Hva innebærer digital sikkerhet?
Når du tenker på cyberangrep, tenker du kanskje på angrep som rammer store organisasjoner og virksomheter, fra Stortinget til Hydro. Som ansatt i en bedrift, liten eller stor, er det også viktig å være bevisst på personvern og datasikkerhet – som henger tett sammen.
Du må nemlig ikke tro at du som privatperson ikke er attraktiv for cyberkriminelle. Utviklingen de siste årene viser at ID-tyveri, digital svindel og andre typer for sikkerhetsbrudd i stadig økende grad rammer privatpersoner.
Personvern har vi allerede hørt mye om. Det kan defineres som «retten til et privatliv og retten til å bestemme over egne personopplysninger», ifølge Datatilsynet. Det å sikre privatliv når vi har data i ulike databaser, for eksempel for offentlige tjenester, handler jo blant annet om at data må sikres – at de ikke skal kunne komme på avveie eller at uvedkommende har tilgang på dem.
Her er det altså mye å tenke på, så la oss ta et skritt tilbake. Vi kan begynne med noen begrepsavklaringer, nemlig å skille begrepene cybersikkerhet, informasjonssikkerhet og IKT-sikkerhet. Alle disse er knyttet til data, og derfor til datasikkerhet. Begrepene har en del overlapp, men også flere ulikheter.
Cybersikkerhet, informasjonssikkerhet og IKT-sikkerhet
Hva er forskjellen?
Innsikt
Ny teknologi, nye sårbarheter
Mer og mer informasjon blir lagret på internett, i nettskyen. Det gjelder både organisasjoner og privatpersoner sine data. Dette er noe som igjen gir et endret digitalt trusselbilde.
Nettverksteknologier som 5G og Narrowband IoT (NB-IoT) har også gjort det enda enklere enn før å koble sammen alle tenkelige enheter over nettet, alt fra smartklokker til sensorer som kobles på strømmaster eller settes ute i en åker. Ikke minst vil smarte byer – som på et vis kan tenkes på som byer med digitale tvillinger – i økende grad bli en realitet. «Alt» i bybildet blir påkoblet og store mengder data blir utvekslet og analysert. Alle disse tingene gjør oss også sårbare på nye måter, der for eksempel anonyme aktører kan utøve skade mot kritisk infrastruktur, både hos stat og virksomheter.
Enda et moment her er det at digitaliseringen – av årsaker som vi snakket mye om i første kapittel – har gjort oss stadig mer avhengig av kommersielle aktører, som da får økt innflytelse i stort og smått.
Dette er ting som bør tas, og blir tatt, på alvor – alt dette inngår i PSTs nasjonale sikkerhetsvurderinger.
Sikkerhet i organisasjoner
Når det gjelder sikkerhet i organisasjoner har ansvaret tradisjonelt vært hos IT-avdelingen. Men når det oppstår skade som følge av sikkerhetshendelser, ligger det juridiske ansvaret hos ledelsen, og eventuelt styret i et aksjeselskap.
Med sikkerhetshendelse mener vi da et sikkerhetsrelatert avvik, som kan oppstå grunnet dataangrep eller grunnet teknisk feil eller feil bruk av et system.
For ledelsen handler det om å vurdere trusselbildet og risikoen for å bli rammet, samt å estimere kostnaden som kan følge av et sikkerhetsbrudd. For IT-avdelingen handler det om å gjøre tekniske tiltak for å forsøke å forhindre sikkerhetshendelser. Gjennom sikkerhetstiltak skal organisasjoner sørge for kontinuitet og forsøke å minimere skaden som potensielt følger av sikkerhetshendelser.
Det er kanskje fælt å si, men det svakeste leddet i sikkerheten til mange virksomheter er deres egne ansatte. Det er derfor veldig viktig å jobbe med de ansattes bevissthet og kompetanse. For å si det enkelt: Det er veldig mye vanskeligere å hacke seg inn i et godt sikret datasystem, enn å få noen til å gi deg nøkkelen (påloggingsinformasjon). Og metodene for å svindle til seg slik informasjon er med årene blitt svært sofistikerte og effektive.
