NSM: Grunnprinsipper for IKT-sikkerhet

I. Introduksjon

NSMs grunnprinsipper for IKT-sikkerhet er et sett med prinsipper og tiltak for å beskytte informasjonssystemer mot uautorisert tilgang, skade eller misbruk. De er relevante for alle virksomheter. Digitalisering skaper nye muligheter, men kan også øke risiko Samfunnet er i konstant endring. Flere virksomheter tar i bruk ny teknologi og digitaliserer hele eller deler av prosessene sine. Endringer skjer stadig hurtigere og virksomheters IKT-portefølje består av både nye og gamle systemer som er basert på ulik teknologi og som må fungere sammen. Flere virksomheter tar i tillegg i bruk skytjenester som ofte driftes av flere ulike leverandører. Økende bruk av digitale tjenester kan føre til enklere drift, bedre mobilitet, økt produktivitet og mer automatisert sikkerhet for virksomheter. Digitalisering kan samtidig føre til økende kompleksitet, flere verdier som eksponeres på offentlige, usikrede nett og lange digitale verdikjeder som det er vanskelig å ha oversikt over. Mange virksomheter vet ikke hvor de skal starte Hvordan skal virksomheter sørge for at kunnskap er oppdatert og teknologien relevant når informasjonssystemer utvikler seg hurtig, med tilsynelatende uendelig antall mulige løsninger? Hva er de mest kritiske områdene vi bør adressere, og hvor skal virksomheten starte? Hvordan sikre at vi starter i riktig ende, med de mest grunnleggende stegene, og sørge for at fundamentale prinsipper for å sikre, vedlikeholde, monitorere og forbedre IKT-systemene kommer på plass? Det er ingen mangel på tilgjengelig informasjon om hvordan en virksomhet skal sikre sine informasjonssystemer. Samtidig må den enkelte virksomhet forholde seg til ulike regelverk, bransjenormer og interne og eksterne leveransekrav. All denne informasjonen kan fort bli en jungel av konkurrerende muligheter og krav som distraherer beslutningstakere fra å ta riktige valg. NSMs grunnprinsipper for IKT-sikkerhet vil være en hjelp i digitaliseringen NSMs grunnprinsipper for IKT-sikkerhet er et sett med anbefalinger for hvordan virksomheter kan sikre sine informasjonssystemer. Hvilke anbefalinger som er relevante vil variere fra virksomhet til virksomhet. For store virksomheter vil de fleste tiltakene være relevante, mens mindre virksomheter i større grad må prioritere. Grunnprinsippene kan danne en basis for bransjenormer og kan utdype IKT- anbefalinger i sektorregelverk. De kan benyttes i egen virksomhet og være til hjelp ved kjøp av IKT- tjenester. NSMs grunnprinsipper for IKT-sikkerhet er ment å være levende og tidsaktuelt og vil oppdateres ved behov. NSM takker alle bidragsytere som har hjulpet til med utvikling, innspill og forbedringer av dokumentet. Hvem er målgruppen? Hvilke virksomheter er grunnprinsippene relevante for? NSMs grunnprinsipper for IKT-sikkerhet er utarbeidet i samarbeid med virksomheter som forvalter kritiske samfunnsfunksjoner og/eller kritisk infrastruktur. Dette er også hovedmålgruppen for prinsippene, men de er relevant for alle offentlige og private virksomheter. Dette gjelder både for virksomheter som selv forvalter informasjonssystemer og virksomheter der en eller flere IKT-tjenester forvaltes av en tredjepart. Hvilke roller i virksomheten er grunnprinsippene laget for?

I den enkelte virksomhet er forretnings- og IT-ledelsen ofte bindeleddet mellom toppledelse og

