Hackere bryr seg ikke om compliance

Sikkerhets-compliance, som mange av dere allerede vet, handler om hvorvidt IT-løsningen hos bedriften følger gjeldende lovkrav og regler.

Om løsningene vi bruker er compliant garanterer ikke på en annen side at de er sikre. Hackere leter etter konkrete tekniske sårbarheter de kan utnytte for å få et fotfeste for videre penetrasjon.

Hvordan risikovurderinger kan svikte

Punkt 1 i NSM grunnprinsipper er å «Identifisere og kartlegge», og det er ofte her det svikter. En trussel-aktør leter etter konkrete tekniske sårbarheter som kan utnyttes.

Det betyr at man må starte med å forstå hvilken sårbarhetsflate man faktisk eksponerer mot omverden og egen infrastrukturs egenskaper og svakheter.

Man kan lett se for seg en situasjon hvor styret i en virksomhet ønsker å forstå virksomhetens cyber-risiko.

Man engasjerer kanskje en rådgiver som går gjennom det hele med prosess-briller på, intervjuer IT sjef, driftsleverandører, underleverandører og andre relevante aktører.

Om en slik tilnærming skal lykkes forutsetter man at alle parter har full oversikt, eller synes det er greit å innrømme at de ikke har full kontroll. Vår erfaring tilsier at det er en risikabel og utilstrekkelig tilnærming.

Mange har satt ut driftstjenester og forutsetter at driftsleverandøren har rimelig kontroll. Vår erfaring er at mye blir installert med standard innstillinger som vektlegger brukervennlighet og enkelhet høyere enn sikkerhet.

Det kan være en lurt å verifisere slike leveranser, noe konsulentene våre ofte gjør. Vi anbefaler da at man da bruker verktøy som CIS Controls for å få et objektivt svar. Kvalifisert synsing er ikke nok. Objektive svar gjør det også enklere å prioritere tiltak.

Rekkefølge er viktig

I det daglige handler compliance mest av alt om å etterleve gode, dokumenterte prosesser og ha «ordning och reda». Stikkordene i forrige setning er dokumentasjon og prosesser.

Rammeverk som ISO9001, ISO27001, NIS2 og NSM godkjent hendelseshåndterer handler mest av alt om dokumentasjon og prosesser. Innhenting av et korrekt situasjonsbilde er en forutsetning for å få et godt resultat av slikt arbeid.

Det er kanskje det gamle systemet du hadde glemt å skru av strømmen på som er inngangsporten trusselaktøren trenger. Større og eldre infrastruktur kan være vanskelig å forstå.

Det er ikke hvem som helst som kan innhente informasjon om hvordan ting henger sammen, hvor trafikken går og hvorfor.

Det krever både erfaring, dybdekunnskap og en metodisk tilnærming. Ofte vil man også ha et behov for et samarbeid mellom forskjellige fagdisipliner for å få tilstrekkelige svar.

Compliance- og sikkerhetsarbeid er en kontinuerlig prosess. Selskaper, produkter, tjenester og ikke minst lover og regler er i konstant endring. Når man endelig har oppnådd å bli ISO-sertifisert eller compliant i henhold til GDPR eller NIS2, må dette vedlikeholdes.

For å unngå «bukken og havresekken», blir eksterne revisorer hyret inn for å verifisere at man fortsatt er compliant.

Vi heier på selskaper som setter sikkerhet og compliance på agendaen. Vi heier også på de som bistår selskaper i dette arbeidet, uansett om det er innføring eller revisjon av IT-løsninger. 

Compliance med et MEN – og dette er et stort – men

Trusselaktørene er totalt likegyldige til om du har dokumenterte og oppdaterte prosesser for hendelseshåndtering og er ISO-sertifisert. 

Vi har opplevd at kunder har gjennomført et godt compliance arbeid, hyret inn eksterne revisorer og fått godkjent status.

Likevel har de hatt et teknisk sikkerhetsnivå som lå så lavt at våre konsulenter valgte å trykke på den store røde knappen.

Svikten ligger ofte i at det mangler en god teknisk situasjonsforståelse som compliance arbeidet kan bygge på. Som så ofte ellers i vår verden «Shit in = Shit out»

Sicra er ingen ISO-lead implementerer. Vi overlater innføring og sertifisering til de som kan det. I Sicra fokuserer vi på en praktisk tilnærming til compliance.

Hva betyr hvert krav, i for eksempel NIS2, egentlig? Hva må gjøres i dine systemer og nettverk for at dette skal oppfylles? Hvilke ressurser i ditt selskap må inkluderes i prosessen?

Vi kan ikke understreke viktigheten av å forankre compliance-prosesser i teknisk virkelighet nok.

Det hjelper eksempelvis ikke å ha en prosess for hendelseshåndtering, hvis det ikke er et verktøy som viser hva som faktisk har skjedd i form av logger fra alle systemer.

Sicra kan være en god samtalepartner dersom du lurer på hvordan sikkerhets-compliance «oversettes» til praktiske tiltak, og vi samarbeider med gode prosess-miljøer.

I min neste artikkel "CIS Benchmarks – en praktisk tilnærming til cybersikkerhet" skriver jeg litt mer om hvordan vi benytter CIS Controls og CIS Benchmarks i vårt arbeid.