I vårt moderne samfunn er vi alle kjent med, og svært ofte entusiastiske over, de nye mulighetene som skapes gjennom digitalisering.
Harald Næss
Leder for IKT-rådgivning innen cybersikkerhet, NSM
Mange virksomheter tar i bruk ny og avansert teknologi og digitaliserer sine prosesser. Automatisering gjør sitt inntog på mange nye arenaer og vi finner stadig nye, spennende anvendelsesområder. Endringstakten er høy, «time-to-market» er viktig og det forventes at både nye og gamle IT-systemer spiller sammen, på tross av at disse ofte er basert på ulik teknologi og har en ulik grad av modenhet. Verdikjedene blir stadig mere komplekse og i tillegg er mange organisasjoner i ferd med å fornye sine anskaffelsesprosesser og sin tilnærming til IT. Vi opplever et paradigme-skifte hvor stadig flere tar i bruk skytjenester som driftes av eksterne leverandører.
Ansvaret ligger hos virksomheten selv
Digitaliseringen vil garantert resultere i økende kompleksitet, den vil gjøre at stadig flere verdier eksponeres på datanettverk med varierende grad av sikkerhet og vi får lange digitale verdikjeder. Det kan være vanskelig å ha full oversikt over slike kjeder, ofte strekker de seg over landegrenser og har innebygde avhengigheter til en rekke leverandører. Det kan derfor være viktig å minne om at ansvaret for sikkerheten i en virksomhets digitale infrastruktur alltid ligger hos virksomheten selv. Man kan aldri tjenesteutsette dette ansvaret, uansett hva som ellers kjøpes av tjenester. I en situasjon som den vi har beskrevet innledningsvis, er det derfor viktig og helt nødvendig å ha en høy grad av bevissthet og en systematisk tilnærming til IKT-sikkerhet.
I denne sammenheng vil NSMs grunnprinsipper for IKT-sikkerhet være et godt sett av verktøy. Grunnprinsippene, som nylig har kommet i ny versjon 2.0, er en samling prinsipper og tiltak for å beskytte informasjonssystemer mot uautorisert tilgang, skade eller misbruk. NSMs grunnprinsipper er utarbeidet hos Nasjonalt Cybersikkerhetssenter i nært samarbeid med virksomheter som forvalter kritiske samfunnsfunksjoner og kritisk infrastruktur i Norge. Dette er også hovedmålgruppen for prinsippene, men de er aktuelle for alle offentlige og private virksomheter.
Grunnprinsipper for IKT-sikkerhet
Nasjonalt Cybersikkerhetssenter drifter også VDI – Varslingssystem for Digital Infrastruktur, som gir et kontinuerlig oppdatert situasjonsbilde av cybersikkerhet i Norge. Kombinert med lang erfaring fra håndtering av digitale hendelser gir dette god innsikt i hvilke sårbarheter som utnyttes av trusselaktører, enten det dreier seg om kriminelle eller statlig etteretning. I NSMs Grunnprinispper for IKT-sikkerhet har vi samlet en rekke tiltak som vil stanse eller begrense skaden av ulike typer hendelser vi observerer.
Grunnprinsippene er relevante både for virksomheter med egen IT-avdeling som selv utvikler og forvalter sine informasjonssystemer, og for virksomheter hvor hele eller deler av systemporteføljen forvaltes av en tredjepart. Versjon 2.0 av NSMs grunnprinsipper for IKT-sikkerhet er en samling av gode og generelle råd for IKT-sikkerhet. De er gjeldende uavhengig av om virksomheten er underlagt sikkerhetsloven eller ikke, og NSM anbefaler derfor alle å etterleve disse prinsippene i arbeidet med IKT-sikkerhet.
Vi forventer at økende bruk av digitale tjenester vil føre til enklere drift, bedre mobilitet, økt produktivitet og lønnsomhet for mange norske virksomheter. Men – la ikke det skje på bekostning av sikkerheten for virksomhetens verdier, sett inn tilstrekkelig med ressurser og nødvendig kompetanse for å sikre digital suverenitet for din virksomhet. Les mer om grunnprinsippene på nettsidene til Nasjonal sikkerhetsmyndighet.
Tekst: Harald Næss, leder for IKT-rådgivning innen cybersikkerhet/NSM