Skjermbilde 2019-10-31 kl. 12.22.23

Regjeringens strategi for digital sikkerhetskultur

Regjeringen har utviklet en nasjonal strategi for digital sikkerhet. Denne strategien skal møte de utfordringene som følger med et samfunn i rask endring. I tillegg skal den legge til rette for at privatpersoner får nødvendig kunnskap og risikoforståelse for å kunne ta i bruk teknologi på en trygg måte, ifølge Regjeringen.

Regjeringens visjon med denne strategien er at det skal være trygt å bruke digitale tjenester. De ønsker også at både privatpersoner og virksomheter har tillit til den nasjonale sikkerheten, den enkeltes velferd og at demokratiske rettigheter blir ivaretatt. For å oppnå denne visjonen er samarbeid nødt til å styrkes. Dette gjelder det offentlige og private samarbeidet, det sivile og militære samarbeidet og internasjonalt samarbeid.

Anbefalte tiltak

Offentlige myndigheter har kommet med flere råd og anbefalinger de siste årene for å øke virksomheters evne til å beskytte seg. De har nå skrevet 10 anbefalte tiltak som bygger videre på tidligere råd og anbefalinger. Disse skal være et godt utgangspunkt for hva norske virksomheter kan tenke på, uavhengig av størrelse og modenhet.

  1. Digital sikkerhet må være en integrert del av virksomhetens IKT-systemer og tjenester, dette avhenger av gode prosesser for styring og ledelse.
    Omfanget bør tilpasses virksomhetens størrelse og behov. Dette kan enkelt tilrettelegges med få kontroller for en liten virksomhet, og flere kontroller for større virksomheter.

  2. Etabler en prosess for risikostyring som en del av en helhetlig styringsstruktur og kjent i virksomheten.
    Dermed kjenner de ansatte virksomhetens risikostyring, hvordan beslutninger tas og hvilket risikonivå som er akseptabelt. Etabler også prosesser for å evaluere og kvalitetssikre tiltakene.

  3. Kartlegg verdikjeder, informasjonsverdier, utstyr og brukertilganger.
    Dersom man mangler oversikt kan enkelte deler av IKT-systemene være godt sikret, mens andre er sårbare for digitale angrep.

  4. Inkluder digital sikkerhet i virksomhetskulturen
    De ansatte må ha nødvendig informasjon, kunnskap og ferdigheter for at virksomheten skal kunne opprettholde ønsket sikkerhetsnivå.

  5. Sørg for at sikkerheten blir ivaretatt ved kjøp av IKT-tjenester og produkter.
    Det bør stilles krav til produkter og leverandører slik at sikkerheten ivaretas i hele produktets/tjenestens levetid.

  6. Sikker konfigurasjon
    Dette er nødvendig for at de ansatte skal kunne jobbe effektivt og ha tillitt til sine verktøy. Svake ledd i IKT-systemer kan utnyttes av cyberkriminelle.

  7. Kontroll på nettverk og systemkomponenter
    Det er nødvendig å innføre tiltak for å beskytte seg mot skadevare, overvåkning eller lignende. For å sikre at disse er på plass, er det nødvendig å gjennomføre tester og øvelser regelmessig.

  8. E-post og web-sikkerhet
    E-post og Internett er kanaler trusler oftest kommer gjennom. Det er dermed viktig å beskytte disse portalene tilstrekkelig for å ivareta kvalitet og sikkerhet. Virksomheten bør ha kontroll på informasjonsflyten som går til og fra eget nettverk.

  9. Tilgangskontroll
    Tilgang må kontrolleres slik at den ikke blir misbrukt. Dette gjelder for virksomhetens data og tjenester, både ‘på nett’ og fysisk.

  10. Godt hendelsesberedskap
    Det er nødvendig å oppdage hendelser hurtig, kontrollere og fjerne årsaken effektivt, og gjenopprette tilliten til systemer og nettverk. Håndtering og beredskap er en sentral del av virksomhetens helhetlige plan fro virksomhetskontinuitet.

Du kan lese regjeringens fulle rapport, med ytterligere tips, her.

Gratis webinar: Alt handler om risiko - Hvordan overleve et cyberangrep? 

//Roger Ison-Haug