implementasjons- og driftsnivå, som vist i Figur 1. De er hovedmålgruppen for NSMs grunnprinsipper. Det inkluderer systemeiere, sikkerhetsledere og forretnings- og prosesseiere. Under forklares de ulike nivåene og hvordan grunnprinsippene kan bidra til bedret informasjonsflyt om sikkerhetstilstanden i virksomheten. Figur 1 - Informasjonsflyt i en virksomhet Toppledelsen har fokus på organisatorisk risiko. De fastsetter forretningsprioritet, kommuniserer virksomhetens risikotoleranse og tildeler budsjettmidler til forretnings- og IT-ledelse. Det er avgjørende at toppledelsen tar eierskap til og involverer seg i sikkerhetsarbeidet i egen virksomhet. De ulike kategoriene og prinsippene i NSMs grunnprinsipper for IKT-sikkerhet kan benyttes som styringsparameter i dette arbeidet. Forretnings- og IT-ledelsen fastsetter retningslinjer for informasjonssikkerhet og fordeler budsjettmidler basert på ledelsens prioriteringer. Forretnings- og prosesseiere kjenner virksomhetens leveranser best og bør bidra i fastsettelsen av krav og retningslinjer. Hvert prinsipp i grunnprinsippene inneholder tiltak som beskriver hva en virksomhet bør gjøre for å sikre informasjonssystemer og verdier. Forretnings- og IT-ledelsen må samtidig kommunisere et oppdatert status- og risikobilde til toppledelsen og forklare hvorfor tiltakene er nødvendige. Grunnprinsippene vil være til støtte i denne arbeidet fordi det beskrives hvorfor de ulike prinsippene er viktige. Implementasjons- og driftsnivå etablerer og vedlikeholder sikkerhetstiltakene basert på ledelsens retningslinjer og valg. Denne gruppen kan benytte tiltakene i grunnprinsippene for å vurdere hva som kan og bør implementeres. Status og endringer for implementasjonen rapporteres oppover til ledelsen. Hva er NSMs grunnprinsipper for IKT-sikkerhet? NSMs grunnprinsipper for IKT-sikkerhet er en samling med prinsipper og tiltak for å beskytte informasjonssystemer mot uautorisert tilgang, skade eller misbruk. Samlingen er basert på NSMs erfaringer og tilbakemeldinger fra en rekke offentlige og private virksomheter. Ved å implementere de anbefalte tiltakene vil virksomheter etablere et godt forsvar mot cybertrusler, men det er ingen garanti for at de ikke blir rammet. Grunnprinsippene fokuserer på teknologiske og organisatoriske tiltak. Tiltak som dekker fysisk sikkerhet og det menneskelige perspektiv omtales i liten grad. Tiltakene gjelder for både utilsiktede og tilsiktede handlinger, men hovedfokus er på tilsiktede handlinger. Grunnprinsippene erstatter ikke virksomhetens sikkerhetsstyringsarbeid. Viktige suksessfaktorer for å lykkes med implementeringen er involvering fra ledelsen, IKT-sikkerhetskompetanse i virksomheten og etablerte styrings- og rapporteringslinjer, se Figur 1. Valg av sikkerhetstiltak baseres på virksomhetens ordinære risikoarbeid, men grunnprinsippene kan hjelpe til med utvelgelsen. En virksomhet som ikke implementerer et anbefalt sikkerhetstiltak kan ha en økt risiko som må håndteres. Denne risikoen må vurderes opp mot virksomhetens risikotoleranse, i tillegg til krav i lovverk, bransjenormer og avtaler. Dersom risikoen ikke kan aksepteres, må kompenserende tiltak vurderes. Grunnprinsippene er fordelt på fire kategorier

1. Identifisere og kartlegge – opparbeide og forvalte forståelse om virksomheten inkludert

styringsstrukturer, ledelsesprioriteringer, leveranser, IKT-systemer og brukere. Dette er grunnlaget for en effektiv implementering av de øvrige grunnprinsippene. Hensikten er å forstå virksomhetens leveranser og tjenester, få oversikt over hvilke teknologiske ressurser som må sikres og de roller og brukere virksomheten består av. Dette gjør det mulig å fokusere og prioritere sikkerhetstiltakene i tråd med forretningsbehov og strategi for risikostyring. Kategorien fokuserer også på å etablere prosesser for å forvalte kunnskapen over tid.

2. Beskytte og opprettholde – ivareta en forsvarlig sikring av IKT-systemet og opprettholde den sikre

tilstanden over tid og ved endringer. Her finnes prinsippene for å etablere en sikker tilstand for IKT- systemet for å motstå eller begrense skaden fra dataangrep. Det innebærer å sikre hvordan IKT- systemet anskaffes, planlegges, bygges og konfigureres slik at ønsket sikkerhet oppnås.

3. Oppdage – oppdage og fjerne kjente sårbarheter og trusler og etablere sikkerhetsovervåking.

Prinsippene i denne kategorien fokuserer på å oppdage og fjerne kjente sårbarheter og trusler gjennom sårbarhetskartlegging og overvåking av IKT-systemet. Kategorien tar også for seg å oppdage avvik fra ønsket, sikker tilstand, gjennom analyse av data fra sikkerhetsovervåking for å oppdage avvik fra normaltilstand.

