it-sikkerhed - di.dk · it-sikkerhed er af stor betydning for alle danske virk-somheder. desværre...

H.C. Andersens Boulevard 18

1787 København V

Tlf. 3377 3344

Fax 3377 3920

E-post: [email protected]

Hjemmeside: www.itek.di.dk

EN

DE

LA

FE

ND

EL

AF

DA

NSK

IND

USTR

ID

AN

SK

IND

USTR

I

I T E K – B R A N C H E F Æ L L E S S K A B F O R I T- , T E L E - , E L E K T R O N I K - O G K O M M U N I K AT I O N S V I R K S O M H E D E R

LEDELSE AF

IT-S IKKERHEDFOR FORRETNINGENS SKYLD

EN

DE

LA

FE

ND

EL

AF

DA

NSK

IND

USTR

ID

AN

SK

IND

USTR

I

LE

DE

LS

E A

F IT

-SIK

KE

RH

ED

FO

R F

OR

RE

TN

ING

EN

S S

KY

LD

Ledelse af IT-sikkerhed– for forretningens skyld

juni 2002

EN

DEL A

F DA

NSK

IND

USTR

I

IT-sikkerhed II 21/06/02 14:18 Side 1

Udgivet af ITEK og DI

Redaktion: Henning Mortensen

Tryk: Kailow Graphic

ISBN: 87-7353-427-7

2000.6.2002


IT-sikkerhed er af stor betydning for alle danske virk-somheder. Desværre får IT-sikkerhed i den enkelte virk-somhed først ledelsens opmærksomhed på det tidspunkt,hvor uheldet har været ude og har belastet bundlinien ivirksomhedens regnskab og dens omdømme. IT-sikker-hed er derfor ledelsens ansvar og bør indgå i virksomhe-dens forretningsstrategi.

ITEK og Dansk Industri nedsatte et IT-sikkerheds-panel i slutningen af 2001 for at kunne hjælpe danskevirksomheder med at sætte fokus på IT-sikkerheds-spørgsmål. Panelet har efterfølgende taget initiativ til enrække aktiviteter, herunder udgivelsen af en serie pub-likationer om IT-sikkerhed, hvoraf denne er den første.

Formålet med denne publikation er at sætte IT-sikkerhed på ledelsens dagsorden. Virksomhedens ledel-se får med denne publikation en ikke teknisk beskrivelseaf mulige trusler samt konsekvenser for forretningen.Desuden får ledelsen også en rettesnor for, hvordan mankan rette op på virksomhedens sikkerhed. IT-sikkerheder topledelsens ansvar og påvirker hele organisationen.Det er derfor vigtigt med bevidsthed og retningslinier forledelsens og medarbejdernes optræden.

FOR

OR

D3

Forord

Juni 2002

Hans Skov Christensen Tom TogsverdAdm. direktør BranchedirektørDansk Industri ITEK


IT-SIKKERHED ER EN LEDELSESOPGAVE . . . . . . . . . . . . . . . . . . . . . 7

IT-SIKKERHED FOR FORRETNINGENS SKYLD . . . . . . . . . . . . . . . . . . 10

HVAD ER IT-SIKKERHED? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

Intuitiv forståelse af IT-sikkerhed . . . . . . . . . . . . . . . . . . . . . 20

Eksempler på konsekvenser af sikkerhedshændelser . . . . . 22

Definition af IT-sikkerhed . . . . . . . . . . . . . . . . . . . . . . . . . . 23

TRUSLER OG SIKKERHEDSBRISTER . . . . . . . . . . . . . . . . . . . . . . . . . 25

Bevidste handlinger . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25

Fejl og uheld . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26

Eksterne forhold . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28

Særligt vedrørende personalemæssige forhold . . . . . . . . . . 28

Konklusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30

HVAD LEDELSEN KAN GØRE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31

Målsætning for sikkerheden . . . . . . . . . . . . . . . . . . . . . . . . 33

Sikkerhedsanalyse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34

Sikkerhedspolitik . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37

Sikkerhedsdesign . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40

Implementering og test . . . . . . . . . . . . . . . . . . . . . . . . . . . 42

En løbende udfordring . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45

CHECKLISTE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46

IND

HO

LD5

Indhold


Har du overvejet om data, informa-tioner og viden, som udgør grundlagetfor din forretning, er tilstrækkeligtbeskyttet? Har du taget initiativ til atsikre, at din virksomheds IT-systemerkører stabilt og med en minimeretrisiko for at blive ramt af tilfældigeuheld? Har du sørget for at minimeresandsynligheden for, at der opstårkatastrofesituationer, og har du etberedskab til at imødegå konsekven-serne?

Hvis du kan svare bekræftende pådisse tre spørgsmål, har din virk-somhed bedre fokus på IT-sikkerhedend de fleste andre danske virk-somheder. Undersøgelser viser, at 50pct. af alle danske virksomheder i2001 blev angrebet af virus, 36 pct.havde problemer med deres back-upog 26 pct. havde registreret skader iforbindelse med ustabil strømforsy-ning. For at undgå disse ubehage-ligheder er det af stor betydning fordanske virksomheders succes og tro-

værdighed, at der fokuseres på evnentil at håndtere IT-sikkerhed.

At have fokus på IT-sikkerhed be-tyder for det første, at man skalbeskytte virksomhedens data, infor-mation og viden mod bevidste hand-linger fra mennesker, der truer disse.For det andet skal man sørge for, atvirksomhedens IT-systemer kører ogadministreres med tilstrækkelig gradaf stabilitet, så mængden af fejl,mangler og uheld reduceres. For dettredje skal man forsøge at beskyttesine systemer mod katastrofer. Påtværs af disse tre punkter er detvigtigt at have speciel fokus på per-sonalet og sikre, at de til enhver tid erbevidste om de spilleregler, dergælder for anvendelsen af virksomhe-dens IT-udstyr. Det første punkt bety-der bl.a., at man skal beskytte sigmod hackere og beskytte sig modvirus. Denne type angreb på virk-somhedens informationer er blevetmeget stærkt eksponeret i pressen, og

IT-SIK

KE

RH

ED

ER

EN

LED

ELS

ES

OP

GA

VE

IT-sikkerhed er en ledelsesopgave

7


der er heller ikke nogen tvivl om, atdet er vigtigt at sikre sig mod dennetype angreb. Men det er vigtigt, at detikke sker på bekostning af sikring påandre punkter i virksomheden. Alleundersøgelser viser, at fejl foretagetaf medarbejdere og manglende drifts-stabilitet, som f.eks. strømsvigt og be-skadiget back-up, udgør større truslermod sikkerheden. At beskytte sinvirksomheds aktiver betyder derfor,at man skal sætte ind på alle trepunkter. Det er ikke nok at indkøbeen virusscanner og så tro, at man hargjort, hvad man kunne.

Mange fremstillinger af IT-sikker-hed har en forholdsvis teknisk karak-ter. Det skyldes, at den faktiske gen-nemførelse af IT-sikkerhed på enrække områder unægtelig er teknisk.Men beslutningerne om hvilke initia-tiver virksomheden skal tage, oghvilke forholdsregler, der skal tages,bør funderes på virksomhedens for-retningsgrundlag og er dermed ikketekniske ledelsesbeslutninger. I dettehæfte er det tekniske skåret bort, og istedet fokuseres der på IT-sikkerhed,som en del af forretningen. Hæftetviser dermed, hvorfor IT-sikkerhed eren ledelsesopgave, og giver gode rådom, hvordan ledelsen kan sætteprocessen med at indføre IT-sikker-hed i gang.

I hæftet berøres økonomisk risiko,driftsmæssig risiko, medarbejderrisi-ko, fysisk risiko, konkurrenceforhold,virksomhedens troværdighed, beskyt-telse af data, informationer og viden,IT-sikkerhedspolitik, risikovurdering,

mulighederne for at indføre nye for-retningsmodeller m.v. Hæftets formåler dermed at skabe debat i virk-somhederne og åbne direktionens øjnefrem for at give færdigpakkede løs-ninger.

