NIS2: Vær på vagt med netværk og informationssystemer

Hvad går anskaffelse, udvikling og vedligeholdelse af netværk og informationssystemer, sårbarhedshåndtering og offentliggørelse ud på i regi af NIS2?

En vigtig del af cybersikkerhed er at have styr på sine netværk og informationssystemer. Både den, man køber som hyldevare, den, man får udviklet, og den, man selv udvikler til sine kunder. Nogle virksomheder kigger på ISO 27001 og ISO 27002 for tekniske guidelines. Andre bruger D-mærket. Man skal have styr på både egen it og underleverandører. Det betyder, at man ved indkøb skal sikre, at udstyret har en sikkerhed, der matcher virksomhedens niveau. Det kan man gøre ved at købe certificeret it eller sikre, at leverandøren kan bevise, at deres it er sikker. Hvis man f.eks. køber netværksudstyr, en firewall eller en webapplikation, skal man vurdere leverandørens sikkerhedsniveau. Mange vælger kendte producenter som Cisco eller Microsoft, fordi de har et godt omdømme i forhold til sikkerhed, ligesom man i gamle dage valgte IBM for at være på den sikre side.

Der vil ske et skift med NIS2. Hos Alexandra Instituttet har vi mødt it-servicevirksomheder, der har undret sig over, hvorfor deres kunder ikke stillede flere spørgsmål til sikkerheden i deres løsninger. Men der var åbenbart en implicit forventning om, at der var styr på sikkerheden. Med NIS2 tvinges de virksomheder nu til at begynde at stille spørgsmål.

Hvorfor er det en del af NIS2?

NIS2 skal beskytte vores samfund mod digitale angreb. Det er blevet kritisk, fordi vi ser flere og flere angreb. Ligesom bankerne har regulering for at beskytte det finansielle system, har vi brug for at beskytte vores digitale infrastruktur for at sikre samfundsfunktionerne. Hvis et kritisk system i energiforsyningen f.eks. bliver hacket og stoppet, vil det få store konsekvenser. Derfor skal vi sikre, at de systemer, vi bruger, er beskyttede mod angreb, så samfundet kan fungere uden forstyrrelser.

Hvordan skal virksomheder helt konkret forholde sig til det?

Virksomhederne bør starte med at lave risikovurderinger. Det indebærer at skabe et overblik over egne systemer og underleverandører, og hvor kritiske de er. En risikovurdering hjælper både den tekniske og forretningsmæssige del af virksomheden med at forstå risikoen, og hvad der kan ske, hvis der opstår et angreb. F.eks. skal man vide, om produktionen kan fortsætte, hvis et bestemt system går ned. Tidligere var produktionssystemer ikke så tæt koblet til internettet, men i dag er de det ofte, og det kræver en grundig risikovurdering.

En god praksis er også at indføre en regelmæssig vurdering af nye trusler og sårbarheder. Teknologier og trusler udvikler sig hurtigt, og hvad der var sikkert i går, er måske ikke sikkert i morgen. Derfor bør virksomhederne etablere en proces for løbende at evaluere og forbedre deres sikkerhedsforanstaltninger. Det indbefatter at holde sig opdateret om de nyeste sikkerhedsstandarder og anbefalinger og vedligeholde sin it i henhold til dem.

Hvis man opdager en sårbarhed, skal virksomheden kunne reagere hurtigt og effektivt. Man skal have processer for at opdage, rapportere og rette sårbarheder i sine systemer. Hvis man f.eks. opdager en sårbarhed i en webapplikation, skal man have en plan for hurtigt at kunne rette den og opdatere systemet. 

Derudover er det vigtigt at informere relevante myndigheder hurtigt, hvis man opdager en sårbarhed – som NIS2 kræver – for at sikre gennemsigtighed og hurtig respons. Inden 24 timer skal myndighederne have besked, og inden 72 timer skal de have en uddybende beskrivelse.

Hvad skal man have med?

Man skal have et overblik over sine systemer og underleverandører. Hvis man følger standarder som ISO 27001 eller D-mærket, er man godt på vej. Disse standarder hjælper med at sætte struktur på sikkerhedsarbejdet og sikrer, at man tager højde for de væsentlige elementer i sin cybersikkerhed. På den måde får man også en ekstern validering af, at det, der bliver leveret, er certificeret, så man ikke selv behøver at stille spørgsmål, ligesom en leverandør ikke behøver at svare på de spørgsmål. Man får så at sige en ekstern tjekliste til rådighed.

Apropos tjekliste kan man – hvis man udvikler software – anvende OWASP (Open Web Application Security Project), som kan bruges til at teste og forbedre sikkerheden i webapplikationer, og identificere, hvad der er kritisk i forhold til NIS2.

Hvad er en god fremgangsmåde?

Start med risikovurderinger. Derefter kan man følge tekniske standarder og guidelines som ISO 27001 og CIS-kontroller (Center for Internet Security Controls). CIS-controller er best practice inden for cybersikkerhed og giver nogle tekniske tjeklister af, om man f.eks. har styr på backup etc.

Hvis man vil teste, om virksomheden kan modstå et angreb, kan man udføre black box- og white box-tests. Black box-testen simulerer et eksternt angreb, som en hacker ville udføre uden at kende systemets indre opbygning. White box-testen giver et indblik i systemets arkitektur og koder, hvilket gør det muligt at identificere og rette sårbarheder mere effektivt.

Er der ’faldgruber’, man bør være opmærksom på?

En stor faldgrube er at vente med at handle, fordi man ikke ved, hvor man skal starte. Mange venter på dansk lovgivning, men det er en sovepude.

En anden faldgrube er manglende overblik, især over skygge-it, hvor it-afdelingen måske ikke ved, hvad der bliver brugt i virksomheden. F.eks. kan der være maskiner i produktionen, som leverandører har koblet på internettet uden it-afdelingens viden. Under angrebet på elsektoren opdagede nogle virksomheder, at de ikke havde opdateret udstyr, de ikke engang var klar over, de havde. Det betød, at angrebet kunne udnytte disse sårbarheder. Derfor er det afgørende at have et opdateret og detaljeret overblik over alt udstyr og alle systemer, der er forbundet til netværket.

En tredje faldgrube er at stole blindt på sine leverandører uden at stille krav til deres sikkerhed. Man skal kunne dokumentere, at leverandørerne har styr på deres sikkerhed; ellers kan det blive et problem for virksomheden.