4. Håndtere og gjenopprette – håndtere sikkerhetshendelser effektivt. Hensikten med disse

prinsippene er å få på plass aktiviteter for å håndtere hendelser. Dette innebærer å forberede seg på, vurdere, kontrollere og håndtere hendelser, gjenopprette normaltilstand, samt forbedre sikkerheten basert på erfaringer fra hendelseshåndteringen. Figur 2 - Oversikt over NSMs grunnprinsipper for IKT-sikkerhet. Oppbygning av prinsipper Hvert grunnprinsipp er en kontinuerlig aktivitet som pågår i hele informasjonssystemets levetid, fra planlegging og etablering til avhending. Prinsippene har følgende oppbygning: • Grunnprinsippet (overskriften) – et anbefalt prinsipp som virksomheter bør følge. • Mål med prinsippet – beskriver hva man skal oppnå ved å innføre grunnprinsippet. • Hvorfor er dette viktig? – beskriver hvorfor grunnprinsippet er viktig og mulige konsekvenser dersom grunnprinsippet ikke er implementert. • Anbefalte tiltak - beskriver sikkerhetstiltak en virksomhet bør gjøre for å følge grunnprinsippet. • Utdypende informasjon – beskriver «kjekt-å-vite-informasjon» om prinsippet og lenker hvor man kan finne utdypende informasjon. Andre relevante råd og anbefalinger Det finnes en rekke andre relevante styringsrammeverk, tiltaksrammeverk og tekniske veiledere som kan benyttes sammen med NSMs grunnprinsipper. Under hvert grunnprinsipp er det listet opp relevante lenker som kan utdype eller supplere tiltakene. Eksempler på styringsrammeverk og veiledninger er: • NSMs veileder i sikkerhetsstyring – utarbeidet for virksomheter som er omfattet av sikkerhetsloven. • Digitaliseringsdirektoratets internkontrollveileder – utarbeidet for virksomheter innen offentlig sektor. • ISO/IEC 27001 – internasjonal standard som beskriver et ledelsessystemer for informasjonssikkerhet. • ITIL (Information Technology Infrastructure Library) – et rammeverk for kvalitetssikring av leveranse, drift og support innen IT-sektoren. Eksempler på tiltaksrammeverk er: • ISO/IEC 27002 • CIS Critical Security Controls (CIS Controls) • UK NCSC - Cyber Essentials og Cyber Assessment Framework • NIST Cyber Security Framework (NIST CSF) • NIST SP 800-53 - Security and Privacy Controls for Information Systems and Organizations • Australian Government Information Security Manual (ISM). Begreper Følgende begreper er nyttig å kjenne til ved lesing av NSMs grunnprinsipper: • Enhet: For eksempel en klient, en server, en skriver, en sensor (f.eks. IoT-enhet) eller nettverksutstyr. Enheter kan være fysiske gjenstander, eller de kan være virtuelle enheter. Noen underkategorier av enheter benyttet i denne teksten er: - Forvaltede enheter: Enheter som kontrolleres og driftes av virksomheten. Hvis det er en klient så bør ikke brukeren kunne endre sikkerhetskonfigurasjonen. - Ikke-forvaltede enheter: Enheter som ikke er kontrollert av virksomheten. Det kan være private enheter («Bring Your Own Device» - BYOD), IoT-enheter, enheter delt ut av virksomheten, eller enheter til besøkende. Ikke-forvaltede enheter bør kun ha tilgang til en begrenset del av virksomhetens infrastruktur. - Mobile enheter: Alle flyttbare enheter (primært klienter), som benyttes både innenfor og utenfor virksomhetens lokaler. - Klient: En datamaskin som benyttes av sluttbrukere, for eksempel en «PC», «MAC», mobiltelefon, nettbrett eller virtuell klient («Virtual Desktop»). - Server/Tjener: En datamaskin som typisk kjører i et datarom eller datasenter og som kjører applikasjoner eller infrastruktur-tjenester. En server kan være både fysisk og virtuell. De fleste moderne fysiske servere kjører en «hypervisor» som er en plattform for virtuelle servere og/eller «containere». - Virtuelle enheter: Enheter som er virtuelle, og ikke fysiske. Det kan være: virtuelle servere, virtuelle klienter (desktops) og virtuelle nettverkskomponenter (f.eks. virtuelle svitsjer). • Godkjentlisting: Et prinsipp hvor tillatte handlinger eller hendelser spesifiseres. Handlinger/hendelser som ikke er eksplisitt tillatt blir automatisk sperret. Blokkerinslisting vil til forskjell si å liste opp handlinger som ikke er tillatt. Sistnevnte regnes som sikkerhetsmessig mindre effektivt enn godkjentlisting. • IaaS/PaaS/SaaS: Begreper som beskriver forskjellige modeller for virksomhetens egne eller innkjøpte virtualiseringstjenester. De mest vanlige modellene er Infrastructure as a Service (IaaS), Platform as a Service (PaaS) og Software as a Service (SaaS). • IKT-system: Maskinvare, programvare og tilknyttet infrastruktur. • Informasjonssystem: IKT-system, data og tjenestene det tilbyr, bruken av dette, samt menneskers interaksjon med IKT-systemet for å støtte opp under virksomhetsprosesser. • Sikkerhetshendelse: En avvikssituasjon hvor det er et potensiale for tap av konfidensialitet, integritet, og/eller tilgjengelighet for informasjon eller IKT-tjenester. En sikkerhetshendelse kan oppstå som følge av et dataangrep, teknisk svikt, eller utilsiktede feilhandlinger. • Sikker tilstand: Er det virksomhetsbestemte normalnivå for sikkerhet i virksomheten. Kategori 2 - Beskytte og opprettholde beskriver en mulig oppbygging av en sikker tilstand. • Sårbarheter: En sårbarhet i et IKT-system slik det er omtalt i disse grunnprinsippene kan være alt som kan utnyttes av en angriper av organisatoriske og tekniske art. Eksempler på tekniske sårbarheter er manglende oppdeling av nettverket, manglende kontroll på hvilken programvare brukere kan kjøre, mangelfull tilgangsstyring og manglende sikkerhetsoppdatering av enheter. Summen av alle sårbarheter omtales ofte som den mulige angrepsflaten («attack surface»). Menneskelige og fysiske sårbarheter må også vurderes, men omtales i liten grad i grunnprinsipper for IKT-sikkerhet. Bruk av tjenesteutsetting og skytjenester Offentlige og private virksomheter ser på IKT og bruken av IKT som en viktig del av virksomheten og realisering av sin strategi. Samtidig øker kostnader, ressursbruk og den generelle avhengigheten til leveranse av IKT-tjenester. Det er derfor et økende fokus på hvordan IKT-området utvikles og hvordan IKT-tjenestene kan leveres. For mange er konklusjonen å tjenesteutsette hele eller deler av tjenesteporteføljen til en eller flere leverandører. Med tjenesteutsetting menes her at virksomheten velger å anskaffe «varer eller tjenester» fra en ekstern leverandør i stedet for å levere dem selv. Et eksempel på tjenesteutsetting er anskaffelse av skybaserte tjenester. Sikkerhetstiltak er nødvendig, uavhengig av hvem som forvalter tjenestene. NSMs grunnprinsipper for IKT-sikkerhet er like relevante for IKT-tjenester som er tjenesteutsatt som for IKT-tjenester som forvaltes av virksomheten selv. Forskjellen er om man stiller krav til interne eller eksterne tjenesteleverandører. Før det foretas en strategisk beslutning om bruk av tjenesteutsetting, bør virksomheten vurdere om den er «rigget» for å håndtere alle faser i en tjenesteutsettingsprosess. For å ivareta IKT-sikkerheten ved tjenesteutsetting anbefales: 1) Oversikt og kontroll på hele livsløpet 2) God bestillerkompetanse 3) Gode risikovurderinger for å kunne ta riktig beslutning 4) Riktige og gode krav til IKT-tjenesten og til leverandør 5) Riktig beslutning på riktig nivå Det man ikke får gjort i forkant av tjenesteutsettingen kan bli utfordrende å få gjennomført senere i kontraktens varighet. Se prinsipp 2.1 - Ivareta sikkerhet i anskaffelses- og utviklingsprosesser samt NSMs samleside om tjenesteutsetting og sky-tjenester (www.nsm.no/sky).

