NIS2: Kender du dine medarbejdere – og har de adgang til for meget?
Udgivet: 20. november 2024Baggrundstjek af medarbejdere og styring af deres adgang i virksomheden – både digitalt og fysisk – er nogle er de ting, som NIS2-direktivet foreskriver. DBI’s sikkerhedsrådgivere Ken Bjørkholm og Flemming Lorentzen opsummerer her personalesikkerhed, politikker for adgangskontrol og asset management.
Hvad drejer personalesikkerhed, politikker for adgangskontrol og asset management sig om i regi af NIS2?
Personalesikkerhed handler om at sikre, at de medarbejdere, der arbejder med virksomhedens kritiske systemer, er pålidelige og kompetente. Det indebærer bl.a. baggrundstjek, også kendt som vetting, der kan afdække eventuelle risici ved ansættelser. Desuden handler det om at klarlægge roller og ansvar, så ingen får adgang til systemer, de ikke har brug for.
Adgangskontrol fokuserer på at implementere ‘need-to-know’-princippet, der begrænser både digital og fysisk adgang til det absolut nødvendige. Asset management sikrer, at virksomheder har overblik over deres materielle og immaterielle aktiver og kan prioritere dem i forhold til, hvad der er kritisk for driften.
Hvorfor er det en del af NIS2?
Sikkerhed i forbindelse med medarbejdere, adgangskontrol og styring af aktiver er afgørende for at beskytte virksomheder mod situationer, der kan true deres drift. Et enkelt svagt led – som en uopmærksom medarbejder eller en uklar adgangspolitik – kan få store konsekvenser. Derfor stiller NIS2-direktivet krav om procedurer, der reducerer risikoen for menneskelige fejl og sikrer, at medarbejdere kun har adgang til det, de skal bruge.
Asset management hjælper med at identificere de aktiver, der er mest kritiske for driften, så virksomheder kan beskytte dem effektivt mod angreb, nedbrud og andre trusler.
Hvordan skal virksomhederne helt konkret forholde sig til det?
Et første trin i et kontinuerligt arbejde kan være at udføre en GAP-analyse, som er en metode til at identificere forskellen mellem virksomhedens nuværende sikkerhedsniveau og de krav, NIS2 stiller. Analysen hjælper med at finde de områder, hvor der er mangler, og hvor indsatsen skal prioriteres. F.eks. kan det afdække, at multifaktorgodkendelse mangler på kritiske systemer, eller at et serverrum er fysisk placeret et sted med risiko for oversvømmelse.
Når de største sårbarheder er identificeret, kan virksomheden implementere løsninger, der målrettet mindsker risikoen. Her spiller ledelsen som ansvarlig for ændringerne en afgørende rolle – enten ved selv at gennemføre dem eller ved at give en sikringsansvarlig mandat og ressourcer til at gøre det.
Hvad skal man sørge for at omfatte?
Personalesikkerhed kræver mere end blot baggrundstjek. For det handler også om at træne medarbejdere til at forstå deres rolle i virksomhedens sikkerhed. Klarhed om adgangskontrol er lige så vigtig. Arkivstyring kan sikre, at medarbejdere kun har adgang til de data og systemer, der er relevante for deres arbejdsopgaver.
Tilsvarende gælder for den fysiske adgangskontrol. En ‘klassiker’ er, at det uden tvivl flinke rengøringspersonale har nøglekort, som giver adgang til det meste døgnet rundt. Det kan sagtens være, at den adgang bør begrænses, og at den under alle omstændigheder bør ske i et tidsrum, hvor man kan overvåge arbejdet.
Asset management kræver en løbende opdatering af oversigter over kritiske aktiver, så virksomheder kan handle hurtigt og effektivt, hvis der opstår problemer.
Hvad er en god fremgangsmåde?
En god tilgang starter med at kortlægge risici og identificere de vigtigste aktiver. Dernæst handler det om at implementere løsninger, der både er teknisk robuste og praktisk gennemførlige. F.eks. kan man installere adgangskontrolsystemer, så kun specifikke medarbejdere får adgang til følsomme områder, og digitale systemer kan segmenteres for at minimere risikoen for interne trusler.
Derudover bør træning af medarbejdere prioriteres for at reducere risikoen for menneskelige fejl. En stærk sikkerhedskultur er mindst lige så vigtig som tekniske foranstaltninger.
Er der faldgruber, man bør være opmærksom på?
En af de største faldgruber er ‘tunnelsyn’ – altså at fokusere for meget på ét område og overse andre. Det er bedre at have 20 % styr på alle områder end at ignorere nogle områder helt. Det er nemlig ofte i de oversete områder, de største sårbarheder opstår. F.eks. er det ikke nok at have fuld kontrol over it-systemerne, hvis den fysiske adgang til serverrummet ikke er sikret.
En anden udfordring er manglende opbakning fra ledelsen. Hvis det ikke er en prioritet for ledelsen, bliver det svært at få sikkerhedspolitikkerne implementeret på tværs af organisationen. Endelig er risikoen for menneskelige fejl altid til stede – og den kan kun reduceres med klare procedurer, løbende træning og en åbenhedskultur, hvor medarbejderne taler om fejl og mangler.