Hæftet er blot det første i en serieaf hæfter om IT-sikkerhed. I de øvrigehæfter vil der bl.a. blive fokuseret på,hvilke konkrete trusler virksomhed-ernes IT-systemer står overfor, samthvordan man bekæmper disse trusler.Der vil også blive fortalt om virk-somhedens placering i netværkssam-fundet, og hvordan man skal ind-tænke IT-sikkerhed i sine e-businessløsninger. Hæfterne kan læses uaf-hængigt af hinanden, men udgørtilsammen en helhed, som viser, hvor-dan virksomhederne kan beskytte sig.

Helheden er tænkt således, at defem hæfter besvarer hvert sit grund-læggende spørgsmål:

> Hvordan kommer man igang?

> Hvilke trusler står virksom-hederne overfor?

> Hvordan tager man initiativermod disse trusler?

> Hvordan indgår min virksomhed i nettets helhed?

> Hvilke overvejelser skalvirksomheden gøre sig i forhold til egne IT-systemer, der åbnes ud ad til?

FOR

FOR

RE

TN

ING

EN

S S

KY

LD

8


IT-SIK

KE

RH

ED

ER

EN

LED

ELS

ES

OP

GA

VE

9

De andre hæfter i serien

Trusler mod virksomhedens IT-system

I dette hæfte gives en ikke teknisk beskrivelse af, hvad det er for nogle trusler, virksomheden

står overfor. Eksempler inkluderer: medarbejderne, ustabile systemer, de fysiske omgivelser,

virus og andre typer hærværkssoftware, hackere, m.v. Hæftet skal fungere som en opslagsbog

og vil afslutningsvis blive suppleret med en fyldig ordliste.

Forøg virksomhedens IT-sikkerhed

I dette hæfte beskrives det, hvordan virksomheden skal beskytte sig mod truslerne. Det

gennemgås funktion for funktion, hvilke initiativer der skal tages i virksomheden. Herunder

berøres bl.a: risikovurdering, IT-sikkerhedspolitik, sikkerhedsimplementering, IT-aktiver, perso-

naleforhold, fysisk sikring, styring af drift, adgangskontrol, nyt IT-udstyr, beredskab, love og

kontrakter.

Virksomhedens placering i den elektroniske infrastruktur

Dette hæfte indeholder en teknisk beskrivelse af, hvordan nettet er opbygget. Det forklares,

hvordan virksomheden er forbundet med omverdenen. Hæftet gennemgår de forskellige typer

af net og de forskellige apparater, som data ”rejser” igennem mellem modtager og afsender.

På denne baggrund diskuteres det, hvordan de enkelte elementer udgør en trussel mod

IT-sikkerheden.

E-business og IT-sikkerhed

Dette hæfte indeholder en gennemgang af forskellige e-business systemers funktionalitet i

forhold til eksterne partnere. Det gennemgås, hvilke nye åbninger disse systemer skaber i

forhold til virksomhedens interne systemer, hvilke forholdsregler virksomheden skal tage for at

sikre data, information og viden og endelig, hvilke krav en virksomhed bør stille til sine

samarbejdspartnere.


LED

ELS

E A

F IT-SIK

KE

RH

ED

10

IT-sikkerhed for forretningens skyld

Virksomhederne bør beskæftige sigmed IT-sikkerhed, fordi manglendesikkerhed udgør en reel trussel modvirksomhedernes mulighed for atdrive forretning. Netop fordi sikker-heden kan ses i relation til forretning-en, er det vigtigt, at det er virksom-hedens ledelse, som har fokus påproblemet. En række beslutninger,som ledelsen skal foretage ved-rørende IT-sikkerhed, ligner de be-slutninger, som ledelsen træffer påandre områder i organisationen. Deter f.eks. i almindelighed en ledelses-

opgave at sørge for, atvirksomheden minime-rer risikoen for økono-miske tab, optræder tro-værdigt i forhold til sinepartnere, står stærkestmuligt i konkurrencenog foretager de rigtigeinvesteringer. Det erforhold, som er rettet

både indadtil i virksomheden og modvirksomhedens omverden. Sådannebeslutninger skal også tages i forholdtil IT-sikkerhed.

Økonomiske tabDen vigtigste grund til at fokusere påIT-sikkerhed er, at ledelsen bør arbej-de for at undgå eller minimere direk-te økonomiske tab som følge af et util-strækkeligt IT-sikkerhedsniveau. Når

virksomhedens informationer mis-bruges, når driften afbrydes, og nårdata forsvinder, medfører dette direk-te udgifter for virksomheden. Virk-somheden skal bruge ressourcer på atretablere data og IT-systemer.Virksomheden oplever også ofte, atproduktionen ligger stille i længereperioder med tabte leverancer og tabtarbejdstid til følge. At beskæftige sigmed IT-sikkerhed bliver derfor etforsøg på at eliminere de omkost-ninger, der er forbundet med svigt afdenne.

For at undgå disse tab er detvigtigt for virksomheden både atsikre sig gennem logiske, fysiske ogorganisatoriske foranstaltninger. Deter ledelsen, som skal beslutte, hvilkefysiske og logiske IT-sikkerhedsinitia-tiver der skal tages, og hvilke beløbder skal afsættes til formålet. Det erledelsen, som beslutter hvilke orga-nisatoriske initiativer, der skal tages.Det betyder, at der skal ske enansvarsplacering af de forskellige IT-sikkerhedsinitiativer i de forskelligefunktioner i virksomheden, og derskal fastlægges procedurer for de op-gaver, det er nødvendigt at udføre.

Det er til enhver tid en ledelses-opgave at tage initiativer, som mini-merer omkostninger og risici og der-med bidrager positivt til virksomhe-dens bundlinie.


PersonaleforholdDen største kilde til IT-sikkerheds-brister er personalet. Uhensigts-mæssig anvendelse af IT-udstyretkan bl.a. være skyld i, at vira spredes,at data ødelægges, eller at hele IT-systemet går ned. Det er en ledel-sesopgave at sikre, at personalet harinformationer og viden nok til at ud-føre sit arbejde på en hensigtsmæssigmåde og foretage de rigtige valg.Virksomhedens ledelse skal derforsørge for, at alle medarbejdere har etentydigt indtryk af, hvordan de bedstmuligt udfører deres arbejde på en IT-sikkerhedsmæssig forsvarlig måde.Dette skal bl.a. ske ved, at virk-somheden udarbejder en IT-sikker-hedspolitik, hvori det bl.a. specifi-ceres, hvad der er tilladt, hvad der erforbudt, hvilke konsekvenser det harikke at overholde politikken, hvemder har ansvaret for hvilke IT-sikker-hedsrelaterede forhold og hvilke pro-cedurer, der skal overholdes, for atman kan leve op til IT-sikkerheds-niveauet.

Klare retningslinier i forhold tilpersonalet har den direkte fordel, atdet reducerer risikoen for uheld. Ret-ningslinierne kan også bidrage til atgøre medarbejderne mere tilfredse, ogIT-sikkerhedspolitikken skal derforikke ses som et angreb på medarbej-dernes integritet. En mindre mængde

fejl betyder mere stabile IT-systemer,der ikke hæmmer personalets arbej-de. Hvem har ikke prøvet at være irri-teret over, at man ikke kan kommevidere med arbejdet, fordi et programikke virker? Sådanne hændelser vilblive reduceret, når personalet begårfærre fejl, og dermed er det sandsyn-ligt, at virksomheden indirekte medIT-sikkerhedspolitikken kan øge til-fredsheden blandt personalet.

Det er altid en ledelsesopgave atinstruere virksomhedens personale,og det gælder også i forhold til IT-sikkerhed.

De jordnære forholdMange virksomheder har beskyttetderes IT-systemer ved f.eks. at haveindkøbt en virusscanner. Men hvorpersonalet er den største årsag til IT-sikkerhedshændelser, er det jordnæreinterne forhold, der giver anledningtil de oftest forekommende IT-sikker-hedshændelser. Der er derfor godgrund til ikke at glemme de mestjordnære forhold. Sidder hovedafbry-deren til virksomhedens servere f.eks.lige ved siden af lyskontakten i virk-somhedens serverrum? Er back-upbåndene fysisk placeret lige ved sidenaf det, som de egentlig skal være ensikkerhedskopi af? Åbner døren tilserverrummet indad således, at dener let at sparke ind? Overvejelser af

IT-SIK

KE

RH

ED

FOR

FOR

RE

TN

ING

EN

S S

KY

LD11


denne karakter kræver som regelikke de store omkostninger – kun engod portion sund fornuft og omtanke.