1. Identifisere og kartlegge

1.1. Kartlegg styringsstrukturer, leveranser og

understøttende systemer Målet med prinsippet: Virksomheten identifiserer strukturer og prosesser for sikkerhets- og risikostyring for å styre arbeidet med sikring av IKT-systemene. Virksomheten kartlegger leveranser, informasjonssystemer og understøttende funksjoner og vurderer dette opp imot fastsatte toleransegrenser for risiko for å etablere og justere sikkerhetstiltak Hvorfor er dette viktig? Manglende styringsstrukturer og prosesser for risikovurdering kan føre til at ledelsen ikke får tilstrekkelig informasjon til å prioritere og styre virksomhetens sikkerhetsarbeid. Virksomhetens informasjonssystemer skal støtte opp under virksomhetens aktiviteter og leveranser slik at disse blir gjennomført i henhold til avtalt kvalitet. Virksomheten må identifisere, prioritere og beskytte sine viktigste leveranser. Ved manglende oversikt kan enkelte, mindre viktige deler av IKT- systemet være godt sikret, mens andre vitale deler er eksponert og sårbart for angrep. Både tilgjengelighet, integritet og konfidensialitet for informasjonssystemer og data må vurderes i virksomhetens sikkerhetsarbeid. Anbefalte tiltak: Kartlegg styringsstrukturer, leveranser og understøttende systemer ID Beskrivelse

2.1.2 Kjøp moderne og oppdatert maskin- og programvare slik at nyere sikkerhetsfunksjonalitet er

fra leverandør b) å kun anskaffe IKT-produkter som inneholder nyere sikkerhetsfunksjonalitet og protokoller og c) at eldre IKT-produkter fases ut. d) Der det er hensiktsmessig bør man be leverandør (som kjenner IKT-produktet best) i) å informere om risikoer og sårbarheter produktet kan utsettes for og ii) spesifisere nærmere hvordan IKT-produktet kan sikkerhetsherdes og beskyttes. 2.1.3 Foretrekk IKT-produkter som er sertifiserte og evaluert av en tiltrodd tredjepart. Et eksempel på et sertifiseringsregime er Common Criteria. Common Criteria er en internasjonal standard for evaluering av sikkerhetsegenskaper i IKT-produkter og systemer.

2.1.5 Benytt en metode for sikker utvikling av programvare for å redusere sårbarhetene i

rammebetingelser, IKT-sikkerhets hensyn og behov for opplæring av personell. b) Analyse av brukerbehov, inkludert IKT-sikkerhetskrav. c) Design av programvare basert på fastsatte krav, d) Utvikling av programvaren, inkludert sikker koding og testing (se 2.1.6 og 2.1.7). e) Implementasjon og idriftsetting av programvaren. f) Sikkerhetsmessig forvaltning av programvaren, bl.a. i) planlegge for gjennomføring og distribusjon av sikkerhetsoppdateringer og ii) planlegge støtte for nyere og mer tidsriktig sikkerhetsfunksjonalitet.

2.1.9 Ta ansvar for virksomhetens sikkerhet også ved tjenesteutsetting

b) ivareta behovet for bestillerkompetanse (f.eks. forvaltning-, administrasjon- og IT- arkitekturkompetanse) gjennom hele livsløpet til tjenesteutsettingen c) gjennomføre gode risikovurderinger som inkluderer IKT og hensyntar hele livsløpet, d) utarbeide et kravdokument for alle faser av tjenesteutsettingen hvor krav kan verifiseres, e) avtaler om tjenesteutsetting av IKT-tjenester og endringer i slike avtaler skal behandles i henhold til virksomhetens fullmaktsstruktur. Se også kapitlet Bruk av tjenesteutsetting og skytjenester og [1]. Det understrekes at virksomhetens ansvar for sikkerheten ikke forsvinner selv om man tjenesteutsetter. Virksomheten har et ansvar uavhengig av hvem som utfører de forskjellige oppgavene.

