27001universitetet.dk - Bloggen
Typiske trusler mod informationssikkerheden | ||
Af Torben Abildgaard Pedersen | 2017-07-18 | |
Hvilke trusler taler vi om? Det er velkendt, at virksomheder og organisationer - såvel offentlige som private - kan stå over for forskellige trusler mod deres informationssystemer (herunder databaser) og netværk. Cyberkriminalitet Det er svært at opliste alle trusler. Hvis vi kunne det, ville vi være foran alle ondsindede grupper, som kunne finde på at bedrive en eller anden form for cyberkriminalitet. Der kan være tale om en bred vifte af kilder, herunder computerassisteret svindel, svig, spionage, sabotage og hærværk, som kan være en enkelt, gal mands eller en bandes værk, eller som undertiden kan indgå i forberedelse eller finansiering af terrorangreb, guerillakrig eller lignende. Naturens lunefuldheder Men der kan også være tale om informationssikkerhedsbrud forårsaget af mere eller mindre tilfældige hændelser, der berører infrastrukturen, fx i form af eksplosioner, brand, storm, oversvømmelse, vandskade ved ledningsbrud, miljøkatastrofe, strømafbrydelse eller lignende. Fantasters idioti Det er desværre også blevet almindeligt forekommende med skader på informationssystemer og netværk forårsaget af ondsindet kode, virusangreb, computer hacking, war-dialing, adgangsnægtelse og spredning af ransomware - undertiden skabt af omsorgssvigtede, sjæleligt forstyrrede eller kriminaliserede fantaster, der på en eller anden måde nyder deres magt over teknikken. Og som inden for al anden kriminalitet bliver hændelserne ofte mere ambitiøse og sofistikerede. Når der er penge på bordet … Inden for sektorer, hvor man arbejder med digitaliseret økonomi, e-handel, er et ISMS afgørende for, at organisationen vil råde over og beherske den nødvendige risikoledelse på området. Sammenkoblingen af offentlige og private netværk og udveksling af informationer herigennem - undertiden med passage af en eller flere firewalls - kan undertiden give ekstra udfordringer med hensyn til forebyggelse af fortrolighed, integritet og tilgængelighed. Uforsigtighed med aktiver Derudover kan brugen af mobile lagringsenheder svække effektiviteten af traditionelle it-kontroller. Der kan være tale om mangelfuld, forkert eller utilstrækkelig brug og beskyttelse af adgangskoder og passwords, bortkomst eller tab af databærende memory sticks, tab eller tyveri af mobile enheder som mobiltelefoner, bærbare pc'er, tablets o.l., utilstrækkeligt beskyttet brug af smart-tv e.l. Når man lukker fremmede ind bag firewallen Principperne for god informationssikkerhed tages heller ikke altid tilstrækkeligt i ed, når man tilrettelægger samarbejde med forretningspartnere via VPN-adgang og/eller tillader brug af gæstenetværk o.l. Det offentlige rum Og når man færdes i det offentlige rum, skal man være påpasselig med iagttagelse af de nødvendige informationssikkerhedsmæssige detaljer - fx ved brug af egne eller fremmede, netværksopkoblede pc'er i offentlige transportmidler, på hoteller, i lufthavne osv. Brugernavn og adgangskode, fysisk adgang til bygninger og distancearbejde Både tekniske, fysiske og administrative forhold omkring adgang til et kontormiljø eller en udviklingsafdeling - herunder risikoen for uautoriseret færden i et bygningskompleks og brugen af distancearbejdspladser kan repræsentere udfordring i forbindelse med risikovurdering og forebyggelse af informationssikkerhedsbrud. Sundheds- og velfærdssektorens forhold I en sundhedsfaglig organisation kan der være andre - og undertiden ret så upåagtede - kilder til mangelfuld informationssikkerhed. Diktat til patientjournal i venteværelser eller på flersengsstuer; udskrevne kopier af patientjournaler eller laboratoriesvar, som ligger på borde i storrumskontorer, på receptionsskranker etc.; CPR-numre, der læses op under uvedkommendes overværelse; journaldokumenter, der overføres via ikke-krypterede mails, og flere andre, tilsvarende hændelser kan vist stadig forekomme, selv om disse forhold har været i ledelsesmæssigt fokus i en del år - bl.a. på grund af Den Danske Kvalitetsmodel (DDKM). Manglende bevidsthed om reglernes vigtighed I sidstnævnte forbindelse er det dog af betydning, at DDKM for sygehuse er afviklet igen, vist nok fordi modellen ikke skabte