Der er en ledelsesopgave at sikre,at virksomhedens IT-installationergennemgås ud fra et IT-sikker-hedsperspektiv med henblik på atfastlægge nogle fornuftige og velover-vejede procedurer for de jordnæreforhold.

Investeringer i IT-sikkerhedFor at undgå utilsigtede omkost-ninger som følge af konsekvenserneaf en IT-sikkerhedshændelse skalman investere i IT-sikkerhed. Menman skal på den anden side hellerikke overinvestere i IT-sikkerhed.Man skal vælge et investerings-niveau, der passer til virksomhedensrisikoprofil. IT-sikkerhed behøverikke være dyrt og behøver ikke atkræve store mængder af tid. I mangevirksomheder er det en god start, atledelsen udformer en IT-sikkerheds-politik, får noget viden om virk-somhedens aktuelle sikkerheds-niveau, gør sig klart hvad der skal tilfor at øge sikkerheden og har etberedskab, som skitserer, hvad derskal ske, hvis først ulykken har væretude. Det nytter ikke at skyde medspredehagl. Man må gøre en indsats,som er fokuseret på netop de proble-mer, den enkelte virksomhed ståroverfor. Det vil i længden være detbilligste og mest effektive.

I praksis vil man lave en liste overde sikringsforanstaltninger, man alle-rede har foretaget, og en liste over de

trusler, som virksomheden står over-for. Man laver dernæst et skøn over,hvilke omkostninger virksomhedenmå bære, hvis uheldet er ude og over,hvilken sandsynlighed der er for, atuheldet indtræffer. På denne mådekan man vurdere, hvilket beløb derskal investeres i de enkelte sikrings-foranstaltninger, som skal dæmme opfor de forskellige typer af risici, manhar identificeret. Der er dermed øko-nomisk ræson i at minimere konse-kvenserne af en hændelse.

Ledelsen skal dermed fastlæggedet acceptable niveau for konsekven-ser af IT-sikkerhedshændelser, tagestilling til hvad det er for investe-ringer, der skal foretages, og hvilketniveau disse skal have. Investe-ringerne skal funderes på en cost-benefit analyse. Der bør hverkenover- eller underinvesteres.

IT-beredskabsplan sikrer forretningens videreførelseDet er vigtigt at have forberedt pla-ner for, hvad der skal ske, når uheldethar været ude. For både klassiskeuheld som tyveri og brand, og for nyetyper uheld, som kompromitterersikkerhed, skal der lægges planer for,hvad virksomheden vil gøre, hvisbestemte hændelser opstår.

Det er i alle mulige andre sammen-hænge ledelsens opgave til enhver tidat sikre, at forretningen kan fortsætte.Dette ansvar ser man bl.a. udfoldetunder faglige konflikter, i forbindelsemed fusioner og i tilfælde af svigt afleverancer til produktion. Målet for

LED

ELS

E A

F IT-SIK

KE

RH

ED

12


ledelsen i disse situationer er at sikre,at forretningen til enhver tid kan fort-sætte så stabilt som muligt på trods afde forandringer og trusler, som virk-somheden udsættes for. Hvis uheldetopstår, har ledelsen for sådanne situa-tioner ofte lagt planer for, hvad derskal gøres for at bringe virksomhedengennem krisen. Ligesom det er etledelsesansvar at lægge planer for så-danne situationer, er det også etledelsesansvar at lægge planer for,hvad der skal ske, hvis virksomhedenudsættes for en IT-sikkerhedshæn-delse. Der skal på forhånd være lagtplaner for, hvad der skal ske, hvis envirus er ved at sprede sig gennem virk-somheden, hvis en hacker forsøger atfå adgang til virksomhedens data, hvisvirksomhedens servere bliver brugt tilfjendtlige angreb mod tredjeparter,hvis der opstår brand i serverrummet,hvis data kompromitteres, og der skalindlæses back-up, hvis en medarbejderstjæler data osv.

Ledelsen skal til enhver tid sikrevirksomhedens overlevelse, og derforer det lige så nødvendigt på IT-sikker-hedsområdet, som på andre områder,at have et beredskab klart, der kaniværksættes, når virksomheden ertruet.

Sikkerhed er grundlaget fornye forretningsmodellerDet er i dag vanskeligt at lave nyetyper forretning uden at foretage nyesikkerhedsovervejelser. Hvis manf.eks. vil udvide sin eksisterende for-retning med elektronisk handel, skalvirksomheden igennem helt nyeovervejelser vedrørende sikkerhed.Det skal bl.a. overvejes, hvordan manbeskytter kundernes data, og hvor-dan man kan foretage sikre transak-tioner via internettet. Sikkerhedenbliver dermed en nødvendig del afgrundlaget for overhovedet at kunneudvikle sin forretning.

Men IT-sikkerheden er ikke kunknyttet til nye typer forretning i rela-tion til e-business. IT-sikkerhed skalogså overvejes i forbindelse med alleandre måder, hvorpå forretningenfornys. Vi kan give to eksempler.

Danske virksomheder outsourcer istigende omfang forskellige opgaver.Dette rejser spørgsmålet om, hvilkeinformationer de eksterne partnerefår adgang til, og hvordan dataeventuelt transporteres mellem dissepartnere. Mange virksomheder harf.eks. valgt at outsource driften afderes IT-systemer. Dette betyder, atvirksomhedens data, viden og infor-

IT-SIK

KE

RH

ED

FOR

FOR

RE

TN

ING

EN

S S

KY

LD13


mationer i meget betydeligt omfangkan komme til leverandørens kend-skab. I den forbindelse er det vigtigtbl.a. at få klarlagt leverandørens IT-sikkerhedsniveau – herunder at videhvilke personalegrupper hos leveran-døren, der kan se hvilke data.

Et andet eksempel er, at flere ogflere virksomheder anvender perso-nale, som kun er ansat i virksomhe-den i forbindelse med løsning afkonkrete projekter. Disse personer,der ofte benævnes med termen freeagents, fortsætter ved projektets af-slutning til andre virksomheder oghar i forhold til de fastansatte derforkun et sporadisk tilhørsforhold tilvirksomheden. De har måske derforheller ikke den samme motivation tilat være forsigtige med anvendelsen afvirksomhedens data, informationerog viden. I et sikkerhedsperspektivskal det derfor overvejes, hvilke ad-gangskriterier der skal tildeles dissefree agents, og der skal fastlæggesprocedurer for, hvad der skal ske vedprojektets ophør.

Som disse to eksempler viser, børIT-sikkerheden altid indgå i over-vejelserne, når man skal videreud-vikle sin forretning. Har man ikkestyr på sikkerheden, kan dette væreen barriere for at komme videre.

Afkast kontra forsikringNår det går godt i den betydning, aten virksomhed ikke oplever noglekonsekvenser af de hændelser, derfinder sted, kan det være vanskeligtfor ledelsen at vurdere, hvad virk-

somheden egentlig får ud af de penge,der investeres i IT-sikkerhed. Ledel-sen vil ofte efterspørge en analyse afreturn on investment (ROI) i IT-sikkerhed – eller på godt dansk: Hvader resultatet på bundlinien af voresIT-sikkerhedsinvesteringer? Det kanvære et vanskeligt spørgsmål atbesvare. Den ovenfor anbefalede in-vestering, der netop svarer til det foren given virksomheds optimalesikkerhedsniveau, er ofte det bedstesvar, man kan give. I dette tilfælde vilgevinsten i form af et undgået es-timeret tab svare til omkostningerneved IT-sikkerhedsinvesteringerne, ogder vil dermed ikke være nogen effektpå bundlinien.

Det er forkert udelukkende at an-lægge en ROI betragtning på sin in-vestering i IT-sikkerhed. I stedet børman supplere synspunktet med enforsikringssynsvinkel. Investeringer-ne i IT-sikkerhed er delvist analoge tilinvesteringerne i virksomhedens an-dre forsikringer. Forsikringer er no-get, man kun investerer i, hvis manvurderer, at der er en trussel, hviskonsekvenser forsikringerne kanbidrage til at udligne. Forsikring bli-ver dermed et af virksomhedens red-skaber til risikostyring. Typisk vilvirksomheden så forsikre sig netop såmeget, at konsekvenserne i forholdforsikringspræmien udlignes på bund-linien.