2.1.10 Undersøk sikkerheten hos tjenesteleverandør ved tjenesteutsetting

2.2. Etabler en sikker IKT-arkitektur

Målet med prinsippet: Virksomheten har etablert en helhetlig sikkerhetsarkitektur som ivaretar ønsket sikkerhetsnivå gjennom gode sikkerhetsfunksjoner og sikkerhetsstrukturer med mulighet for etterprøvbarhet. Hvorfor er dette viktig? En angriper går minste motstands vei for å komme inn i og få kontroll over et informasjonssystem. Dersom man har en dårlig planskisse før bygging, lite kontroll på byggeprosessen og manglende vedlikehold etter at det er bygget, vil det være mange huller og inngangsdører som en angriper kan benytte. Et IKT-system må planlegges og bygges på en sikker måte. Viktige momenter er: • Et IKT-system inneholder mange sikkerhetsfunksjoner (se 2.2.1) og mange forskjellige IKT- produkter, ofte fra forskjellige produsenter. Alle disse må fungerer godt og sikkert sammen, ellers risikerer man dobbeltarbeid og økt fare for menneskelige feil i forbindelse med drift. Dette fører ofte til økt mengde av sårbarheter som en angriper kan utnytte. En klassisk feil er å forvalte egen brukerdatabase i en applikasjon i stedet for å gjenbruke brukerdatabasen som er felles for hele IKT-systemet. Dette kan føre til mange feil og glemte kontoer som kan misbrukes av angripere. • Drift og sikkerhetskonfigurasjon bør skje sentralt og likt per type enhet. Ellers risikerer man dobbeltarbeid, menneskelige feil og flere sårbarheter. • IKT-systemet bør deles opp i forskjellige deler avhengig av tillitsnivå. Slik oppdeling bør etableres for nettverk, samt for logiske deler (f.eks. i en domenearkitektur). Hvis man ikke gjør dette kan konsekvenser i forbindelse med et angrep eller menneskelig driftsfeil omfatte hele virksomheten, i stedet for kun en begrenset del. Anbefalte tiltak: Etabler en sikker IKT-arkitektur ID Beskrivelse

2.2.2 Bygg IKT-systemet med IKT-produkter som fungerer godt sammen sikkerhetsmessig.

b) Produkter bør følge bransjestandarder mest mulig mht. sikkerhetsfunksjoner som tilgangskontroll, logging, drift, kodekontroll, ressursstyring og tilgjengelighetsfunksjoner slik at de fungerer godt med andre sikkerhetsfunksjoner, se 2.2.1. c) Produkter bør (selv om de er fra ulike leverandører) fungere godt sammen sikkerhetsmessig. Spesielt bør IKT-produkter gjenbruke identiteter (til brukere og enheter) hentet fra en felles kilde av virksomhetens identiteter, i stedet for å implementere egne produkt- eller applikasjonsspesifikke identiteter.

2.2.3 Del opp virksomhetens nettverk etter virksomhetens risikoprofil

egne soner for system-administrasjon, applikasjons-servere, virksomhets-driftede klienter, industri-produksjon (f.eks. SCADA og industrielle kontrollsystemer), internett-aksess, trådløse nett, gjeste-klienter og eksternt tilgjengelige tjenester (f.eks. webserver). I datasentre kan servere deles opp i sikkerhetsmessige grupper som data-sone (nytte-trafikk), kontroll-sone (styring av nettverket) og drifts sone (manuell drift). Man kan og vurdere en nettverksarkitektur med enda mer finmasket oppdeling av soner, f.eks. pr. avdeling, eller hver gruppe av enheter. Merk at oppdeling i soner kan skje på flere måter: VLAN-soner, virtualiserte nett, mikrosegmentering, mm. Drift av soner bør skje sentralt, ikke lokalt på hver svitsj. Bruk den valgte soneoppdelingen til å styre dataflyt, se prinsipp 2.5 - Kontroller dataflyt.

2.3.1 Etabler et sentralt styrt regime for sikkerhetsoppdatering

på de ansattes klienter bør prioriteres. Videre bør man oppdatere servere som inneholder standard applikasjoner og operativsystem, programvaren i skrivere, samt enheter som styrer virksomhetens nettverk (svitsjer, rutere). b) Etabler en rutine med klare ansvarsforhold for i) hvor ofte oppdateringer skal utføres (mye bør kunne automatiseres) og ii) ansvarlig rolle for oppfølging hvis en oppdatering ikke kan gjennomføres eller må utsettes. c) Isoler servere og annet som oppleves som vanskelig å holde oppdatert, se 2.5.4. d) Virksomheter bør automatisere og forenkle prosessen for å implementere nye sikkerhetsoppdateringer.

2.3.4 Etabler og vedlikehold standard sikkerhetskonfigurasjoner, dvs. ideelt sett en standard pr. type

nettverksutstyr, applikasjoner og maskinvare. a) All drift av sikkerhetskonfigurasjon bør være sentralisert og standardisert pr. type enhet. b) Konfigurasjonen bør gjennomgås og oppdateres med jevne mellomrom for å motstå nyere sårbarheter og angrepsvektorer. c) Endring av konfigurasjoner bør følge virksomhetens prosess for endringshåndtering og styres av autoriserte ansatte. d) Sikkerhetskonfigurasjon skal kun endres av autorisert driftspersonale, og ikke kunne endres av sluttbrukere på sine klienter.