tilstrækkelig merværdi i forhold til den nødvendige administrations- og vedligeholdelsesindsats. Den DDKM-skabte adfærdsændring er flere steder ved at smuldre. Fx står "glasbure", der blev etableret til diskret interview af bloddonorer i tappeenheder, nu tomme, fordi det er lidt besværligt at bruge dem. Eksemplet tjener også til at vise, at informationssikkerhed har meget med fysiske proces- og logistikforhold samt menneskers adfærd (læs: nonchalance) at gøre. Risikovurdering er svaret på din kortlægningsopgave Men der er mange andre kilder til utilstrækkelig eller forringet informationssikkerhedsledelse. Derfor er DS/EN ISO/IEC 27001:2017 bygget op omkring grundkravet om, at der - som i andre HLS-ledelsesstandarder - skal gennemføres en risikovurdering med identifikation, analyse og vurdering af risici og muligheder, således at der kan ske en ordentlig adressering af de vigtigste risiko- og mulighedsfaktorer med de nødvendige sikkerhedsforanstaltninger og handleplaner. Resultatet af en risikovurdering kan tage sig højst forskelligt ud fra organisation til organisation. Udgangspunktet er fortegnelsen over aktiver I DS/EN ISO/IEC 27001:2017 er der krav om, at der skal gives lidt ekstra næring til risikovurderingsøvelsen ved, at der er krav om, at man skal lave en fortegnelse over aktiver. Mange virksomheder er ikke rigtig klar over, hvilke informationssikkerhedsmæssigt betydende aktiver, de i grunden råder over. Derfor kender de reelt heller ikke deres risikoprofil, og ledelserne ved af samme grund heller ikke nok om, hvor det i grunden kan gå galt henne og i hvilket omfang. Derfor er fortegnelsen et vigtigt udgangspunkt ved den identifikation og analyse af risikofaktorer, som indleder en tilbundsgående risikovurdering. Erklæring om it-kontrollers anvendelighed Tilsvarende må man ansvarligt forholde sig de 14 foreskrevne it-kontroller i 27001-standardens Anneks A. Det sker i den såkaldte Erklæring om it-kontrollers anvendelighed, der også skal være baseret på resultaterne af en forudgående risikovurdering. Er en it-kontrol anvendelig, ja, så skal den anvendes, fordi man netop ikke bør løbe nogen unødvendig risiko. Intet er stærkere end det svageste led i kæden. Modtrækket er et ISMS Den succesfulde etablering, implementering og udnyttelse af et ISMS skal være et passende modtræk til imødegåelse af svag forebyggelse mod trusler og risici. Har du (sat) noget i klemme? Et ISMS skal give virksomheden større sikkerhed for, at dens aktiver (hvis værdi ofte kan gøres op i kroner og ører) er tilstrækkeligt og kontinuerligt beskyttede. Kontinuerligt betyder her altid. Tænk fx på, om det kan forekomme, at nogen med en træklods blokerer en automatisk dør med kodelås og hele pibetøjet, når sommervarmen for alvor sætter ind, eller når man skal hente lånetøj i firmakantinen til en privat konfirmationsfest. En risikovurdering er ikke en engangsforeteelse Som konsulent kan man komme ud for, at kundevirksomheden beder konsulenten om at lave en risikovurdering, fordi ledelsen ikke selv har tid. Og undertiden ser man også risikovurderinger, der ikke bliver holdt vedlige i takt med, at der kommer nyt personale, nye kontorer, nyt udstyr, nye it-løsninger etc. Jeg behøver nok ikke at understrege, at ingen af de to fænomener er anbefalelsesværdige. Der er faktisk noget revisoragtigt over informationssikkerhedssystemet og den risikovurdering, som skal præsteres i den forbindelse. Systemets dokumenter og registre skal stemme med virkeligheden - herunder rammer og vilkår og legale bestemmelser. Det er heller ikke nok, at kassen eller banken stemmer, eller at det dobbelte bogholderi i regnskabsafdelingen stemmer engang imellem. Det skal hele tiden være retvisende. Handleplaner og driftsprocedurer i et ISMS skal naturligvis være tilsvarende vedligeholdte og være et fyldestgørende spejl af, hvad risikovurderingen afdækker. Cykelhjelmen skal passe Det er med et ISMS, som det er med en cykelhjelm, der skal yde beskyttelse af en politisk karriere. Den skal passe i målet, være lavet af et forsvarligt materiale, være justeret og efterset i spænderne, være i god stand, og være spændt ordentligt på. Ellers kan den hurtigt give en falsk tryghed og næsten være værre end ingenting. Slut |
||
|
Modtagne kommentarer....
...