Standarder for IKT-sikkerhet – verktøy eller sovepute?

Publisert: 04.12.2018

Hver eneste dag blir norske virksomheter utsatt for alvorlige cyberangrep. Digitaliseringen skyter fart, trusselbildet forverrer seg og forbrukerne krever sikrere produkter og tjenester. Norske virksomheter må satse på IKT-sikkerhet, men ofte mangler de både kompetanse og systematikk. Kan løsningen være å bruke standarder for IKT-sikkerhet?

Innlegget har tidligere stått på trykk i Finansavisen.

En standard er en felles oppskrift på hvordan noe skal lages eller gjennomføres. Det finnes standarder for alt fra bankkort, vinduer, bananer og mobiler til mindre håndfaste ting som datasikkerhet.

Bruk av en standard med anbefalinger for styring av IKT-sikkerhet, som for eksempel ISO27000-serien gir mange fordeler: Man får forutsigbarhet i arbeidet med IKT-sikkerhet, dokumenterer prosessene sine, introduserer felles terminologi, tvinger fram systematikk i sikkerhetsarbeidet og gir kriteria å vurdere resultatet ut fra.  Standardisering forenkler også integrering av systemer på tvers av landegrenser.

Selv om man har fulgt en standard til punkt og prikke er det imidlertid ikke mulig å konkludere med at IKT-sikkerheten er god nok. Standardisering kan være til god hjelp, men er ikke tilstrekkelig alene. Det er vanskelig å standardisere på detaljnivå og samtidig åpne for innovasjon og tilpasning. De fleste standarder har derfor rom for tolkning og man ender opp med mange valgmuligheter. Standardiserte enkeltkomponenter forteller for eksempel ikke om helheten er riktig skrudd sammen.

Et annet element er at standarder ofte representerer internasjonalt konsensus mellom offentlige og private virksomheter. Det vil gjerne også være elementer av næringspolitikk og nasjonale egeninteresser i de valgene som gjøres. Disse faktorene gir en treghet i utviklingen av standarder som gjør at de ikke nødvendigvis er oppdaterte eller spisset for å møte det gjeldende teknologi- og trusselbildet.

Standarder kan være til god hjelp i IKT-sikkerhetsarbeidet, men arbeidet må adressere det faktiske risikobildet. Standardiseringen kan ikke være en papirøvelse. Virksomheten må eie prosessen, se nytten av arbeidet, gjennomføre situasjonsavhengige risikovurderinger og implementere reelle sikringstiltak. Hvis ikke har standardiseringsarbeidet liten verdi.

Det er viktig at sikkerhetsarbeidet resulterer i etablering av effektive tiltak. Dette er en av grunnene til at NSM har utviklet NSMs «Grunnprinsipper for IKT-sikkerhet». Grunnprinsippene er en erfaringsbasert samling av tiltak som NSM mener har reell effekt ved dagens trusselbilde. Det er allikevel behov for standarder utover dette og det er ikke mulig for Norske myndigheter alene å utvikle standarder for den store variasjonen av produkter som eksisterer i det digitale rom. I Norge som i andre land må markedet i stor grad bidra til å fremme standardutvikling.

NSM anbefaler norske virksomheter å følge standardiserte tilnærminger til IKT-sikkerhetsarbeidet sitt, men standarder må ikke brukes som en sjekkliste hvor antall kryss forteller noe om hvor sikker virksomheten er. Digitalisering og IKT-sikkerhetsarbeidet må på agendaen i styremøter, kompetansen må heves i hele organisasjonen og IKT-miljøet må være automatisert og moderne. Truslene i cyberspace sover aldri - det siste vi trenger er en pute å hvile oss på.

comments powered by Disqus