15. juni 2017

Behov for en nasjonal standard

At Nasjonal sikkerhetsmyndighet (NSM) har opprettet en kvalitetsordning for private leverandører innenfor IT-sikkerhet og håndtering av dataangrep skaper ikke bare en omforent standard til oss som leverandører, men gir økt tillit hos norske virksomheter når de skal kjøpe eksterne sikkerhetstjenester.

Hvert år rammes virksomheter i Norge av dataangrep – alt fra løsepengevirus og økonomisk svindel, til digital spionasje og tap av sensitiv informasjon. NSM har således en stadig viktigere, mer kompleks og ressurskrevende rolle som koordineringsinstans, ekspertorgan og nasjonalt fagmiljø innen IKT-sikkerhet.

I februar 2016 uttalte direktør Kjetil Nilsen i NSM: «(…) når Nasjonal sikkerhetsmyndighet ikke selv har mulighet til å hjelpe private virksomheter godt nok etter et dataangrep, er det naturlig å sørge for en kvalitetsgodkjenning av de som tilbyr slike tjenester». Et halvt år senere var kvalitetsordningen altså opprettet, og norske leverandører kunne godkjennes iht. NSMs standarder. BDO CERT er første, og foreløpig eneste, leverandør av hendelseshåndtering som har gjennomgått kvalitetsordningen og blitt godkjent.

Felles ansvar: Behov for offentlig-privat samarbeid

Det er en kjensgjerning at nasjonens IKT-sikkerhet ikke kan hvile på NSMs skuldre alene. Gjennom kvalitetsordningen bidrar imidlertid NSM med å løfte kvaliteten til tjenestene private aktører tilbyr. Kvalitetsordningen innebærer at leverandører må tilfredsstille gitte krav, blant annet praktisk erfaring, innsikt og etterretningskompetanse, verktøy og prosesser, og operativ kapasitet. Mye av dette er det vanskelig for den enkelte virksomhet å gjøre gode vurderinger av selv, ikke minst hvis man står midt i en IT-sikkerhetshendelse og trenger øyeblikkelig hjelp.

Ikke alle virksomheter vil ha bruk for leverandører med den kompleksitet NSMs standard setter, men det er avgjørende at samfunnet har ressurser til å håndtere det digitale trusselbildet mange norske virksomheter nå står overfor. Vi anser det som naturlig at vi i BDO CERT støtter oppunder NSMs kvalitetsordning. Ordningen setter en standard, stiller krav til aktørene i bransjen, og bygger tillit overfor de som skal kjøpe denne type tjenester.

Digitalisering som risikofaktor

Digitalisering er viktig for å utnytte nye muligheter og kunne levere bedre og mer kundetilpassede løsninger på en kosteffektiv måte. Økt digitalisering medfører samtidig komplekse sikkerhetsutfordringer med potensielt alvorlige konsekvenser.

NSM vurderer at IT-risikobildet er komplekst og avansert, og alle kan være mål for digitale angrep. Kripos melder om at stadig flere norske bedrifter utsettes for datakriminalitet. Virksomheter taper store verdier som følge av datakriminalitet, og oppklaringsprosenten er svært lav. I 2017 har det vært en tydelig økning av digital kriminalitet. En rekke norske virksomheter har vært utsatt for digital spionasje, løsepengevirus, direktørsvindel og andre former for digital kriminalitet. Trusselbildet består av alt fra enkeltpersoner drevet av ønske om økonomisk vinning, til organiserte kriminelle og etterretningsorganisasjoner.

Alle virksomheter har verdier, og svært mange av disse er i dag digitale. Tradisjonelle sikkerhetsmekanismer som antivirus og brannmur er lite effektive mot dagens digitale angrep.
IT-risikobildet er komplekst og i stadig endringer. Virksomheter bør ha sikkerhet på et nivå som er tilpasset deres behov og risikoprofil. Det innebærer imidlertid at de må ha kontroll på hvilke verdier de besitter, en generell forståelse av hvilke trusselaktører som kan tenkes å være ute etter disse verdiene, og oppdatert kunnskap om hvor sårbare de er for angrep fra disse trusselaktørene.

Smarte angripere krever smarte forsvarere. Den beste løsningen innebærer å se helhetlig på sikkerhetsarbeidet, skape full synlighet, god situasjonsforståelse, og legge til rette for etterretningsdrevet nettverksforsvar. Således er NSMs kvalitetsordning helt på sin plass.

DEL DETTE INNLEGGET: