«digitalisering og balansen mellom næringsutvikling og ... · internet of things (iot)...
TRANSCRIPT
«Digitalisering og balansen mellom næringsutvikling og sikkerhet»
Oppsummerende rapport fra Sikkerhetstoppmøtet 16. april 2015
Innholdsfortegnelse
3 Innledning
Om dette møteArrangører
4 Tidligere tema
5 Dagens situasjon
Ansvaret lagt på sikkerhetsansvarlig Utdatert lovverk Internet Of Things (IoT) Informasjonssikkerhet under IKT
7 Utfordringer
Informasjonssikkerhet som en begrensning Uenigheter om lovverk Skytjenester Digital sårbarhet Sikkerhet som et konkurransefortinn Samarbeid mellom offentlig og privat
9 Viktige råd og tiltakLedelsen med i sikkerhetsarbeidet Kommunisere forståelig for forretningen Rapportering av sikkerhetshendelser Security by design Tillit fra kunder
W W W.SIKKERHETSTOPPMØTET.NO 3
Innledning
Om dette møtet
Det femtende sikkerhetstoppmøtet hadde 55 deltakere fra både offentlig og privat sektor. Møtet ble innledet med 3 foredrag; «Innovasjon vs. sikkerhet» av Rodin Lie, IT-direktør Innovasjon Norge, «Er det motstridende interesser mellom sikkerhet og kommers?» av Geir Arve Vika, IT-direktør Lyse-konsernet og «Digital samfunns-sikkerhet» sikkerhetssjef i Bodø kommune, Hans Bernhard Dahl. Etter foredragene ble det holdt en paneldebatt som ble ledet av adm. dir. for NorSIS, Roger Johnsen med foredragsholderne, Torgeir Waterhouse (direktør internett og nye medier IKT-Norge) og Hilde Widerøe Wibe (direktør næringspolitikk Abelia).
Deretter var det to runder med rundeborddiskusjoner.
