NCC Group opfordrer virksomheder til at fokusere på processer, mennesker og teknologi i det stadigt mere komplekse system, der omgiver cybersikkerhed. Samtidig bør bestyrelserne involvere sig i en strategi for sikkerhed med vægt på den menneskelige faktor.
Der er noget befriende over, at en tech-virksomhed taler om teknologiens og teknikkens begrænsninger, og sætter spotlight på den menneskelige dimension. Det gør IT-sikkerhedsfirmaet NCC Group.
”I de sidste 20 år har vi arbejdet meget med teknologi til beskyttelse. Nu handler det mere om at få mennesker og systemer til at arbejde sammen, siger Gaffri Johnson, managing security consultant, risk management team, ved NCC Groups danske kontor.
”Et er teknologi og sikring. Og i Danmark har vi investeret rigtig meget i ny teknologi de senere år. Noget andet er, hvordan man kommer derhen med mennesker og processer, der understøtter både beskyttelse, overvågning og reaktionsmuligheder, når der sker noget. Vi er nødt til at forstå, at maskiner, teknologi, mennesker, processer og relationer interagerer i et stadigt mere komplekst samspil,” siger Gaffri Johnson.
Vi er inde på nogle større spørgsmål, som kalder på involvering fra organisationens eller virksomhedens øverste ledelse, i direktion og bestyrelser.
”Derfor hjælper NCC Group bestyrelser med indsigt i området, f.eks. i form af bestyrelsesuddannelser i cybersikkerhed,” fortæller Kim Høse, der er regional sales manager ved NCC Group.
Afstanden mellem hånden og tastaturet
Et af budskaberne til bestyrelserne er, at teknologi ikke er en silver bullet. Teknologi og adfærd spiller sammen eller sagt på en anden måde – afstanden mellem hånden og tastaturet.
”Det handler om at få sat sikkerhed på dagsordenen, fordi et cyberangreb i vore dage kan have så vitale konsekvenser. Det er noget helt andet end det banale virusangreb for 20 år siden. Truslerne i dag er langt, langt større og farligere og mere komplekse i deres natur, også fordi systemerne er knobskudt, og spiller sammen på tværs af generationer med bl.a. legacy-systemer,” forklarer Kim Høse.
Generelt har virksomhederne – forståeligt nok – haft megen fokus på præventive tiltag såsom interne politikker, sikkerhedsløsninger og andre tekniske tiltag, der i høj grad kan automatiseres.
”Der har måske været for lidt fokus på de reaktive tiltag såsom incident response og beredskabsarbejde, der i mindre grad kan automatiseres – og er afhængige af mennesker og adfærd,” påpeger Kim Høse.
Awareness-træning er mere end ikke at klikke på et link
Det er vigtigt at forstå, hvad der kan gå galt – inden det går galt. NCC Group kalder det konsekvensanalyser. Det er også vigtigt at forstå, hvad der driver de cyberkriminelle, og virksomhederne bør løbende rydde op i deres digitale fodaftryk. Der er nemlig masser af automatiserede services, der opsamler sådanne data, og som potentielt kan vendes mod virksomheden, da de giver indblik i sikkerhedshuller og potentielle veje ind i virksomheden. Og her kommer vi til betydningen af den menneskelige faktor og betydningen af processer.
”Awareness-træning af de ansatte i cybersikkerhed er mere end bare undervisning i ikke at klikke på et link i en ondartet mail, selvom det selvfølgelig også er vigtigt.
Awareness-træningen skal tilpasses den givne afdeling og måske helt ned på medarbejderniveau. Nøglepersoner, og deres kompetencer og beføjelser skal kortlægges, og målet for undervisning bør både være et vidensløft, men frem for alt opmærksomhed om adfærd,” siger Gaffri Johnson. Dertil kommer mere målrettet træning i adfærd i tilfælde af et cyberangreb.
”Sammen med virksomhedens ledelse kan vi simulere et cyberangreb. Vi kan agere som hacker for at afsøge sårbarheder i virksomheden. Hvis eller når vi ”bryder ind” vil vi observere, hvordan de ansvarlige i virksomheden griber til brandslukningsudstyret. Vi vil også kigge på actioncards og kommandoveje, dels for at overvære om de bliver overholdt, dels for at få indsigt i forbedringspotentialet,” siger siger Gaffri Johnson.