2.3.10 Reduser risiko ved IoT-enheter.

2.4. Beskytt virksomhetens nettverk

Målet med prinsippet: Virksomheten kontrollerer og beskytter nettverkene sine mot interne og eksterne trusler. Hvorfor er dette viktig? Virksomhetens eget nettverk strekker seg ofte ut over kontorlokalet og gjør det utfordrende å definere den fysiske utbredelsen. En virksomhet kan ha flere geografiske lokasjoner, og tjenester kan være satt ut til leverandører. Skillet mellom innsiden og utsiden av virksomhetens nettverk blir stadig mindre. De ansatte benytter ofte mobile enheter og har behov for å arbeide hjemmefra og på reise. Videre vil mange virksomheter benytte seg av eksterne tjenester som ytterligere kompliserer situasjonen. Tilkobling av virksomhetens nettverk til Internett eller andre nettverk utenfor virksomhetens kontroll eksponerer systemene for nye angrepsflater. Enheter og datatrafikk kan også angripes fra innsiden: en kompromittert server eller klient (både virksomhetsstyrt, innleid eller privat), en utro tjener, en (kompromittert) leverandører med tilgang til nettverket, svakt sikret trådløse nett eller manglende fysisk sikring av porter/kabler. Virksomhetens nettverk bør derfor sikres godt mot både interne og eksterne trusler, og enheter bør ikke ukritisk stole på alt som er tilkoblet eget nettverk. Tilgangen til nettverket bør sikres og dataflyt på nettverket bør beskyttes med kryptering. Anbefalte tiltak: Beskytt virksomhetens nettverk ID Beskrivelse Nettverksikkerhet er viktig både for maskinvarebasert enheter og virtualiserte enheter («sky- basert»).

2.4.4 Aktiver brannmur på alle klienter og servere

2.5. Kontroller dataflyt

Målet med prinsippet: Virksomheten har kontroll på informasjonsflyten mellom ulike deler av systemer slik at enheter kun kan kommunisere sammen etter vedtatte regler. Virksomheten har også kontroll på informasjonsflyten inn og ut av virksomheten. Hvorfor er dette viktig? Et dataangrep starter ofte med overtakelse av en mindre viktig datamaskin. En angriper ønsker normalt å bevege seg videre til en annen del av nettverket for å øke sine rettigheter. Det er viktig med kontrollert dataflyt i virksomhetens systemer av flere grunner, blant annet for å: • hindre at kompromittering av enhet eller sone kan spre seg videre i nettverket. Med god kontroll på dataflyt kan man begrense skaden. • tvinge datatrafikk til å gå igjennom virksomhetens sikkerhetstiltak. • isolere enheter som er spesielt kritiske, sårbare eller eksponerte. Anbefalte tiltak: Kontroller dataflyt ID Beskrivelse Kontrollert dataflyt er viktig uansett hvor fysisk eller virtualisert («sky-basert») infrastruktur man har.

2.6.1 Etabler retningslinjer for tilgangskontroll.

sikkerhetsenheter og databaser. b) Retningslinjene bør følge minste privilegiums prinsipp; ikke gi sluttbrukere, service-kontoer, utviklere eller driftsbrukere flere privilegier enn nødvendig. Alle trenger ikke tilgang til alt. Og hvis man trenger tilgang så holder det ofte med lese-rettigheter, alle trenger ikke rett til å skrive, slette og kjøre. c) Alle kontoer bør kunne spores til en ansvarlig bruker (også upersonlige kontoer uten personnavn). d) Alle kontoer, tilganger og rettigheter bør spores til en ansvarlig rolle og person som godkjente dette. e) Kontoer, tilganger og rettigheter bør revideres jevnlig. Dette er spesielt kritisk mht. kontoer, tilganger og rettigheter for drift og spesialbrukere. f) Gjenbruk identiteter mest mulig på tvers av systemer, delsystemer og applikasjoner (ideelt «Single sign on»). g) Ansvarliggjør brukere mht. at passord er personlige og hemmelige og aldri skal deles med noen, selv ikke med nære kollegaer eller overordnede. Klienter bør i tillegg låses når de forlates av bruker.

2.6.5 Minimer rettigheter på drifts-kontoer.

(selv om det kanskje er samme person som reelt sett utfører oppgavene), slik at kompromittering av en konto ikke gir fulle rettigheter til hele systemet. Dvs. forskjellige drifts-kontoer for backup, brukeradministrasjon, klientdrift, serverdrift, mm. b) Begrens bruken av kontoer med domene- admin rettigheter til kun et minimum av virksomhetens drifts-operasjoner. Spesielt bør kontoer med domene-admin rettigheter aldri benyttes interaktivt på klienter og servere (reduserer konsekvensene av «pass the hash» angrep). c) Unngå bruk av upersonlige kontoer («backup_arne» er bedre enn bare «backup») slik at man har god sporbarhet og lettere kan deaktivere kontoer når noen slutter. Hvis det er vanskelig å unngå å ha en upersonlig konto bør man først logge seg inn med en personlig bruker for å ivareta sporbarhet.