Arrangører
Prosjektledere
Roger Johnsen, Adm.dir, NorSIS
Sofie Nystrøm, Direktør CCIS
Samarbeidspartnere
Kristine Beitland, Samfunns- og myndighetskontakt, Microsoft og Lysneutvalget
Mark Segelmann, Senior Associate, PwC
Stewart Kowalski, Professor, NisLab
Lene Bogen Kaland, Seniorrådgiver, Lysneutvalget
Tonje Flotve, Manager, PwC
Stig Rakke, Teknisk rådgiver, Microsoft
Arrangørstab
Tone Hoddø Bakås, Seniorrådgiver, NorSIS
Anne Skeidsvoll Granli, Koordinator, NorSIS
Peggy Sandbekken Heie, Seniorrådgiver, NorSIS
Synne Gran Østern, Høgskolen i Gjøvik
Rapport skrevet av
Tone Hoddø Bakås, NorSIS
Synne Gran Østern, Høgskolen i Gjøvik
Robin Stenvi, NorSIS
4 W W W.SIKKERHETSTOPPMØTET.NO
Tidligere tema
26.10.2010 Hvordan hindre informasjonslekkasje fra virksomhetens styre?
09.02.2011 Utfordringer med outsourcing, offshoring og cloudbaserte løsninger
15.06.2011 Risikostyring i virksomheten
18.10.2011 Utvikling av menneskelig atferd og sterk sikkerhet i en ny verden
25.01.2012 Hendelseshåndtering – fra oppdagelse til anmeldelse
19.04.2012 Tillit til sikkerheten hos samarbeidspartnere og leverandører
18.10.2012 Monitorering av de ansatte – løsningen på tillitskrisen til mobile ansatte?
24.01.2013 Ledelsesforankring og ISMS
17.04.2013 Sikkerhetskultur
30.10.2013 Applikasjonssikkerhet – har vi kontroll?
28.01.2014 Informasjonssikkerhet i verdikjeden – klarer vi å tenke på alt?
09.04.2014 Beredskap
06.11 2014 Kritisk infrastruktur
27.01.2015 Informasjonstyveri og industrispionasje
W W W.SIKKERHETSTOPPMØTET.NO 5
Ansvaret lagt på sikkerhetsansvarlig
Flere av sikkerhetstoppmøtets deltakere opplever at ledelsen i dag stoler mye på sine sikkerhetsledere. Denne tilliten fra ledelsen er bra å ha, men det har også ført til at ledelsen ikke involverer seg i informasjonssikkerhetsarbeidet i virksomheten i den grad de bør gjøre. Så lenge sikkerhetsleder gjør en god jobb er ledelsen fornøyd. Problematikken med en slik tillit er dog at når det skjer en alvorlig hendelse, så er ledelsen ofte helt uforberedt, og sikkerhetsansvarlig står igjen alene i håndteringen av hendelsen.
Utdatert lovverk
Dagens lovverk tar ikke høyde for den digitale hverdagen vi har i dag. Dette oppleves av sikkerhetstoppmøtets deltakere som en av de største hindringene og begrensnin-gene innenfor utvikling og digitalisering. Det er behov for lovverk som gjenspeiler og hjemler nye utviklinger og behov, både i dag og i fremtiden. Noen deltakere meldte at virksomheten tør ikke å innovere nye løsninger fordi de ikke har nok støtte i lovver-ket ved en informasjonssikkerhetshendelse.
Internet Of Things (IoT)
Vi er i en tid hvor mer og mer fysiske objekter blir automatisk koblet opp til internett uten noe spesiell konfigurering. Trenden kalles Internet of Things og har et utrolig potensiale. Hver av disse «tingene» blir utrustet med maskinvare som gjør det mulig å koble dem opp mot internett, unikt identifiserbare. Dette blir gjort blant annet for å samle data om tingene, for eksempel en bil som rapporterer kjøremønster til leve-randøren. Denne utviklingen legger press på informasjonssikkerheten, og ofte er det informasjonssikkerhet og interoperabilitetsproblemer som hindrer utvikling og bruk av IoT, hvis det blir tatt hensyn til. Her i Norge er vi langt fremme i bruk av IoT, noe som bekymrer Sikkerhetstoppmøtet fordi vi samtidig ligger etter med sikringstiltak knyttet til dette.
Informasjonssikkerhet under IKT
I dag blir informasjonssikkerhet i virksomheter ofte organisert under IT-avdelingen og under IT-direktøren. Dette kan medføre store utfordringer med å forankre infor-masjonssikkerhet i ledelsen og utover IT-avdelingen. Informasjonssikkerhet er ikke noe som kun er rettet mot IT, men hele virksomheten. Informasjonssikkerhet i en virksomhet dreier seg om å sikre all informasjon tilhørende virksomheten og inngå i alle arbeidsprosesser i alle avdelinger. I tillegg ser Sikkerhetstoppmøtets deltakere utfordringer med at i flere mindre virksomheter har IT-sjefen også rollen som sik-kerhetsansvarlig.Krav til leverandører
Flere av Sikkerhetstoppmøtets deltakere opplever at de har liten påvirkningskraft
Dagens situasjon
«Ledelsen står bak deg inntil
det smeller – da oppdager man
at de står veldig langt bak»
«Mye lovverk er tilpasset en
fjern fortid»
6 W W W.SIKKERHETSTOPPMØTET.NO
i forhold til store internasjonale leverandører. Sett i et internasjonalt perspektiv er alle norske virksomheter små, og det er vanskelig å få gehør hos de store leverandø-rene. I tillegg har virksomhetene, spesielt de mindre virksomhetene, liten evne til å stille krav til disse leverandørene, og de etterspør klare retningslinjer og bistand fra myndigheter. Videre i et kunde og leverandørforhold viser flere norske virksomheter for lite modenhet når det gjelder utvikling, forhandlinger og etablering av kontrakter mellom partene. Ofte oppleves kontrakter som litt «tvangstrøyer» for begge parter og for utvikling av kapasitet for hendelseshåndtering.
«Å frelse verden med
å fjerne kjelt-ringer kan du
glemme.»