Informasjonssikkerhet
Vi husker fra tidligere at informasjonssikkerhet handler om beskyttelse av informasjon og dermed også av elementer som er essensielle for lagring, prosessering, presentasjon og overføring av informasjon.
Det er viktig for en organisasjon å ivareta og sikre konfidensialitet, integritet og tilgjengelighet for dataene sine. Samlet er disse sikkerhetstemaene kjent som KIT-triaden (engelsk: CIA triad).
- Konfidensialitet vil si å holde data utilgjengelig for uvedkommende. Dette kan gjelde både data som er lagret på en datamaskin (for eksempel i en database) og data som er under overføring (for eksempel via internett). Kryptering er et tiltak for å sikre konfidensialitet.
- Integritet betyr å holde dataene korrekte, altså å sikre at de ikke endrer seg utilsiktet eller på grunn av en trusselaktør. Her kan man, i tillegg til å gjøre tiltak for å ivareta sikkerhet, blant annet sjekke dataene mot andre registre og systemer. Det er ulike grunner til at data kan endre seg utilsiktet, for eksempel feil på lagringsmediet eller at en bruker gjør endringer uten å mene det.
- Tilgjengelighet handler om å ha tilgang til data når man trenger dem. Tjenestenektangrep, også kjent som DDoS-angrep (Distributed Denial of Service) er en type dataangrep som kan gjøre dataene midlertidig utilgjengelig fra internett. Det dreier seg ofte om at mange samkjørte datamaskiner forsøker å overbelaste et system som tilbyr data, slik at det ikke lenger har nok ressurser – som prosesserings- eller overføringskapasitet – til å håndtere alle forespørslene. Resultatet er at mange brukere ikke får logget inn eller sett innholdet.
Merk deg at brudd på IKT-sikkerhet og cybersikkerhet også vil kunne gå ut over konfidensialitet, integritet og tilgjengelighet.
IKT-sikkerhet
IKT-sikkerhet omfatter, slik vi har sett tidligere, beskyttelse av de teknologibaserte systemene som lagrer, prosesserer og overfører data.
Også her er KIT-triaden relevant. Vi kan også nevne ytterligere fire temaer som er spesielt relevante for IKT-sikkerhet: autentisering, autorisering, auditering og forpliktelse.
- Autentisering, i denne sammenheng, handler om at du skal kunne identifisere hvem du kommuniserer med.
- Autorisering vil si å gi riktige tilgangsrettigheter til en person for ulike ressurser i et system. Det kan f.eks. dreie seg om filer og databaser, som igjen inneholder data. Det er ledelsen i en organisasjon som bestemmer tilgangene, og som regel IT-avdelingen som iverksetter dem teknisk. I praksis vil autorisering være avhengig av autentisering, altså at systemet i første omgang vet hvem brukeren er.
- Auditering (fra engelsk «audit»; å revidere) handler om kontinuerlig sporing av brukerens handlinger på systemet, for eksempel gjennom loggfiler. Eksempelvis kan det være å se om det har vært forsøk på dataangrep eller for å identifisere misbruk av et system.
- Forpliktelse (også kjent som ikke-nekting; non-repudiation) innebærer å unngå at en annen part kan trekke seg fra ansvaret for en digital handling. Det kan for eksempel være relevant i forbindelse med netthandel eller bruk av nettbank.
Det er også verdt å ta med at KIT-triaden er eksplisitt tatt med i GDPR. Det samme er nødvendigheten av tekniske og organisatoriske tiltak knyttet til personopplysninger. Du vil lære mer om GDPR i kapittel 3.
Det kan være lurt å huske på at ansvar knyttet til datasikkerhet også er forankret i lovverk – det er ikke bare noe som er «lurt å gjøre».
Grunnprinsipper for IKT-sikkerhet
Det kan være vanskelig for mange bedrifter og virksomheter å vite hvor de skal starte med IKT-sikkerhet. Derfor har Nasjonal sikkerhetsmyndighet fastslått noen grunnprinsipper for IKT-sikkerhet for å gi noe å rette seg etter. Ved å følge disse kan bedrifter, selskaper og organisasjoner sikre systemer mot skade, misbruk og uautorisert tilgang.
Vi skal ikke gå i dybden på disse her, men overordnet handler det om: