huller i myndighedernes viden om, hvordan man lukker sikkerhedshullerne. Her fortæller to af Nordens bedste sikkerhedseksperter om, hvordan IT-sikkerheden kan blive meget bedre.

Digitaliseringen er over os – med et hav af nye muligheder og tjenester. Mens man prioriterer udviklingen, glemmer man IT-sikkerheden, mener eksperterne. Flere undersøgelser har vist, at der er store huller i sikkerheden inden for den offentlige sektor. I Danmark fik det offentlige for nylig hård kritik, efter Datatilsynet afslørede at sikkerheden halter. Og i en undersøgelse foretaget for to år siden af den globale IT-sikkerhedsvirksomhed NTT Securitys nordiske afdeling, svarede hele 42 procent af de adspurgte, at de jævnligt gennemfører tests. 37 procent af de adspurgte IT-chefer i børsnoterede selskaber, kommuner og hos myndigheder sagde, at tests af IT-sikkerheden kun er foretaget en enkelt gang. Ti procent sagde, at det aldrig var blevet gjort. Ifølge NTT Security giver disse tal stadig et retvisende billede af IT-sikkerhedsparatheden inden for den offentlige sektor.

Det er simpelthen på høje tid, at vi tager sikkerheden inden for den offentlige sektor alvorligt, mener Anne-Marie Eklund Löwinder, sikkerhedschef for Internetstiftelsen i Sverige, IIS.

– Det er et fint politisk mål, at myndigheder skal digitaliseres, men det er let at lade sig forføre af alle de digitale løsninger og innovative tiltag. Det handler om at styrke IT-sikkerheden, samtidig med at digitaliseringen vinder frem, siger hun.

Myndigheder skal vide hvilke trusselsbilleder, der findes, og hvad konsekvenser af et eventuelt angreb vil være, siger hun. Det er vigtigt at kunne foretage en korrekt vurdering af, om det er værd at løbe en risiko eller ej.

– I en risikoanalyse skal du altid sammenligne omkostninger med resultat. Det er ikke optimalt at kaste penge efter beskyttelse mod noget, der måske kun indtræffer én gang hvert tiende år. Det skal du vurdere fra sag til sag, siger Anne-Marie Eklund Löwinder.

Det er tydeligt, at mange myndigheder og kommuner befinder sig på et alt for lavt niveau med hensyn til IT-sikkerhed. Og sikkerhedshullerne skal findes på ledelsesniveau, siger Anne-Marie Eklund Löwinder.

– I takt med digitaliseringen af den offentlige sektor bliver ledelsen forført af mere fleksible IT-løsninger til lavere pris. Løsninger er blevet outsourcet. Tidspres og funktionalitet bliver prioriteret frem for sikkerhed. Forståelsen af, hvad god informationssikkerhed er, er generelt alt for lille, og arbejdet med sikkerhed prioriteres ikke.

Hvad tror du, bliver det næste store sikkerhedsspørgsmål?

– Internet of Things, IoT, bliver det næste store sikkerhedsspørgsmål. Vi har allerede trådløs kommunikationsteknologi i alt fra hjemmets gadgets, så som køleskabe og tv til samfundskritiske funktioner som broer, hospitalsudstyr og transportmidler. Men mange af disse gadgets lever i dag ikke op til de basale krav om sikkerhed. Og de sikkerhedshuller, de har, er alt for lette at komme til, siger hun.

– Vi må huske på, at alle disse enheder, er computere. Hackerne skal bare finde et eneste hul i enhedens komplekse struktur, mens vi på forsvarssiden skal lappe hele overfladen. Med den viden i baghovedet er vi nødt til at arbejde meget hårdt med de samfundskritiske sikkerhedsspørgsmål hos myndigheder og kommuner.

Sikkerhed fra begyndelsen

Henrik Davidsson, nordisk salgsdirektør for NTT Security, er enig med Anne-Marie Eklund Löwinder om, at sikkerheden skal med i kravsspecifikationen lige fra begyndelsen. På trods af at kun 42 procent af IT-sikkerhedscheferne i virksomhedens undersøgelse regelmæssigt gennemfører tests, så vurderer 88 procent af dem, at deres virksomhed har et godt eller meget godt beredskab mod IT-relaterede trusler.

– At ni ud af ti mener, at deres beredskab er godt trods mangel på regelmæssige sikkerhedstests er skræmmende. Undersøgelsen viser, at IT-chefer ikke har et klart billede af, hvordan deres beskyttelse mod udefrakommende trusler ser ud, siger Henrik Davidsson.

Henrik Davidsson mener, at hvis vi på et tidligt tidspunkt inkluderer IT-sikkerhed og rutiner for sikkerhedstests, så mindsker vi risikoen for indtrængen og informationsbrud.

– Vi taler om Security by design, eller DevOpSec, det vil sige, at sikkerheden skal tænkes ind fra begyndelsen, når du udvikler en applikation eller et nyt system. På den måde har du et helikopterperspektiv og får integreret sikkerheden i udviklingsprocessen, så den ikke kan tilsidesættes.

I forbindelse med sikkerhedstests handler det om at knytte de pågældende systemer sammen med sårbarheder og risici for at opdage sikkerhedshullerne, der kan føre til brud. Gennem tests får du viden om risici og hvilke tiltag, der skal foretages for at øge sikkerheden. Dette er en lav pris at betale i forhold til de omkostninger i form af skadet omdømme, mistede forretningshemmeligheder og kundeinformation, der er ved et brud. Derfor er det vigtigt, at man ikke haster løsninger igennem, men lader udviklingen tage den tid, der er brug for.