W W W.SIKKERHETSTOPPMØTET.NO 7
Informasjonssikkerhet som en begrensning
Det var samstemt enighet om at informasjonssikkerhet ikke må bli en begrensing i innovasjon. Men det er utfordringer knyttet til at det ofte er informasjonssikker-hetsansvarlig som må si ifra om at det ikke er god nok informasjonssikkerhet. Da vil man oppleves som en «stopper». Det å finne balansegangen mellom «sikkert nok» og innovasjon er vanskelig, og for at informasjonssikkerhetsansatte skal være i stand til dette må de forstå forretningen. Dette er det få som gjør, og det er en utfordring å finne fagfolk som er i stand til dette. Videre er det så mye sikkerhetskrav som må følges at store ressurser i mange virksomheter blir brukt til å sikre nok, og ikke til nyutvikling og innovasjon.
Uenigheter om lovverk
Sikkerhetstoppmøtets deltakere var uenige om hvordan lover og forskrifter bør utformes, og det var flere som opplevde slike uenigheter også internt hos sin egen virksomhet. Uenighetene går ofte på om regler og retningslinjer skal være svært detaljerte og omstendelige, eller om de skal legge opp til mer frihet?
Her er det ingen fasitsvar, men det var stor enighet om at det er behov for klarere retningslinjer og veiledninger om hvordan lovverket skal benyttes og følges. Det oppleves at myndighetene setter begrensingene, men kommer ikke med løsninger til hva alternativet kan være.
Skytjenester
En av de større digitale trendene er bruk av forskjellige skytjenester. Vi benytter flere og flere skytjenester, både privat og på jobb. For en virksomhet er det er mange fordeler som kommer med skytjenester, for eksempel drift og håndtering av sikker-hetshendelser kan bli mer profesjonalisert ettersom dette kan ivaretas av leverandø-ren. Dette kan være veldig verdifullt for SMB-er.
Sikkerhetstoppmøte opplever også en del utfordringer i prosessen med å ta i bruk skytjenester, hvor lovverk og reguleringer ofte er det som hindrer virksomhetene å ta i bruk tjenestene. Der det for eksempel er krav om å ha en databehandleravtale, er ikke disse tilpasset skytjenestene når der gjelder utenlandske leverandører. Virk-somhetene får derfor ikke utnyttet potensialene som ligger i skytjenestene på grunn av begrensninger med lovverk.
Digital sårbarhet
I dag er mye digitalisert i Norge, og det er mye fokus på det som gjenstår. Med økt digitalisering øker også tilgjengeligheten av informasjon. Brukere og ansatte krever at informasjonen nesten er tilgjengelig overalt og når som helst. Dette er noe som legger press på informasjonssikkerhet.
Utfordringer
«Vi kan ikke snakke om
utfordringer som kommer
– vi er der NÅ – det blir mer av
det samme, kan-skje mer enn vi forestiller oss»
«I dag går pen-gene til drift,
vedlikehold og patching, ikke
til innovasjon.»
«I Norge er det ikke en tradi-sjon for å hele tiden strekke
strikken og tøye regelverket»
«Vi kan ikke fortsette
som nå»
8 W W W.SIKKERHETSTOPPMØTET.NO
Det er en utfordring å prioritere informasjonssikkerhet i et marked som har et stort behov for nye løsninger og legger mye press på produksjonsmiljøene. Sikkerhets-toppmøtets deltakere opplever at de må gjennomføre skadebegrensende tiltak i ettertid etter at produktet er ute i marked. Dette skaper en større digital sårbarhet.
Det legges opp til at flere kommuner i Norge blir slått sammen til større kommuner. En av hensiktene med dette er å kunne være i stand til å tilby innbyggerne bedre kommunale tjenester. Ved kommunesammenslåinger er IT- og digitalisering et tema som knapt tas opp og diskuteres. Dette til tross for at gode utviklede og integrerte IT-systemer vil gjøre kommunene i bedre stand til å dekke innbyggerens behov. Sikkerhetstoppmøtets deltakere påpekte her at dette er et mulighetsvindu, det er mulighet til å tenke nytt og bygge nye helhetlige løsninger med informasjonssikker-het integrert fra bunnen.