Det er en ledelsesopgave at sikresig, at virksomheden er forsikret modde trusler og deraf følgende kon-sekvenser, der kan ramme den. Da

LED

ELS

E A

F IT-SIK

KE

RH

ED

14


IT-sikkerhed kan anskues som en for-sikring, er det også ledelsens opgaveat sikre, at virksomheden tilveje-bringer et bestemt niveau af IT-sikkerhed.

GlobaliseringNår en virksomhed laver en hjemme-side, er indholdet af denne tilgængeligtfor hele verden. Selv om det er de fær-reste virksomheder, der betragter heleverden som deres marked, er alle virk-somheder potentielt nødt til at forholdesig til, at de agerer i en globaliseretverden. Globaliseringen via internettetøger kontakt- og forretningsmulighe-derne, men gør også globale truslermere nærværende. Det sker ved, attrusselsbilledet bliver mere aktuelt ogdifferentieret ved, at de fjerne truslerkommer nærmere på Danmark. Dan-ske virksomheder kan blive berørt afkrige, bedrag og industrispionage, ogder er for disse områder aktuelle ek-sempler på, at det er sket.

Trusselsbilledet kommer også tæt-tere på Danmark ved at filialer, fjerntfra Danmark kan bringe udenlandsketrusler og konsekvenser ind i danskevirksomheder. Det sker bl.a. ofte ved,at en virus skabt et sted på jorden rej-ser gennem de forbundne elektro-niske systemer, eller ved at de IT-sys-temer, der er placeret i udlandet,påvirkes af klimaforandringer ellerterrorhandlinger.

Det er ledelsens opgave at relaterevirksomheden til trusler mod IT-sikkerheden, der følger med en globa-liseret forretningsgang.

Voksende samspil medeksterne interessenterVirksomhederne åbner i forbindelsemed introduktionen af e-businessderes systemer på mange forskelligemåder. En masse interne og eksterneprocesser i virksomhederne digitali-seres. Disse nye åbninger skaber be-hov for nytænkning af sikkerheden,idet processer baseret på IT ikke børvære sikret mindre end de tilsva-rende fysiske processer. Mest oplagter det, at de digitaliserede trans-aktioner, som er relateret til e-handel,omgærdes med IT-sikkerhedsoverve-jelser. Ved e-handel skal man bl.a.beskytte hjemmesiders indhold, kun-dedatabaser, ordreafgivelse, prisafta-ler og selve betalingen. Der er derforbehov for at vurdere sin interne IT-sikkerhed i forhold til samarbejds-partnere i denne sam-menhæng. Foruden atstille nye krav til egnesystemer skal man ogsåkunne stille krav til sinesamarbejdspartnere.

Det er en ledelsesop-gave at sørge for, at dendel af virksomhedensdata, viden og informa-tioner, som udvekslesdigitalt, er lige så godt beskyttet somdata, informationer og viden, der ud-veksles fysisk.

Troværdighed og tillidPå samme måde som det er enledelsesopgave at kunne garanterekvaliteten af de produkter og servi-

IT-SIK

KE

RH

ED

FOR

FOR

RE

TN

ING

EN

S S

KY

LD15


somheder har efterfølgende lagt sagan og vundet over de virksomheder,som ikke sikrede sig tilstrækkeligt. Vihar endnu sager af denne type tilgode i Danmark. Men de kommer.Det er blot et spørgsmål om tid.

Hvis uheldet er ude, og du erblevet angrebet, nytter det ikke nogetat forsøge at feje det ind under gulv-tæppet. Et angreb på en virksomhed,hvor der er stjålet data, er ligesom atfå stjålet sin hoveddørsnøgle. Manved aldrig om – og hvornår – denstjålne nøgle vil blive brugt. Man kanderfor lige så godt gå til bekendelse ogorientere sine partnere om angrebet.

LED

ELS

E A

F IT-SIK

KE

RH

ED

16

ces, man sælger, er det også enledelsesopgave at kunne garantere, atde oplysninger, der udveksles mellemto samhandlende parter, kan bevaressom værende fortrolige. Troværdig-hed i forhold til IT-sikkerhed er heltanalog til enhver anden form for tro-værdighed. Hvis virksomheden ikkekan leve op til disse krav, er den ikkeen troværdig samarbejdspartner.Hvis virksomheden ikke kan krævedette af sine samarbejdspartnere erde ikke troværdige. Og troværdigheder hjørnestenen i enhver forretnings-proces.

Tænk over hvordan ville det føles,hvis dine konkurrenter kunne se,hvilke priser du tager for dineydelser, til hvilke priser du har købtdine produkter og hos hvem. Tænk påhvad der sker, hvis du får stjålet data,så du ikke kan levere dine produktertil tiden. Det er bare eksempler pådet, der kan ske, hvis dine samar-bejdspartnere angribes og får blottetderes informationer om din virk-somhed.

En gang i den nærmeste fremtidvil det blive en del af standardkon-trakter, at to parter, som handler sammen, skal leve op til bestemtesikkerhedskrav for at afhjælpe denne utryghedsfornemmelse. Hermedkommer IT-sikkerhed til at få enstrategisk betydning. I USA har derallerede været flere sager, hvor envirksomhed, der ikke selv har sikretsine IT-systemer, er blevet anvendtsom ”rambuk” mod andre virk-somheders IT-systemer. Disse virk-


Troværdigheden lider måske et kort-varigt knæk, men tilliden bliver styr-ket ved at gå til bekendelse. Det erbedre at have spillet med åbne kort,end at forretningspartnere pludseligkonfronteres med virkeligheden fraanden side.

Foruden at rapportere sikker-hedsbrister til ens samarbejdspart-nere kan man bidrage til at bekæmpeden slags kriminalitet, som i vissesammenhænge er forbundet med IT-sikkerhedsbrister. Det kan ske ved atrapportere fejl til organisationer somCERT (Computer Emergency Re-sponse Team under Undervisnings-ministeriet) og CSIRT (Computer Se-curity Incident Response Team underTDC). Disse nationale organisationersamler oplysningerne om sikkerheds-brister, sammenholder og analysererdem og forsøger at hindre uheld i atsprede sig.

Konklusionen er, at du kan eks-ponere dig selv som en troværdigpartner ved at sikre dig inden skadener sket. Du kan bruge IT-sikkerhed tilat opbygge tillid. Du kan vise, at duogså bidrager til at minimere spred-ningen af IT-sikkerhedsbrister i ver-den.

KonkurrenceIT-sikkerhed bliver en konkurren-ceparameter i fremtiden. I takt medat flere og flere virksomheder bindessammen i elektroniske netværk, og itakt med at flere og flere transaktio-ner mellem forretningspartnere fore-tages elektronisk, opstår der flere og

flere trusler mod virksomhedernesIT-systemer. At have overblik overdenne udvikling og vælge en strategi,der betyder, at man ligger på forkantaf udviklingen, giver en komparativfordel i forhold til konkurrenterne.Dels gennem et overlegent teknolo-gisk niveau og dels gennem den om-talte forøgede troværdighed og tillid,man opnår ved at være en ”sikker”virksomhed.

Det er simpelthen en konkurren-ceparameter at kunne kræve ogtilbyde sine samarbejdspartnere denfornødne fortrolighed og sikkerhed iforhold til oplysninger, der udvekslesmellem dem.

Regulering og standarderIT-sikkerhedsområdet får større ogstørre opmærksomhed fra politikereog organisationer. Som følge herafbliver der i flere og flere sammen-hænge lavet regulering og skabt stan-darder, som virksomhederne skalforholde sig til. Eksempler inkludererbl.a. den nye persondatalov, som op-stiller rammer for, hvorledes virk-somhederne skal håndtere personføl-somme data, straffeloven, som specifi-cerer, hvad der kan betragtes somkriminelle handlinger i en IT-sikker-hedsmæssig sammenhæng, og denEU-baserede lovgivning om digitalesignaturer.

