Datasikkerhet

«Slik blir du motstandsdyktig mot digitale angrep»

Leser man om digitale angrep kan en få inntrykk av at de er umulig å stå imot. Det er feil.

Karsten Duus Wetteland er leder for informasjonssikkerhet i Eviny.

Eiere, ledere og sikkerhetspersonell i bedrifter med en avhengighet av teknologi kan bli motstandsdyktige ved å fokusere på tre viktige kapasiteter i sikkerhetsprogrammet sitt:

  1. Å håndtere risikoen man avdekker selv.

  2. Håndtere risikoen avdekket etter inspirasjon fra eksperter.

  3. Håndtere risikoen man ikke ser.

(Mer om disse litt senere).

Hvorfor skjer angrepene?

Det er flere grunner.

En grunn er at vi har omtrent fire milliarder mennesker på internett. Hver av de kan påvirke teknologien bedriften din er avhengig av. Hadde du hatt samme antall mennesker utenfor døren din, hadde svært mye fascinerende hærverk blitt utført.

I dette landskapet må vi rett og slett forvente at de mest ekstreme og kreative hendelsene til slutt vil oppstå.

For det andre plasseres flere av bedriftens verdier på nettet. Forretningsprosessene våre blir mer og mer avhengig av teknologi, og da blir det enda mer attraktivt for de fire milliardene å være tilstede og gripe de mulighetene som byr seg.

Så hva gjør man når landskapet er komplekst og truslene kan dukke opp overalt? Man skaper et helhetlig sikkerhetsregime. Et regime med flere lag av forsvar. Og prosesser som overlapper, i tilfelle du overså noe første gangen.

Et regime hvor følgende evner står sentralt:

  1. Håndtere risikoen du avdekker selv. God risikostyring tilpasset forretningen din sikrer at kjente risikoer kommer frem i lyset og kan reduseres. Dette er de problemene systemeieren eller produkteieren kjenner til, som bør sammenstilles og vurderes på en måte som passer dere.

  2. Håndtere risikoen avdekket etter inspirasjon fra eksperter. Det er begrenset hvor mye risiko man klarer å avdekke selv. Neste steg er å utnytte rammeverk (som Nasjonal Sikkerhetsmyndighets grunnprinsipper for IKT-sikkerhet) hvor eksperter har samlet hundrevis av strukturerte tips til hvordan du bruker teknologi på en trygg måte. Avvik mellom disse rådene og din egen bruk av teknologi blir da aktuell risiko du bør ta med deg og forankre hos relevant ledelse. Sikre også at styret også får innblikk i avvikene slik at de kan reagere om de ikke er enig i ledelsens risikoapetitt.

  3. Håndtere risikoen du ikke ser. Du finner ikke all relevant risiko selv. For den viktigste teknologien din bør du leie inn hackere for å angripe deg. På denne måten avdekker du risikoen du har oversett selv.

I det som kanskje er det mest komplekse landskapet menneskeheten har skapt er det på tide å slutte å bli overrasket over at sårbarheter utnyttes.

Vi må også vekk fra den lammende oppfattelsen av at vi drives fra skanse til skanse av truslene, uten evne til å beskytte oss.

Verktøyene har aldri vært så gode som nå, det som kreves er fokus og gjennomføringsevne.