• Karriere
  • Om oss
  • Folk
Norsk
Kontakt oss
  1. Kunnskap
  2. Innsikter
  3. Blogg
Blogg
21.03.2024
min tid å lese

Hackere bryr seg ikke om compliance

Compliance er en viktig og stadig mer omtalt problemstilling. Dessverre hender det at vi observerer en vesentlig svikt i slikt arbeid som kan gi falsk trygghet og dårlig situasjonsforståelse.
<span id="hs_cos_wrapper_name" class="hs_cos_wrapper hs_cos_wrapper_meta_field hs_cos_wrapper_type_text" style="" data-hs-cos-general-type="meta_field" data-hs-cos-type="text" >Hackere bryr seg ikke om compliance</span>
Sicra_Portrait_Crop_1200x1500px_9585
Owe Imerslund-KvislerSystemarkitekt
Owe er opptatt av at sikkerheten i ditt Microsoft 365-miljø skal være basert på beste praksis. Ikke kun det som er compliant.

Sikkerhets-compliance, som mange av dere allerede vet, handler om hvorvidt IT-løsningen hos bedriften følger gjeldende lovkrav og regler.

Om løsningene vi bruker er compliant garanterer ikke på en annen side at de er sikre. Hackere leter etter konkrete tekniske sårbarheter de kan utnytte for å få et fotfeste for videre penetrasjon.

Hvordan risikovurderinger kan svikte

Punkt 1 i NSM grunnprinsipper er å «Identifisere og kartlegge», og det er ofte her det svikter. En trussel-aktør leter etter konkrete tekniske sårbarheter som kan utnyttes.

Det betyr at man må starte med å forstå hvilken sårbarhetsflate man faktisk eksponerer mot omverden og egen infrastrukturs egenskaper og svakheter.

Man kan lett se for seg en situasjon hvor styret i en virksomhet ønsker å forstå virksomhetens cyber-risiko.

Man engasjerer kanskje en rådgiver som går gjennom det hele med prosess-briller på, intervjuer IT sjef, driftsleverandører, underleverandører og andre relevante aktører.

Om en slik tilnærming skal lykkes forutsetter man at alle parter har full oversikt, eller synes det er greit å innrømme at de ikke har full kontroll. Vår erfaring tilsier at det er en risikabel og utilstrekkelig tilnærming.

Mange har satt ut driftstjenester og forutsetter at driftsleverandøren har rimelig kontroll. Vår erfaring er at mye blir installert med standard innstillinger som vektlegger brukervennlighet og enkelhet høyere enn sikkerhet.

Det kan være en lurt å verifisere slike leveranser, noe konsulentene våre ofte gjør. Vi anbefaler da at man da bruker verktøy som CIS Controls for å få et objektivt svar. Kvalifisert synsing er ikke nok. Objektive svar gjør det også enklere å prioritere tiltak.

Rekkefølge er viktig

I det daglige handler compliance mest av alt om å etterleve gode, dokumenterte prosesser og ha «ordning och reda». Stikkordene i forrige setning er dokumentasjon og prosesser.

Rammeverk som ISO9001, ISO27001, NIS2 og NSM godkjent hendelseshåndterer handler mest av alt om dokumentasjon og prosesser. Innhenting av et korrekt situasjonsbilde er en forutsetning for å få et godt resultat av slikt arbeid.

Det er kanskje det gamle systemet du hadde glemt å skru av strømmen på som er inngangsporten trusselaktøren trenger. Større og eldre infrastruktur kan være vanskelig å forstå.

Det er ikke hvem som helst som kan innhente informasjon om hvordan ting henger sammen, hvor trafikken går og hvorfor.

Det krever både erfaring, dybdekunnskap og en metodisk tilnærming. Ofte vil man også ha et behov for et samarbeid mellom forskjellige fagdisipliner for å få tilstrekkelige svar.

BloggGrafikk-Sicra

Compliance- og sikkerhetsarbeid er en kontinuerlig prosess. Selskaper, produkter, tjenester og ikke minst lover og regler er i konstant endring. Når man endelig har oppnådd å bli ISO-sertifisert eller compliant i henhold til GDPR eller NIS2, må dette vedlikeholdes.