2.8.4 Tillat kun virksomhetsgodkjente programtillegg

2.9. Etabler evne til gjenoppretting av data

Målet med prinsippet: Etabler en metode for sikkerhetskopiering og gjenoppretting av kritiske data for å hindre tap. Hvorfor er dette viktig? Virksomheten bør etablere kapasitet for å gjenopprette tapte eller endrede data og systemkonfigurasjoner. Enkelte dataangrep medfører at kritiske konfigurasjoner, programvare eller informasjon endres eller gjøres utilgjengelig. Dette kan påvirke virksomhetskritiske prosesser. Et eksempel på et slikt angrep er kryptovirus, der både informasjon og det underliggende systemet kan bli kryptert og dermed blir utilgjengelig. Anbefalte tiltak: Etabler evne til gjenoppretting av data ID Beskrivelse

2.10.1 Integrer sikkerhet i virksomhetens prosess for endringshåndtering

etablerte sikkerhetstiltak, f.eks. tiltakene som er beskrevet i alle tabellene i grunnprinsipper for IKT-sikkerhet. b) Krav til testing av endringer før og etter idriftsetting, se prinsipp 2.1 - Ivareta sikkerhet i anskaffelses- og utviklingsprosesser. c) Informasjon til og nødvendig involvering av interesseparter som blir påvirket av endringen. d) Dokumentering av vurderinger, anbefalinger, avgjørelser og gjennomganger/tester med relevans for sikkerhetstilstanden.

3.3.1 Lage en plan for analyse av data fra sikkerhetsovervåkning, herunder:

• Avgjøre om virksomheten selv skal bygge opp analysekompetanse, eller om dette skal kjøpes. • Prioritet, frekvens og ressursbruk på analysearbeidet. • Verktøy, tjenester og mekanismer for søk, prosessering og analyser. • Forvaltning og videreutvikling av fagområdet, inkludert: o signaturbaserte verktøy o normaltilstanden i informasjonssystemet o metodikk og automatisert prosessering av innhentet sikkerhetsrelevant data o re-konfigurering av innhenting av sikkerhetsrelevant data o analyseverktøy, teknologi og algoritmer «anvendt maskinlæring» • Rapportering • Hendelseshåndtering

3.2 - Etabler sikkerhetsovervåkning

Virksomheter bør i tillegg knytte seg til relevant sektor-CERT for analysestøtte og støtte i forbindelse med hendelser. Trusselinformasjon kan innhentes i mange formater, volum og kvalitet. Det kan samles inn fra åpne diskusjonsfora, samarbeidspartnere, abonnement på tjenester eller fra interne kilder. Trussel- informasjon må viderebehandles etter innhenting ved å trekke ut det som er relevant for virksomhetens IKT-systemer. Virksomheter bør også ha evnen til å identifisere ukjente trusler ved å kombinere inngående kjennskap til egne systemer, og sårbarheter, relevant trusselinformasjon og trusselbildet i sektoren. Enkelte angripere vil bruke store ressurser på å unngå å bli oppdaget av standard overvåknings- systemer som anti-virus programvare og signaturbasert IDS («Intrusion Detection Systems»). For å bidra til prosessering av store datamengder og avdekking av uautoriserte hendelser bør virksomheten også vurdere bruk av «anvendt maskinlæring» - implementering av kjente algoritmer som vil bidra til å finne unormaliteter i de sikkerhetsrelevante dataene. For en hurtig og effektiv prosess rundt analyse og varsling basert på de innsamlede dataene, bør virksomheten ha automatiserte analyseverktøy som kontinuerlig kalibreres basert på terskelverdier, kunnskap om «normalnivået» i virksomheten, eller kunnskap om truslene i det digitale rom. «Normalnivået» beskriver hva som er et «rent nettverk» og hvilke innstillinger og dataflyt som er vanlig under daglig drift. Det er vesentlig å oppdage uregelmessigheter og hendelser tidlig for å kunne detektere og håndtere dataangrep (se kategori 4 - Håndtere og gjenopprette). Virksomhetene bør kontinuerlig forbedre sitt kompetansenivå på prosessering av sikkerhetsrelevant data, herunder forståelse av egne systemer, verktøybruk, truslene og utvikling av metoder for å detektere uautoriserte hendelser. Lenker [1] NSM: Samleside mot digital utpressing (løspengeangrep): nsm.no/digitalutpressing [2] NCSC UK: Cyber Assessment Framework - C1 Security monitoring:

3.4. Gjennomfør inntrengingstester

Målet med prinsippet: Virksomheten tester elementer i egne forsvarsmekanismer (teknologi, prosesser og personell) ved å simulere målene og handlingene til en angriper. Hvorfor er dette viktig? IKT-systemer er under konstant endring og utvikling og utfordres jevnlig av angrepsaktører. Virksomheter bør derfor jevnlig teste egen forsvarsevne for å verifisere etablerte sikkerhetstiltak, identifisere mangler og vurdere egen beredskap. Angripere utnytter ofte svakheter i virksomhetens rutiner. Eksempler på svakheter er: • For langt tidsvindu fra annonsering av en sårbarhet og sikkerhetsretting fra leverandør, til faktisk installasjon. • Vide brukertilganger i kombinasjon med svake autentiseringsløsninger (for eksempel bruk av svake passord). • Mangelfull etablering av sikker konfigurasjon av enheter i IKT-systemet. • Manglende evne til å forstå egne verdikjeder og avhengigheter mellom systemer. En inntrengingstest vil gi dypere innsikt, gjennom en faktisk demonstrasjon av hvilken risiko sårbarheter kan utgjøre. Bruk av flere ulike angrepsvektorer og verktøy gir bedret evaluering av sikkerhetsbarrierene og forsvarssystemene i virksomheten. Anbefalte tiltak: Gjennomfør inntrengingstester ID Beskrivelse