På standardområdet er der grundtil at fremhæve den danske standardfor EDB-sikkerhed, DS484, som byg-ger på den britiske standard BS7799,hvoraf del 1 findes i en ISO udgave,

IT-SIK

KE

RH

ED

FOR

FOR

RE

TN

ING

EN

S S

KY

LD17


ISO17799. I denne standard specifi-ceres det, hvilke overvejelser virk-somhederne bør gøre sig i relation tilIT-sikkerhed, samt hvilke initiativerder bør iværksættes. Desuden er derflere forskellige codes of conduct, somdet kan være relevant at forholde sigtil.

Det er en ledelsesopgave at sikre,at virksomheden har sat sig ind i,overvejet og evt. implementeret for-skellige regler og standarder, som eren betingelse for virksomhedens sta-bile drift.

ForandringsledelseAnsvaret for at beskytte virksomhe-den mod risikoelementer ligger ulti-mativt hos ledelsen. Lige somledelsen i andre sammenhænge mini-merer risici, eksempelvis ved atbeslutte i hvilket omfang der skalindføres IT i virksomheden, hvilkeansatte der skal udfylde hvilke roller,og hvem man ønsker at handle med,er det også ledelsen, der skal beslutte

hvilket sikkerhedsniveau, der erønskeligt. Men denne opgave bliverofte enten glemt, fordi ledelsen ikkeer bevidst om problemets omfang,eller bevidst undertrykt, fordiledelsen tror og håber på, at det ikkeer ens egen virksomhed, som kommertil at lide under en IT-sikkerheds-hændelse.

Det er ledelsens opgave og ansvarat sikre, at virksomheden har ettilstrækkeligt niveau af IT-sikkerhed,således at virksomhedens informa-tionsaktiver beskyttes mod alle typeraf trusler. Det skal vurderes, hvilketsikkerhedsniveau man har på etgivent tidspunkt, og hvilket niveauman rent faktisk ønsker, i forhold tilde midler man har til rådighed. Desu-den skal man lave en plan og en poli-tik for, hvordan sikkerhed skal imple-menteres, og hvordan den skalvedligeholdes. Vedligeholdelse er afsærlig betydning, fordi trussels-billedet hele tiden ændrer sig: Nyevira produceres og udbredes, nye

LED

ELS

E A

F IT-SIK

KE

RH

ED

18


huller i eksisterende systemer op-dages, og nye angrebsmetoder tages ianvendelse. Ledelse af IT-sikkerheder i høj grad et spørgsmål omforandringsledelse.

Ledelsen skal udforme virk-somhedens IT-sikkerhedspolitik. Detbør ikke ses som en sur pligt, men istedet som en mulighed for atbeslutte en retning og bevise bevidst-hed om – og prioritering af IT-sik-kerheden. Sikkerhed skal såledeskomplementere virksomhedens mis-sion og afspejle ønsket om at opererei et kontrolleret og sikkert miljø tilfordel for kunder og leverandører.

KonklusionIT-sikkerhed er et spørgsmål om atgive forretningen de bedste mulighe-der. Forhold, der vedrører forret-ningens muligheder, er altid enledelsesopgave. Dermed bliver IT-sikkerhed også et forhold, der skalhave ledelsens bevågenhed. Ledelsenskal være foregangsmænd for, atsikkerheden tages alvorligt i virk-somheden, og ledelsen skal beslutteog kommunikere de overordnede ret-ningslinier for virksomhedens IT-sikkerhed. Endelig skal ledelsensørge for, at virksomheden har enkontinuerlig fokus på sikkerheden.

IT-SIK

KE

RH

ED

FOR

FOR

RE

TN

ING

EN

S S

KY

LD19


LED

ELS

E A

F IT-SIK

KE

RH

ED

20

Hvad er IT-sikkerhed?

IT-sikkerhed kan være vanskelig atforholde sig til, fordi debatten ofteforegår på teknikernes præmisser ogmed tekniske ord, som man enten haren vag eller ingen forståelse af. Hvadbetyder for eksempel et virusangreb,hvad er en ”orm”, og hvorfor skalvirksomheden anskaffe en ”firewall”?Hvad er IT-sikkerhed egentlig?

Intuitiv forståelse af IT-sikkerhedMan kan illustrere sikring af virk-somheden og dens netværk som ethus beliggende på en vej. Huset/-virksomheden kan man få adgang tilvia en vej/netværket. Imidlertid harde fleste husejere sat en havelåge oget stakit om huset for at sikre, at ikkealle og enhver har adgang til deresgrund. Huset har også typisk en låspå døren. På samme måde skalnetværket sikres med en låge, somfrasorterer personer, der ikke umid-delbart har noget at gøre på husetsgrund. En sådan låge kan bl.a. væreen firewall med filter, som tillader no-gen at komme igennem, mens andreafvises. Desuden stoler man somregel ikke så meget på fremmedemennesker, at man med det sammebyder dem indenfor i sin stue. Påsamme måde skal man ikke bydehvem som helst indenfor på sit IT-sy-stem. En gæst, som er inviteret, vil

komme ind i huset, men måske ikkefå adgang til soveværelset. På sammemåde vil en person, som er blevettildelt adgang til netværket, få lov tilat komme ind og hente data på deservere eller dele af de servere, sompersonen har fået lov til. En ikke in-viteret gæst bliver afvist allerede vedhavelågen eller hoveddøren. En per-son, der har klædt sig ud som en in-viteret gæst, og som låser køkken-døren op, så andre kan komme ind adden vej (trojansk hest), skulle ogsågerne være sorteret fra allerede vedhavelågen. En inviteret gæst, som ersyg, og derfor kan smitte alle husetsbeboere (virus), skulle også gernevære sorteret fra ved havelågen.Skulle vedkommende alligevel fåadgang, er det godt at være vac-cineret, hvilket kan sammenlignesmed at have et anti-virusprogram. Vived også, at det ikke nytter noget kunat sætte en lås i hoveddøren. Ogsåbagdøren skal lukkes, låses og inde-holde de samme sikkerhedsforan-staltninger, som gør sig gældende vedhoveddøren.

Dørens lås kan illustreres ved, atdet kun er dem, som har nøgle tilfordøren, der kan komme ind dennevej. Dette svarer til, at man logger sigpå et netværk ved at anvende bruger-navn og password. Typisk vil manogså anvende en systemnøgle, som er


vanskelig at kopiere. Dette svarer til,at man sammensætter sin adgangs-kode af både bogstaver, tal og tegn, ogat man desuden kombinerer det medto-faktorprincippet: Noget i hovedetog noget i hånden. Man vil som regelheller ikke låne sin hoveddørsnøgleud til fremmede, hvilket svarer til, atman ikke bør give sit brugernavn ogpassword videre til fremmede men-nesker. Endelig låser man sin dør, nårman går hjemmefra. Dette svarer til,at man lukker og slukker sin compu-ter, når man går fra arbejde.

Mange mennesker er med i ennabo-overvågningsordning eller haranskaffet sig en tyverialarm. Detteskal give besked om uønsket besøg ihuset. På tilsvarende måde bør manlæse sine logfiler og investere i et ”In-trusion Detection System”, som viser,hvem der har besøgt IT-systemet. Vilægger som regel mærke til, hvad dersker i vores nærmiljø. Står der f.eks.en varevogn foran vores privat-adresse flere dage i træk, finder viofte grund til at være mere var-somme, fordi det kan indikere, atman er under observation med hen-blik på et senere indbrud. På sammemåde skal man også være opmærk-som på, hvad der sker på ens net, for-

di angreb på IT-systemet som regelkræver god forberedelse. De flestemennesker ved også, hvad de opbe-varer i skabe og kælderrum, og læg-ger mærke til det, hvis der pludseligstår en stor kuffert med hælervarer istøvsugerskabet. På samme mådeskal man være opmærksom på, hvorstor en andel af ens lagerkapacitet påserverens diske, der er til rådighed –og gribe ind, hvis det pludselig æn-drer sig. Hackere har nemlig ofte forvane at gemme deres hælervarer påfremmede virksomheders servere.

Vi kan forfølge dette billedeyderligere med andre eksempler fraden virkelige verden. En sammen-ligning mellem mail og almindeligpost kan også give et par gode pointerom, hvilke sikkerhedsovervejelserman bør gøre sig.