For å unngå «bukken og havresekken», blir eksterne revisorer hyret inn for å verifisere at man fortsatt er compliant.

Vi heier på selskaper som setter sikkerhet og compliance på agendaen. Vi heier også på de som bistår selskaper i dette arbeidet, uansett om det er innføring eller revisjon av IT-løsninger. 

Compliance med et MEN – og dette er et stort – men

Trusselaktørene er totalt likegyldige til om du har dokumenterte og oppdaterte prosesser for hendelseshåndtering og er ISO-sertifisert. 

Vi har opplevd at kunder har gjennomført et godt compliance arbeid, hyret inn eksterne revisorer og fått godkjent status.

Likevel har de hatt et teknisk sikkerhetsnivå som lå så lavt at våre konsulenter valgte å trykke på den store røde knappen.

Svikten ligger ofte i at det mangler en god teknisk situasjonsforståelse som compliance arbeidet kan bygge på. Som så ofte ellers i vår verden «Shit in = Shit out»

Sicra er ingen ISO-lead implementerer. Vi overlater innføring og sertifisering til de som kan det. I Sicra fokuserer vi på en praktisk tilnærming til compliance.

Hva betyr hvert krav, i for eksempel NIS2, egentlig? Hva må gjøres i dine systemer og nettverk for at dette skal oppfylles? Hvilke ressurser i ditt selskap må inkluderes i prosessen?

Vi kan ikke understreke viktigheten av å forankre compliance-prosesser i teknisk virkelighet nok.

Det hjelper eksempelvis ikke å ha en prosess for hendelseshåndtering, hvis det ikke er et verktøy som viser hva som faktisk har skjedd i form av logger fra alle systemer.

Sicra kan være en god samtalepartner dersom du lurer på hvordan sikkerhets-compliance «oversettes» til praktiske tiltak, og vi samarbeider med gode prosess-miljøer.

I min neste artikkel "CIS Benchmarks – en praktisk tilnærming til cybersikkerhet" skriver jeg litt mer om hvordan vi benytter CIS Controls og CIS Benchmarks i vårt arbeid.

Les mer

SOC-as-a-Service: Dilemma
Blogg

SOC-as-a-Service: Dilemma

Lær mer om SOC-tjenesters skjulte kostnader.
85% av CEO-er: Cybersikkerhet nøkkelen til vekst i 2025, men hvor skal man starte?
Blogg

85% av CEO-er: Cybersikkerhet nøkkelen til vekst i 2025, men hvor skal man starte?

Fagblogg
Cybersikkerhet
85 % av CEO-er sier cybersikkerhet er kritisk for vekst. Les hvor du bør starte – og hvordan Sicra kan hjelpe.
Hvorfor moderne SOC er viktig for NSM, GDPR og ny digital sikkerhetslov
Blogg

Hvorfor moderne SOC er viktig for NSM, GDPR og ny digital sikkerhetslov

Fagblogg
Cybersikkerhet
Finn ut hvorfor et moderne SOC er avgjørende for NSM, GDPR og ny sikkerhetslov.
NTLM svakheter og responsmuligheter
Blogg

NTLM svakheter og responsmuligheter

Fagblogg
Cybersecurity
NTLM svakheter kan utnyttes eksternt og krever lite brukerinteraksjon.

Skreddersydd cybersikkerhet for virksomheter og institusjoner – så dere kan vokse, innovere og jobbe uten bekymringer.

Ta kontaktRing oss +47 648 08 488
Hold deg oppdatert
Motta siste nytt fra Sicra

Linker
BærekraftFAQPartnereSertifiseringerKarrierePresse
Kontakt

Tel: +47 648 08 488
E-post: firmapost@sicra.no

Rosenholmveien 25, 1414
Trollåsen. Norge

Følg oss på LinkedIn
Sertifiseringer
iso27001-white
ISO 27001
miljofyrtarnlogo-hvit-rgb
Miljøfyrtårn
Sicra © 2025
Personvern