I Sicra jobber vi med cybersikkerhet – praktisk cybersikkerhet. Vi er opptatt av å levere en målbar forbedring av våre kunders sikkerhet. Til å hjelpe oss med dette velger vi ofte å benytte oss av CIS benchmarks som metode. Det sørger for at vi gjennomfører arbeidet med en objektiv tilnærming.
Vi er mange i Sicra som har hver våre erfaringer og «beste praksiser». Det skal man selvfølgelig ikke kimse av, men ved å bruke samme metode i samspill med våre egne erfaringer og anbefalinger, sørger vi for at forbedringene kan måles og rapporteres på en skikkelig måte.
Hva er CIS Benchmarks?
CIS Benchmarks er en liste over anbefalte sikkerhetskontroller organisasjoner kan innføre for å beskytte seg mot cyberangrep. De måler tilstanden til tjenester (SaaS, PaaS) eller plattformer (Windows, macOS, iOS, Android, Linux etc) på utvalgte deler av IT-løsningen til en organisasjon.
Listene blir utarbeidet uavhengig av leverandører, være seg Microsoft, Apple, Google, Amazon etc. Det vil si at anbefalingene ikke kommer fra leverandørene, men fra uavhengige bransjeeksperter. Det sikrer en objektiv tilnærming til både revisjon og utbedring.
Noen slike benchmarks kan være litt generelle som «CIS Microsoft 365 Foundations Benchmark», «CIS Microsoft Azure Foundations Benchmark» eller «CIS Amazon Web Services Foundations Benchmark».
Andre er mer spesifikke og er rettet direkte mot ulike tjenester eller plattformer. Dette kan være «CIS Azure Kubernetes Service Benchmark», «CIS AWS Database Services Benchmark» eller «CIS Red Hat Enterprise Linux 9 Benchmark».
Listen over alle tilgjengelige benchmarks er for lang til å nevne her. Vi anbefaler å lese mer her eller kontakte oss i Sicra for å se om det du trenger er tilgjengelig.
Sicra har utført sikkerhetsrevisjoner for flere kunder med CIS benchmark som metode, og det vi ofte ser, er et avvik fra anbefalingene på rundt 75-80%.
Hvorfor er det slik?
Bransjen «maser» om at cybersikkerhet må på dagsordenen hos både bedrifter og private, og vi ser at interessen er der. Vi blir kontaktet av kunder som har et aktivt forhold til sikkerhet, og som ønsker at en uavhengig part kikker de litt i kortene for å se om de er på rett spor.
Andre kommer vi i kontakt med fordi de har lest om andre som har blitt utsatt for angrep, og som frykter selv å bli offer.
Veldig mange har adoptert skytjenester som for eksempel Microsoft 365, enten direkte eller gjennom en leverandør. De mottar tjenesten, den løser utfordringen de hadde, eller ga dem ny funksjonalitet som de trengte. Alle er happy! Eller?
Tjenester som Microsoft 365, er laget for at man enkelt skal komme i gang og være produktiv. Brukervennlighet og produktivitet går ikke alltid hånd i hånd med sikkerhet. Slik har det alltid vært, og slik kommer det mest sannsynlig alltid til å være.
For at brukerne skal oppleve verdi i en tjeneste bør den være enkel å ta i bruk og bruke. Dermed kan ikke sikkerheten være strammet til altfor mye. Da må man kanskje ha hjelp til å løsne den opp for at den skal kunne tas i bruk.
Dermed leveres tjenester i dag med innstillinger som ikke gir tilstrekkelig sikkerhet. Da blir det opp til kunden å stramme inn.
Det er her avvikene oppstår. Enten har ikke kunden selv ikke kompetansen til å vite hva dem skal stramme inn på, eller så er dem ikke klar over at tjenesten de bruker er konfigurert på en usikker måte. I verste fall står ikke sikkerhet på agendaen deres.
I selskaper hvor sikkerhet står på agendaen, mangler dem kanskje teknisk forankring mot mer prosessorienterte rammeverk som for eksempel ISO 27001.
Hvilke konsekvenser har dette?
En konsekvens er utilsiktet tap av data eller informasjon på avveie. Skytjenester har gjort det mye enklere å samarbeide med andre. Har du kontroll på all informasjon som er delt, og hva andre kan gjøre med den informasjonen?
Vi mennesker er flinke til å løse problemer. Brukere er ofte flinke til å finne løsninger som nødvendigvis ikke er godkjent av eller tilgjengelig for organisasjonen.
Vet du om data ikke ligger både i Google Disk, Dropbox eller andre steder i tillegg til bedriftens SharePoint eller OneDrive?
Vet du om e-posten du nettopp mottok er trygg og virkelig er fra den avsenderen som den påstår at den er?
Er du selv en leverandør av tjenester? Kan du være med på å spre phishing eller ondsinnet kode til kundene dine?
I verste fall er konsekvensen at du eller bedriften din bli offer for cyberangrep. Effekten av dette vil være godt kjent for de fleste gjennom nyhetene.
Hva anbefaler Sicra?
Som et resultat av å ha utført noen av disse revisjonene har vi sett at mange tjenester fortsatt er satt opp som standardløsninger. Fokuset har vært å få ting til å fungere, men hvor sikkerheten ofte er en ettertanke, og i verste fall etter et angrep.
Sicra er ikke ute etter å gjennomføre en revisjon bare for å peke på det som er feil. Vi ønsker at flere skal få et aktivt forhold til cybersikkerhet, og øke kompetansen og bevisstheten om at tjenestene du kjøper ikke nødvendigvis er sikre «ut av boksen».
Bildet nedenfor viser et lite utdrag fra en rapport som leveres ut ifra en slik revisjon. Den vil fremheve de kontroller som ifølge revisjonen ikke samsvarer med god praksis og anbefales endret. Med de samme kontrollene finnes det dokumentasjon på hvordan dette endres for å tilfredsstille kravene.
Det er viktig å understreke at revisorer (Sicra) ikke endrer underveis når eller dersom feil eller mangler dukker opp. Dette gjøres kun etter avtale med kunde og etter at revisjonen er ferdig.
Hvordan gjør CIS Benchmarks en forskjell?
Med relativt enkle grep kan du begynne å få kontroll på systemene dine. Et praktisk mål for cybersikkerhet er alltid å forsøke å være litt bedre enn gjennomsnittet, slik at kost/nytte betraktningen for angriper ikke gir mening.
Det finnes selvfølgelig scenarioer hvor tjenester er konfigurert på en spesifikk måte, som kanskje ikke er den sikreste, men som må være slik for at tjenesten skal fungere som ønsket.
Integrasjoner kan også være slik at det ikke kan settes opp på en annen måte. I begge tilfeller er det viktig å dokumentere avviket fra anbefalingene og forstå den aksepterte risikoen.
Har du cybersikkerhet på agendaen og er kanskje til og med ISO 27001-sertifisert, vil vi stille deg dette spørsmålet: Har dere forankret det i en teknisk og praktisk tilnærming til cybersikkerhet?
Det finnes dokumenter som beskriver koblingene mellom CIS og f.eks ISO 27001. Dette gjør at man kan sy praktisk- og prosessorienterte rammeverk sammen.
Til sist anbefaler vi at du får en uavhengig gjennomgang, eller revisjon, av tjenestene og IT-miljøet ditt. Kanskje det er noe du har oversett?