Det er ikke mange mennesker,som sender vittigheder eller billederpå deres virksomheds brevpapir. Detskyldes, at man ikke vil lave en asso-ciation mellem et sådant indhold ogvirksomhedens navn. På sammemåde bør man heller ikke sende vit-tigheder eller billeder via virksomhe-dens mail. Mail-adressen har nemlighelt samme associering til virksomhe-den, som dens brevpapir. Når man

HV

AD

ER

IT-SIK

KE

RH

ED

?21


modtager en uønsket reklame i sin fy-siske postkasse, skriver man normaltikke tilbage til afsenderen ellersender den uønskede reklame videretil andre. På samme måde bør manikke besvare eller videresende spam-og junk-mails. Endelig åbner mansom regel heller ikke ukritisk breveog pakker fra personer, man ikkekender, eller uden at de er sendt fraet postkontor. Dette svarer til, at manikke bør åbne vedhæftede filer frafremmede og heller ikke bør åbne filerdirekte fra internet.

Som det fremgår af ovenstående,er det let at lave analogier mellemden fysiske verden og den digitaleverden. IT-sikkerhed handler basaltset mere om sikkerhed og sund for-nuft, end det handler om IT-teknisketermer. Hvis man i den digitale ver-den bærer sig lige så fornuftigt ad,som erfaringen har lært én, at manskal gøre i den fysiske verden, ogsamtidig anvender en smule sundskepsis i forhold til de ting, man ikkekender til i den digitale verden, erman allerede kommet et langt stykkevej med sin IT-sikkerhed.

Eksempler på konsekvenseraf sikkerhedshændelserIT-sikkerhed har mange analogier iden fysiske verden. Men IT-sikkerheder trods alt stadig relateret til IT. Enanden måde at beskrive IT-sikkerhedpå er derfor gennem eksempler atbeskrive, hvad en virksomheds IT-systemer kan bruges til, hvis de ikkeer beskyttede. Hermed får man et

indtryk af, hvor langt det faktisk ermuligt at gå, hvis virksomheden ikkefår sat fokus på problemet og ikkedæmmer op for de trusler og afledtekonsekvenser, der ligger og lurer.

Hvis du ikke har nogen beskyt-telse, kan man bl.a. gøre følgende tingmed dine systemer:

> Man kan slette dine data.

> Man kan ændre dine data ogderved forfalske dine regn-skaber, dine priser eller dinetilbud til dine kunder.

> Man kan fjernstyre dine IT-systemer.

> Man kan udsende udtalelser idin virksomheds navn.

> Man kan bruge din hjemme-side til at agitere for politiske, religiøse eller seksuellesynspunkter.

> Man kan bruge dine IT-syste-mer til at angribe andrevirksomheders IT-systemer.

> Man kan lave økonomisketransaktioner i din virksomhedsnavn.

> Man kan lave omposteringer idit regnskab.

> Man kan stjæle virksomhedensaktiver gennem bankoverførslereller ved industrispionage.

Som disse eksempler viser, kan man,hvis virksomheden ikke beskytter sig,gøre helt det samme ved virksomhe-

LED

ELS

E A

F IT-SIK

KE

RH

ED

22


dens data, viden og informationersom den bruger, der har administra-tive rettigheder til virksomhedens IT-systemer. Der er derfor god grund tilat beskytte sig, og det man beskyttersig imod er bl.a., at ovenstående til-fælde kan opstå i virksomhedens IT-system.

Konklusionen er, at sikrer man sigikke på nogen måde, kan alt ske. Gørman til gengæld, hvad man kan, ogløbende reviderer sine sikkerhedspro-cedurer, kan hyppigheden og varighe-den af IT-sikkerhedshændelser mini-meres.

Definition af IT-sikkerhedData, informationer og viden er sam-men med medarbejderne de flestevirksomheders mest værdifulde ak-tiver og ressourcer. Man kan sige, atdet er det, som er lagret på computereog i medarbejdernes hoveder, derudgør virksomhedernes værdier.Bygninger, maskiner, råmaterialer oghardware betyder til stadighed min-dre og mindre i det samlede billede.Samtidig bliver skabelsen, anven-delsen og delingen af data, informa-tioner og viden hurtigere, mere kom-pleks og mere fleksibel. Dette vilforøge betydningen af disse aktiver ogressourcer fra dag til dag. Viden vilnu og i fremtiden være nøgleparame-teren for at få vækst og succes. Hvisdisse aktiver mistes helt eller delvist,kan det betyde et tab af konkur-renceevne, penge, omdømme og kun-der, hvorfor det er nødvendigt at sikredisse aktiver.

Sikkerhed indebærer, at man kanbeskytte data, informationer og vi-den. EU-kommissionen definerernetværks- og informationssikkerhedsåledes: ”Net- og informationssikker-hed kan således forstås som et netseller et informationssystems evne til,på et givet tillidsniveau, at modståuheld og ondsindede handlinger, derer til skade for disponibiliteten, au-tenciteten, integriteten og fortrolighe-den i forbindelse med lagrede ogtransmitterede data og de dermedforbundne tjenester, der tilbydes afeller er tilgængelige via dette net ellersystem.” (Se EUs rapport: ”Net- og in-formationssikkerhed: Forslag til eneuropæisk strategi”.) Det betyder pågodt dansk, at virksomhedens data ertilgængelige, når der er brug for det,at virksomheden kan stole på kor-rektheden af data, og at data kun ertilgængelige for netop de personer,som det er meningen skal haveadgang. Det er ledelsens ansvar atsikre, at netop dette til enhver tid gørsig gældende.

HV

AD

ER

IT-SIK

KE

RH

ED

?23


Definitionen kan uddybes som følger:

1. Disponibilitet/TilgængelighedData skal være tilgængelige og tje-nester funktionsdygtige på trodsaf mulige forstyrrende hændelser.

2. Autentificering/UafviselighedBekræftelse af en enheds ellerbrugers påståede identitet –herunder specificering af mu-ligheder for anonymitet.

3. IntegritetBekræftelse på, at de data, dersendes, modtages eller gemmes, erkomplette og uændrede.

4. FortrolighedBeskyttelse mod at kommunika-tion eller lagrede data opfanges oglæses af uautoriserede personer.

Vi vil i de IT-sikkerhedsmæssige an-befalinger i dette hæfte tage udgangs-punkt i sikkerhedsstandarden DS484-1, som kun specificerer punkt 1, 3og 4, idet punkt 2 må omfattes somværende en delmængde af punkt 4.

LED

ELS

E A

F IT-SIK

KE

RH

ED

24


TR

US

LER

OG

SIK

KE

RH

ED

SB

RIS

TE

R25

Trusler og sikkerhedsbrister

Beskyttelsen af virksomhedens akti-ver gennemføres ved at etableresikkerhedsforanstaltninger mod detrusler, der måtte være rettet mod ak-tivet. Hver eneste åbning i virk-somheden udgør en trussel. Den tra-ditionelle fysiske sikring er stadig ligeså vigtig, som den altid har været.Men hertil kommer, at virksomhe-derne er blev åbnet på nye måder iforbindelse med, at virksomhederneer blevet koblet på internettet og haretableret elektroniske netværk mel-lem samarbejdspartnere og mellemleverandører og deres kunder. Der erbehov for at sikre alle åbninger.

En trussel kan kun påvirke virk-somheden, hvis en sikkerhedsforan-staltning mangler, ikke er tilstrække-lig eller ikke virker. Hvis dette gør siggældende, er virksomheden sårbar ogrisikerer, at der indtræffer en sikker-hedshændelse eller rettere en sikker-hedsbrist. Det kan være vandskade iserverrummet, virusudbrud, hacker-angreb på netværket osv. Sikkerheds-foranstaltningerne skal forebygge,opdage eller minimere sikkerheds-bristerne og deres omfang.

Man kan gruppere truslerne ogsikkerhedsbristerne på mange måder.Vi tager udgangspunkt i truslerne ogsårbarhedernes art og har identifi-ceret tre typer:

> Bevidste handlinger af ansatteeller eksterne personer.

> Interne fejl og uheld.

> Eksterne forhold som virksom-heden ikke har indflydelse på.

I de følgende afsnit vil vi præsentereeksempler på trusler og sikkerheds-brister. Det skal bemærkes, at deforhold, der belyses her, ikke kan be-tragtes som en udtømmende listeover alle de trusler eller sikkerheds-brister, virksomheden står over for.