Sikkerhet som et konkurransefortinn
Det er et stort potensiale å utnytte informasjonssikkerhet som et konkurransefor-trinn, blant annet fordi god sikkerhet skaper tillit fra kunder. Men det er utfordrende å markedsføre for kunder at man er bedre enn konkurrentene på sikkerhet i praksis, mest fordi det er vanskelig å dokumentere at virksomheten faktisk er bedre enn andre på sikkerhet. Hvis det hadde vært tilfellet, så kunne virksomhetene direkte tjene på god informasjonssikkerhet.
På den andre siden opplever sikkerhetstoppmøte at leverandører som er dårlige på informasjonssikkerhet ikke kommer inn på markedet og får kunder. Her sliter SMB mer enn større virksomheter fordi de ikke har like mye ressurser på sikkerhetsarbei-det, og ikke har eller har få dedikerte ansatte innenfor informasjonssikkerhet.
Samarbeid mellom offentlig og privat
Sikkerhetstoppmøtets deltakere ønsker mer samarbeid mellom offentlige og private aktører, men utforingen er å få det til å fungere godt og gjensidig. Det er positivt at næringslivet blir brakt inn i offentlige beslutninger, prosjekter og høringer. Det må legges til rette for at man kan kommunisere næringslivets behov og ønsker til offent-lige virksomheter. Men det ble trukket frem flere eksempler hvor dette samarbeidet ikke hadde fungert bra, og hadde medført negative konsekvenser.
Et eksempel er etableringen av flere CERT-er. Her er det viktig å ha åpenhet og samarbeid dem imellom, men også med andre aktuelle aktører. Og det er viktig å være klar over at til tross for at man har etablert ett CERT eller CSIRT, så er man ikke automatisk sikret mot sikkerhetshendelser fremover.
«Pengesekken som går til
innovasjon blir mindre, siden vi ikke får utnyttet skytjenestene»
«Effektivitet og digitalise-
ring har skapt innovasjon og
nye muligheter – men også nye sårbarheter.»
«Sikkerhet er et konkurranse-
fortrinn»
W W W.SIKKERHETSTOPPMØTET.NO 9
Ledelsen med i sikkerhetsarbeidet
Et viktig tiltak er å få ledelsen mer aktivt med i informasjonssikkerhetsarbeidet. Risikovurderinger må gjennomføres i samarbeid med ledelsen. Det er også ledelsen som til slutt må akseptere restrisikoen. Ledelsen må også ta den endelige beslutnin-gen om verdivurderinger i virksomheten. Hvilken informasjon kan deles, og hva må holdes konfidensielt? Hvilke krav til tilgjengelighet og integritet beslutter ledelsen. Man må få ledelsen til å forstå og velge hva som må sikres. Deretter kan informa-sjonssikkerhetsansatte finne ut hvordan informasjon og de verdier som står på spill kan sikres.
Målet med informasjonssikkerhetsarbeidet er å gjøre ledelsen i stand til å ta gode beslutninger.
Kommunisere forståelig for forretningen
Det er utfordrende å snakke samme språk og gjøre seg forstått av de som har ansvar for forretningsprosessene i virksomheten. Sikkerhetstoppmøtets deltakere anbe-falte å kommunisere om arbeidsprosesser fremfor tekniske sikkerhetstiltak. Videre anbefales det å unngå å snakke om IT-sikkerhet, men heller informasjonssikkerhet og forretningskritikalitet.
For å få et helhetlig perspektiv av informasjonssikkerhet i en virksomhet, ønsket flere av deltakerne at informasjonssikkerhet skal tas med inn i strategiprosesser. Det er behov for strategiske ressurser som forstår forretningsstrategi og sikkerhet. Infor-masjonssikkerhet kan ikke lenger behandles som et eget individuelt fagområde, det må spres over hele virksomhetens arbeidsprosesser.