Det er et vigtigt budskab fra NCC Group, at tekniske løsninger aldrig kan helgardere et firma mod at blive hacket, hvis en medarbejder ikke ved bedre eller bevidst foretager ondsindede handlinger. I den forbindelse er det værd at notere sig, at ransomwaregrupper bliver mere og mere offensive og lokker i stigende omfang medarbejdere med penge for at åbne døren til virksomheden.
Forskel på kritisk infrastruktur og virksomheder
Når vi kigger på de udfordringer, som virksomhederne står over for, så forekommer risiko og trusler ofte ens, men de er alligevel ret forskellige afhængig af virksomhedernes virke. Ifølge NCC Group er det vigtigt at skelne mellem kritisk infrastruktur i offentligt regi på den ene side og virksomheder, der er afhængige af industrielle systemer, såsom produktionsvirksomheder, medico og f.eks. underleverandører til energisektoren, på den anden side.
De kan have samme udfordringer, men trusselsbilledet og de potentielle konsekvenser ved en hændelse er forskellige. Den kritiske infrastruktur vil ofte påkalde sig interesse fra en anden type hackere, der ikke nødvendigvis er drevet af økonomiske motiver, og hvor nye mål dukker op i horisonten, f.eks. anlæg af central betydning i Grønland eller Norge i takt med de øgede geo-politiske spændinger i relation til Arktis.
Interessen for virksomhederne er typisk drevet af de cyberkriminelle, og virksomhederne vil ofte have vanskeligheder med at få et opdateret overblik over deres informationsaktiver. Det kan besværliggøre proaktiv sikkerhed, men også gøre reaktiv sikkerhed vanskelig. I virksomhederne bruger man ofte gamle legacy-systemer, og der er et udbredt ønske om at modernisere og eksempelvis anvende cloud, og øge muligheden for direkte fjernadgang til produktionssystemerne. Det sidste øger risikoen for digitale indbrud.
”Da der ikke er mulighed for i stor stil at udskifte gamle legacy-systemer, opdatere eller sikkerhedsteste dem, bør fokus flyttes til dyb og effektiv overvågning af netværksaktivitet, mistænksom system- og brugeraktivitet i systemerne, men virksomhederne bør også blive bedre til at anvende ekstern hjælp til at få indsigt i trusselsbilledet, og til at dele sikkerhedshændelser og nye trusler med hinanden,” siger Gaffri Johnson.
I de sidste 20 år har vi arbejdet meget med teknologi til beskyttelse. Nu handler det mere om at få mennesker og systemer til at arbejde sammen
Gaffri Johnson, managing security consultant, risk management team, NCC Group
Ikke så meget videndeling mellem virksomheder
Det er en af de store forskelle mellem kritisk infrastruktur og virksomheder: I det offentlige regi med kritisk infrastruktur arbejder man en del på at dele viden, men på den private side er videndelingen ret fraværende. Globalt betjener NCC Group kunder både indenfor kritisk infrastruktur og virksomheder, og selskabet deltager i branchefællesskaber, hvor cybersikkerhedsfirmaer så vidt muligt deler information med hinanden.
”Det er vigtigt med disse tværgående samarbejder, og selvom man kan have forståelse for, at alle ikke kan lukke helt op for posen, så er det meget nyttigt, at vi deler information om sikkerhedshændelser,” understeger Gaffri Johnson.
Stil krav til underleverandøren
I takt med at underleverandørerne bliver mere og mere integrerede med den kunde, de leverer til, aktualiserer det behovet for at fokusere på cybersikkerhedsrelationer til netop underleverandører. På det seneste har der været flere eksempler på, at de cyberkriminelle får adgang til angrebsmålet via en underleverandør.
”Virksomhederne har behov for at give deres underleverandører et kritisk eftersyn. På samme måde som leverandøren skal leve op til aftalte standarder for et givent produkt, så bør leverandøren også efterleve en række krav til cybersikkerhed, både hvad angår systemer og sikkerhed,” siger Gaffri Johnson.