Bevidste handlingerBevidste handlinger kan foretages afeksterne personer i forhold til virk-somheden eller af en ansat i virk-somheden. Den konkrete handlingkan enten gennemføres ved hjælp afIT-netværket (logisk adgang) eller viaen fysisk adgang. En særlig type be-vidste handlinger rettet mod IT-


sikkerheden får ofte omtale i pressen.Her tænkes på bl.a. virus, orme oghacking, men også tyveri og ændringaf data.

> Opfangning af kommunikationEnhver form for elektronisk kom-munikation kan opfanges, og datakan kopieres, ændres eller slettes.Indgrebene kan ske på mangeforskellige måder, bl.a. ved fysiskadgang til netlinier i form af tap-ning og aflytning af kommunika-tion.

> Uautoriseret adgang til computere og computernetDer er mange måder, hvorpå derkan opnås uautoriseret adgang tilen computer og de data, der liggerpå den. Man kan bl.a. forsøge atfå adgang til og udnytte intern in-formation fra virksomheden, mankan udnytte, at folk ofte anvenderforudsigelige passwords og der-med forsøge at trænge ind ved atgætte på et sådant (brute force at-tacks) eller mere avanceret atgennemgå alle ord fra en ordbog(dictionary attacks), man kanforsøge at opfange adgangskoder,eller man kan prøve med socialmanipulation (social engineering),hvor man udnytter folks tendenstil at afsløre information overfortilsyneladende pålidelige men-nesker eller personer, der giversig ud for at have autoritet.

> Hærværkssoftware, derændrer eller ødelægger dataHærværkssoftware kan entenvære tilknyttet den bestemte computer, som de ligger på, ellersprede sig via netværk. De mestkendte typer, som jævnligt om-tales i dagspressen, er vira, lo-giske bomber, trojanske heste og orme. De mest udbredte i 2001var Anna Kournikova, Code Red,Nimda, Sircam, og Badtrans.

> IdentitetsforfalskningerIdentitetsforfalskninger opstår,når den ene part i en kommuni-kation ikke får kontakt til denpart, han forventede.

Fejl og uheldNetop fordi de bevidste handlinger ideres forskellige afskygninger ofte fårmere presseomtale end nogle af deandre trusler og sårbarheder, er deren tendens til manglende fokus pådriftens stabilitet. Men for at sikrevirksomhedens data, informationerog viden er det ikke nok blot at sikresig mod de meget omtalte trusler ogsikkerhedsbrister. Det drejer sig imindst lige så høj grad om at sikre enløbende stabil drift af systemerne vedat undgå hardwarefejl, manglendebackup, systemfejl, fejl i forbindelsemed transaktioner m.v.

LED

ELS

E A

F IT-SIK

KE

RH

ED

26


> Manglende eller uhensigtsmæssig fysisksikringEnhver samling af data, informa-tioner og viden bør både væresikret elektronisk og fysisk. Deter bl.a. en trussel, hvis aktiverneer samlet på et sted, hvis backupligger samme sted som de origi-nale aktiver, og hvis aktivernesplacering og kabelforbindelsernehertil ikke er sikret godt nok.

> Manglende operationelleprocedurerDriften er truet, hvis der ikkeforeligger operationelle procedu-rer for det daglige arbejde. Dettevil nemlig øge sandsynlighedenfor, at der sker driftsnedbrud. Derskal foreligge procedurer i form afberedskabsplaner, som specifiktangiver, hvordan der skal ageres,hvis uheldet har været ude, ogdriften er afbrudt helt ellerdelvist.

> Håndtering af flytbaredatamedierDatamedier, som let kan flyttes,udgør en særlig sikkerhedstrus-sel, simpelthen fordi man på korttid kan bortskaffe dem. På sammemåde udgør også forældet udstyr,der skal bortskaffes, en særligtrussel, fordi man ved bortskaf-felsen kan kassere anvendeligedata eller risikere, at de pågæl-dende data falder i de forkertehænder.

> Tests og nyt udstyrTest- og udviklingsområdet af envirksomheds IT-system kangenere – eller være en kilde tilusikkerhed i forhold driften af deteksisterende system. Nyt udstyr iform af nye computere eller nytsoftware kan også udgøre nyekilder til usikkerhed.

TR

US

LER

OG

SIK

KE

RH

ED

SB

RIS

TE

R27


Eksterne forholdDenne tredje type af trusler ogtilknyttede sårbarheder er noget afdet vanskeligste at sikre sig imod, for-di virksomheden ikke har nogen –eller kun har meget begrænset – ind-flydelse herpå. Disse kan bl.a. antageform af fejl eller mangelfuld indsatsfra operatørens eller tjenesteudby-deres side. Andre eksempler inklu-derer:

> Fejl fra tredjeparterFejl i leveret software eller hard-ware er en typisk årsag til sikker-hedsbrister. Det er derfor vigtigt,at virksomheden følger med i ud-viklingen og opsamler informa-tioner om, hvornår der er behovfor at foretage opdateringer. Deter også vigtigt, at virksomhedengør sig klart, om der eksisterer ogbør eksistere et kontraktligtforhold til tredjeparten

> NaturkatastroferNaturkatastrofer i form af f.eks.vind- og vandskade samt strømaf-brydelser kan også være årsagertil sikkerhedsbrister. Håndteringaf konsekvenserne af sådanneuheld skal være indeholdt i deberedskabsplaner, der er omtaltovenfor under ”manglende opera-tionelle procedurer”.

Særligt vedrørende personalemæssige forholdMange undersøgelser peger på, atdet er personalets anvendelse af IT-systemerne, som i virkelighedenudgør den største trussel mod virk-somhedernes IT-sikkerhed. Der kanderfor være særlig grund til atfremhæve personalet, selvom dennekategori egentlig er indeholdt i vorestre typer trusler og sikkerhedsbris-ter ovenfor.

Når den kendte I Love You –virus spredtes så hurtigt, skyldtesdet eksempelvis, at personalet alt formange steder dobbeltklikkede påden vedhæftede fil og derved mulig-gjorde den hurtige spredning. Dettekunne have været undgået, hvisvirksomhederne havde haft en IT-sikkerhedspolitik, der bl.a. specifi-cerede, at de ansatte ikke måttedobbeltklikke på sådanne filer (menselvfølgelig kunne problemet haveværet reduceret, hvis systemadmini-stratorerne havde været hurtige tilat opdatere virksomhedernes anti-virus-software). Vi kan i forhold tilpersonalets adfærd opridse neden-stående typer af trusler.

> Konsulenter og free lancereSom allerede nævnt stårvirksomhederne i dag over for enrække nye personaletyper. Fordet første er der free agents, derikke kan forventes at havesamme loyalitet overfor virk-somheden som fastansatte. Deresloyalitet vil først og fremmest

LED

ELS

E A

F IT-SIK

KE

RH

ED

28


være knyttet til de projekter, deløser for virksomheden. For detandet er der personalegrupper påvirksomheden, som er ansat afvirksomheder, der varetager out-sourcede opgaver. Begge dissepersonalegrupper har ikkesamme grund til at omgærdevirksomhedens data, informa-tioner og viden med samme gradaf forsigtighed og fortrolighedsom de fastansatte. Derfor mådisse grupper rejse speciellesikkerhedskrav.

> Ansættelsesforholdets forløbNye medarbejdere har altid bety-deligt mindre kendskab til envirksomheds IT-systemer endmedarbejdere, der har været ivirksomheden i lang tid. Nystar-tede medarbejderne kan derforlave fejl grundet uvidenhed.Trænede medarbejdere, der harsiddet og lavet rutineopgaver påvirksomhedens IT-systemer, vilofte have indarbejdet rutiner forat løse daglige opgaver. Rutinerhar det med at sløve folks be-vidsthed, og derfor kan rutine-præget arbejde bidrage til, at fejlopstår. Endelig kan der, hvis etansættelsesforhold afsluttes brat– og på baggrund af tvistighedermellem en ansat og virksomhe-den, være et incitament for med-arbejderen til at ødelægge ellerstjæle virksomhedens data, infor-mationer eller viden. De forskel-lige stadier i ansættelsesforhol-

det stiller derfor forskellige kravtil IT-sikkerheden i form af ud-dannelse, kontrol og procedurer.