Rapportering av sikkerhetshendelser
Det er i dag, med få unntak, ikke noe lovpålagt krav å melde ifra om informasjons-sikkerhetshendelser. Dette er noe som bør endres. Ved å ha et slikt krav vil man få bedre oversikt over flere virksomheter, kan sammenligne mellom virksomheter og sektorer og man kan si at man er best eller bedre på informasjonssikkerhet enn konkurrentene. I tillegg vil denne åpenheten, sammen med å informere om hvor-dan hendelsen ble håndtert, kunne hjelpe andre virksomheter når de selv kommer i samme situasjon. Det er flere tilfeller der informasjonssikkerhetshendelser som har blitt oppdaget av media, har fått alvorlige konsekvenser for virksomheten. Kunder og brukere aksepterer at hendelser skjer, men ikke at selskapene mangler forberedelser og evne til effektiv håndtering.
I tillegg anser Sikkerhetstoppmøtet at rapportering av informasjonssikkerhet inn til styrene og ledelsen kan bidra med å styrke informasjonssikkerhet i en virksomhet. Ved å ha en årsmelding om informasjonssikkerhet vil man ha et godt grunnlag for å se utviklingen, behovene og effekten av informasjonssikkerhetsarbeidet.
«Gå fra infor-masjonssikker-
het til sikring av informasjon»
«Sikkerhetsfolk forstår ikke sik-kerhet, men sik-kerhetstiltak»
Viktige råd og tiltak
10 W W W.SIKKERHETSTOPPMØTET.NO
Security by design
Et viktig prinsipp i programutvikling som kan overføres til informasjonssikkerhet i innovasjonsprosjekterer, er «Security By Design». Prinsippet går ut på å tenke og bygge sikkerhet inn i alle steg i utviklingsprosessen fremfor å «legge på» sikkerheten ved slutt. Ved å involvere informasjonssikkerhet i hele prosjektperioden med gode risikoanalyser og tiltak, vil informasjonssikkerhet bli en mer naturlig del av ny utvik-ling. Et eksempel på en av fordelene er at ved å også tenke på informasjonssikkerhet ved utviklingen av brukergrensesnitt, vil også brukervennligheten bli tilpasset dette og informasjonssikkerhet vil ikke oppleves som et hinder for brukerne.
Tillit fra kunder
Et klart konkurransefortrinn er å ha tillit fra kunder, og på denne måten kan man vinkle inn informasjonssikkerhet som et fortinn. Uten god informasjonssikkerhet vil man vanskelig oppnå tillit fra kunder. Og for å vinne tillit hos kundene er det viktig å forstå hva kundene synes er viktigst. Er det å ha tilgang til riktig informasjon uav-hengig av lokasjon? Eller å sørge for at ingen uvedkommende får tak i informasjo-nen? Etter en slik kartlegging kan man tilpasse seg kundens behov. Et eksempel på en slik kartlegging av tiltak er at flere og flere kunder opplever å ha mer kontroll og sikkerhet hvis de selv får håndtere mest mulig av sin egen informasjon og verdier, istedenfor å la en ansatt i en «fremmed» virksomhet håndtere dem. Dette er noe bl.a. banker har rettet seg etter i sine selvbetjeningsløsninger for kundene.
«Vi kan ha et svanemerke for
sikkerhet»
Om Sikkerhetstoppmøtet
Sikkerhetstoppmøtet bringer informasjonssikerhets- ledere, eksperter og nøkkelpersoner innen fagfeltet sammen for å utveksle erfaringer og kunnskap.
Deltakerne vil gjennom foredrag og samtaler skaffe seg et klarere bilde av dagens praksis og en innsikt i utviklingen i feltet.
Formatet på samtalene er en åpen og kollegial tankesmie hvor synspunkter og argumentasjoner relatert til dags- aktuelle tema utveksles.
Nytteverdien for deltakerne ligger i at de kan ta med seg meningsutvekslingen tilbake til sine respektive foretak og styrke sin interne sikkerhet.
Sikkerhetstoppmøtet støttes av