– Ofte handler det om opgaver, der skal gennemføres inden for en begrænset tidshorisont og på et begrænset budget. Men når du udvikler nye funktioner, opstår der også risici, som du ikke ser. På den måde opbygger vi med tiden et risikolager. Hvis vi tænker risiko ind fra begyndelsen, havner vi ikke der.

Kan du foreslå et nyt, effektivt værktøj, der kan forhindre angreb?

– En interessant teknologi er netværksanomalier, der leder efter afvigelser både i netværkstrafikken og i brugeradfærden. Det gøres ved at skabe digitale illusioner i infrastrukturen. Hermed menes, at du lægger et antal falske filer ud, som sender en alarm, hvis der sker noget uforudset. Den slags teknologi er ikke billig, men den er utrolig effektiv til at opdage angreb.

Guide: Datasikkerhed og datatyveri

Hvor stor er risikoen for at blive ramt af angreb?

– Eftersom informationen inden for den offentlig sektor skal være tilgængelig for mange mennesker, øges risikoen for at blive ramt af angreb, ransomware eller skadelig kode. Den risiko er i dag meget stor, fordi angrebsmetoderne er så indviklede og svære at spore. Derfor skal du ikke tænke, ’hvis’ noget sker, men snarere ’når’ det sker. Og så naturligvis have et beredskab klar.

Anne-Marie Eklund Löwinders råd til øget IT-sikkerhed:

  • Alle vigtige funktioner i samfundet skal have en grundlæggende beskyttelse. Det vil sige, at vi sætter et fast niveau, som vi ikke går under.
  • Hav strenge regler om rettigheder – det betyder, at medarbejdere ikke skal have flere rettigheder end nødvendigt for at kunne udføre deres job. Segmentér netværk – skil dem ad allerede i de forskellige systemers infrastruktur, så der ikke er åben adgang mellem systemerne. Hold efterfølgende øje med, at alt bliver opdateret og sikkerhedskopieret. Hold sikkerhedskopierne adskilt fra netværket.
  • Arbejd systematisk med sikkerhedsrisici og hav koblet en procedure for at rapportere sikkerhedsbrud eller hændelser til din informationshåndtering.
  • Sørg for at have overvågning, så du har styr på, hvad der sker i verden. Vær opdateret. Diskuter aktuelle sikkerhedsspørgsmål i organisationen allerede på et tidligt stadie.
  • Lad ikke omkostningseffektivitet være det overordnede mål. Ellers begår du en fejl. Tag et helikopterperspektiv på sikkerhed og kvalitet allerede på planlægningsstadiet.

Henrik Davidssons tips til at mindske risikoen for IT-angreb:

  • Det er umuligt at beskytte sig helt mod alle tænkelige trusler, men man kan vurdere og håndtere risici. Det er derfor vigtigt at have en handlingsplan for trusselsbilleder og risikohåndtering.
  • Gennemfør tests og sammenlign resultater i form af risici og mulige konsekvenser. Beslut dernæst hvilke tiltag, der skal til for at øge sikkerheden. Begynd med at fikse de mest kritiske og omfattende sikkerhedsrisici.
  • Lad en uvildig ekspert udføre testen. Resultaterne skal kunne sammenlignes med organisationer, der ligner din. Det gør det muligt at danne sig et tydeligt billede af dit eget sikkerhedsniveau.
  • Overvej at arbejde med en underleverandør, som passer til jeres virksomhed. På den måde kan du supplere jeres egne ressourcer med eksterne ressourcer og kompetencer, for det er ofte meget specifikke kompetencer, der kræves.

Download guiden til bedre datasikkerhed.

22 januar 2018

Stort sygehus vælger kompakt ThinkCentre

Masser af medicoteknisk udstyr og få kvadratmeter. Det er udfordringen på mange sygehuse. Også på Aarhus Universitetshospital, hvor man sparer plads på blandt andet operationsstuerne med kompakte og fleksible ThinkCentre-pc’er fra Lenovo.

20 maj 2019

Cyber crime koster mere end naturkatastrofer

Den voldsomt stigende cyberkriminalitet koster mennesker, organisationer og samfundet enorme summer hvert år. Undersøgelser viser, at nordiske virksomheder ofte mangler det grundlæggende forsvar mod angreb.

15 april 2019

Dustin designer IT-infrastruktur til sundhedssektoren

PatientSky er en åben platform, der gør livet lettere for behandlerne og deres kunder, takket være en automatiseret infrastruktur, som garanterer drift- og datasikkerhed.

13 marts 2019

GUIDE: Cloud-tjenester – sådan virker de

At benytte cloud-tjenester er ikke noget nyt. Men det er inden for de seneste år det for alvor har vokset sig stort og er blevet en løsning, som både privatpersoner og virksomheder har stor gavn af.

21 februar 2019

Nem og tryg levering af kvalitets-pc’er fra Lenovo

Dustin leverer kvalitet fra Lenovo gennem SKI-aftalen. Det er enkelt og bekvemt, og du får en leverandør, som vægter ansvarlighed.

18 februar 2019

Digitaliseringsstrategi: 5 tips til succes

Uanset om du vil udvikle applikationer for at skabe højere engagement med kunderne, eller du vil modernisere it-infrastrukturen for at opnå større fleksibilitet, så er der nogle ting, som du bør have i tankerne, hvis du vil have succes med din digitaliseringsstrategi.

8 februar 2019