3.4.6 Kommuniser resultater fra inntrengingstester til relevante interesseparter.

4. Håndtere og gjenopprette

4.1. Forbered virksomheten på håndtering av

hendelser Målet med prinsippet: Virksomheten har implementert effektive prosesser for hendelseshåndtering slik at hendelser oppdages hurtig, kontrolleres, skaden minimeres og hendelsesårsaken fjernes effektivt. Dette inkluderer gjenopprettelse av integriteten til systemer og nettverk. Hvorfor er dette viktig? Dataangrep har blitt en del av dagliglivet. Selv store, teknisk sofistikerte virksomheter med mange ressurser har utfordringer med å holde følge med frekvensen og kompleksiteten på dataangrep. Spørsmålet er ikke «om» en virksomhet blir offer for et vellykket dataangrep, men «når». Uten en plan og en prosess for hendelseshåndtering vil det være vanskelig for virksomheten å begrense skaden og gjenopprette normaltilstanden. Når hendelsen inntreffer er det for sent å utarbeide gode prosedyrer, rapporteringsrutiner, datainnsamling, ledelsesansvar og kommunikasjonsstrategier. Disse må utarbeides og øves jevnlig for å gjøre virksomheten i stand til å forstå, håndtere og gjenopprette normaltilstanden. Anbefalte tiltak: Forbered virksomheten på håndtering av hendelser ID Beskrivelse

4.1.1 Etabler et planverk for hendelseshåndtering som ivaretar behovet for virksomhetskontinuitet ved

funksjoner, IKT-tjenester og IKT-systemer basert på en analyse av konsekvenser for virksomheten («BIA – Business Impact Analysis»), b) rolle- og ansvarsbeskrivelser for relevant personell, c) krav til opplæring for relevant personell, d) klassifiseringsregime for hendelser og grenseverdier for å aktivere krisestab, e) krav til testing og øving av planverk og personell. f) Revider og oppdater planverket jevnlig, minst en gang i året og i etterkant av øvelser og større hendelser eller angrep.

4.1.6 Test og øv på planer jevnlig slik at disse er godt innøvd.

4.2. Vurder og klassifiser hendelser

Målet med prinsippet: Virksomheten vurderer og klassifiserer hendelser korrekt og hurtig slik at hendelsene blir håndtert effektivt, med riktig prioritet og involverer nødvendige ressurser og personell. Hvorfor er dette viktig? Riktig klassifisering og prioritering av hendelser er viktig slik at virksomheten kan disponere ressurser fornuftig og løse hendelsen innen nødvendig tid. Hvis det tar lang tid fra en hendelse blir oppdaget til den blir varslet, prioritert og håndtert kan skadeomfang, ressursbruk og gjenopprettingstid bli betydelig. Feilaktig klassifisering kan føre til at en virksomhet bruker mye tid og krefter på uvesentlige hendelser mens viktigere hendelser går under radaren. Om ikke riktige beslutningstagere involveres kan hendelsen eskalere og spre seg fordi det ikke settes inn reaktive tiltak hurtig nok. Ved kompleks skadevare vil de færreste klare å se reelt skadeomfang før i etterkant av hendelsen. For mange virksomheter vil det være nødvendig å hente kompetanse utenfor egen virksomhet. Anbefalte tiltak: Vurder og klassifiser hendelser ID Beskrivelse

4.3.2 Undersøk om hendelsen er under kontroll og gjennomfør nødvendige reaktive tiltak

kriseresponsaktiviteter iverksettes ved å eskalere til krisehåndteringsfunksjonen. Eksempler på reaktive tiltak er: • Allokering av internt og eksternt personell for å håndtere hendelsen. • Innkapsling og blokkering av inntrenger for å hindre spredning. • Terminering av truende eller kompromitterende aktiviteter i systemer, for eksempel ved å stenge ned kompromitterte, interne servere som kan benyttes for videre angrep.

4.3.6 Gjennomfør nødvendige aktiviteter i etterkant av hendelsen

4.4. Evaluer og lær av hendelser

Målet med prinsippet: Virksomheten lærer av hendelser og forbedrer sikkerhetstiltak, hendelsesprosesser, opplæring av personell og oppdatering av gjeldende prosedyrer. Hvorfor er dette viktig? Når en hendelse er ferdig håndtert og lukket er det viktig at virksomheten hurtig identifiserer og lærer fra det inntrufne og sørger for at konklusjoner blir gjennomgått og tatt tak i. Dersom dette ikke gjøres vil mye kunnskap og erfaring forsvinne, og man kan gjøre de samme feilene om igjen neste gang en hendelse oppstår. Det kan være at det oppdages nye sårbarheter, eller behov for nye eller forbedrede sikkerhetstiltak som kan forhindre at fremtidige situasjoner oppstår. Anbefalte tiltak: Evaluer og lær av hendelser ID Beskrivelse