> IT-afdelingens ansattePersonalet i IT-afdelingen skalsom regel – for at kunne udførederes arbejde på forsvarlig vis –have adgang til alle virksomhe-dens data, informationer og vi-den. Der er derfor et særligt be-hov for at fokusere på dennegruppe og sikre, at de ikke begårfejl. Det gælder især, hvis én per-son har rettigheder til at udføreforretningskritiske opgaver.

> Oplysning og sanktionerMængden af – og risikoen for –fejl reduceres betydeligt, nårmedarbejderne oplyses om,hvilke spilleregler der gør siggældende på virksomheden iforhold til anvendelse af IT-ud-styret.

> Truslen indefraDer er god grund til at sikre sigmod hændelser iværksat afmedarbejderne indefra, idet deenten utilsigtet eller med ondehensigter kan have ret let ved atødelægge eller stjæle data, infor-mationer og viden, som er vitalefor forretningens drift.

TR

US

LER

OG

SIK

KE

RH

ED

SB

RIS

TE

R29


KonklusionDer er tre hovedkilder til IT-sikker-hedsbrister, og det er: Bevidste hand-linger, fejl og uheld samt eksterneforhold. Alle virksomheder bør nøjeoverveje, hvilke trusler disse tre ho-vedkilder kan udgøre for netop deresvirksomhed og desuden særskilt væresærligt opmærksomme på de perso-nalemæssige forhold. Vi har ovenforgivet nogle eksempler på de typer afrisici, som de tre kilder til usikkerhedkan bidrage med. Inden for hver afdisse tre hovedkilder kan man, som vihar gjort ovenfor, påpege typer af fejl(f.eks. hærværkssoftware), der såfinder deres udslag i konkrete sikker-hedsbrister med konsekvenser (f.eks.

bestemte virus). Vi går mere i dybdenmed disse sikkerhedsbrister i hæfte 2,i denne serie.

Inden for hver enkelt hovedkildeaf fejl sker der desuden en løbendeudvikling, dels fordi der er forøgetrisiko for skader som følge af, at flereog flere følsomme data og økonomiskværdifulde oplysninger bliver elektro-niske og bliver transmitteret overnettet, og dels fordi der hele tiden ud-vikles nye trusler. Derfor er IT-sikker-hed et dynamisk spørgsmål, somløbende skal evalueres i forhold til,hvad der opstår af nye trusler og iforhold til den konkrete virksomhedsrisikoprofil.

LED

ELS

E A

F IT-SIK

KE

RH

ED

30


HV

AD

KA

N LE

DE

LSE

N G

ØR

E31

Hvad ledelsen kan gøre

Ledelsen skal naturligvis ikke brugetid på at sætte sig ind i en masseteknik og praktisk udførelse af imple-menteringen af IT-sikkerhed. Ledel-sens opgave er at igangsætte en pro-ces, at stille de rigtige spørgsmål og atsørge for, at IT-sikkerheden kører pådet rette spor i virksomhedens for-skellige funktioner. Ledelsens forholdtil IT-sikkerheden bliver derfor mererettet mod processen med at indføreog vedligeholde IT-sikkerhed end medat beskæftige sig med det egentligeindhold. Derfor er det vigtigt, atledelsen får kendskab til, hvad det erfor en proces, virksomheden skaligennem, og hvilke stadier denne pro-ces indeholder.

Generelt kan man sammenligneetableringen af en sikkerhedsløsningmed implementering af enhver andeninformationsteknologi. Som altidgælder det om at finde ud af, hvordanteknologien bedst kan anvendes til atunderstøtte og udvikle virksomheden.Det er nødvendigt at se på ”samspilletmellem teknologiens potentiale, virk-somhedens mission, arbejdets orga-nisering og forudsætningerne hosvirksomhedens medarbejdere og lede-re”1. Hvordan dette gøres i praksis,

1) Teknologisk Institut: ”IT og organisationsudvikling – En håndbog om menneskelige og organisatoriske udfordringerved IT-implementeringer”, 2000.

2) Forlaget FSR, 1999: God IT-skik – Et ansvar for ledelse og organisation.

kan man læse mere om i hæftet, GodIT-skik2. Dette hæfte giver virk-somhedens øverste ledelse et værktøjtil at analysere, beslutte og plan-lægge, implementere og følge op påvirksomhedens IT-anvendelse i hen-hold til god IT-skik.

De mest gennemarbejde ret-ningslinier for IT-sikkerhed i danskevirksomheder findes i Dansk Stan-dards: ”Norm for EDB-sikkerhed”,DS484. Denne standard er imidlertidudarbejdet netop således, at den er


målrettet mod de specielle funktioneri virksomheden fremfor mod proces-sen at indføre og vedligeholde IT-sikkerhed. Normen udgør dermedindholdet af IT-sikkerhed uden at senærmere på processen, hvorfor den eraf mindre betydning ud fra entopledelses perspektiv. Normen erimidlertid anbefalelsesværdig læs-ning for alle, som skal indføre IT-sikkerhed, fordi den er en fremra-gende kilde til inspiration. I hæfte 3,hvor vi detaljeret gennemgår, hvor-dan virksomhederne skal forholde sigtil IT-sikkerhed, bygger vi netop pådenne norm. I den nærværende sam-menhæng vil vi fokusere på processenat indføre og vedligeholde IT-sikker-hed og så bruge normen som inspira-

tion til nogle af de overvejelser, manskal gøre sig på de enkelte stadier un-dervejs.

Virksomheden skal typisk igen-nem seks faser, når der skal indføresIT-sikkerhed. Faserne er relevantebåde i det tilfælde, hvor virksomhe-den selv vil i gang med at indføre IT-sikkerhed og i det tilfælde, hvor manskal have eksterne konsulenter til atudføre arbejdet. Hvis virksomhedenselv laver analysen, kan den gå fremefter modellen. Hvis virksomhedenbenytter eksterne konsulenter, bru-ges modellen til at få en idé om, hvadkonsulenterne vil spørge virksomhe-den om, og hvilke spørgsmål virk-somheden skal stille dem. De seksfaser fremgår af nedenstående figur:

LED

ELS

E A

F IT-SIK

KE

RH

ED

32


Målsætning for sikkerhedenDet første ledelsen skal gøre er heltoverordnet at tage stilling til, hvadformålet med sikkerheden skal være,hvad det er, der skal sikres, og hvilkekrav sikkerheden skal leve op til. Detbetyder, at ledelsen skal udstikkenogle overordnede retningslinier forarbejdet med IT-sikkerhed i virk-somheden. I praksis behøver virk-somheden blot udarbejde et en-sidesnotat med de helt overordnede beslut-ninger. Det er til gengæld af afgørendebetydning, at der er enighed om ind-holdet, og at det er funderet på virk-somhedens værdier og i tråd med

virksomhedens forretningsmæssigemålsætning, da dette notat bliverrettesnoren for de senere faser.

I denne første fase skal virksomhe-den gennemgå følgende punkter:

> Hvad er formålet med at lave en IT-sikkerhedspolitik?

– Formålet med sikkerheds-initiativerne skal nedskrives.

– Formålet skal ses i relation tilvirksomhedens værdier ogforretning.

> Hvilke typer aktiver vil virksomheden sikre?

– Eksempler kan være produktions-miljøet, udviklingsmiljøet, lagrededata o.a.

> Hvilke overordnede krav skalsikkerheden leve op til?

– Lovgivning.– Branchespecifik regulering eller

adfærdskoder.

HV

AD

KA

N LE

DE

LSE

N G

ØR

E33


SikkerhedsanalyseNår de overordnede retningslinier erpå plads, skal virksomheden fore-tage en sikkerhedsanalyse, der hartil formål at kortlægge, hvor der erbehov for at sætte ind med IT-sikker-hedsinitiativer. Virksomheden skalderfor i relation til sine egne syste-mer have kendskab til forhold som:Hvilke IT-systemer har virksomhe-den, hvilke af disse er kritiske for for-retningens drift, hvilke trusler kanvirksomheden blive udsat for, hvorstor er virksomhedens sårbarhed,hvad er de mulige konsekvenser afen sårbarhed, hvordan sker den bed-ste informationsbehandling underhensyn til virksomhedens strate-giske, operationelle, konkurrence-mæssige og sikkerhedsmæssige mål,

og hvilke lovbestemte og kontraktligeforpligtelser skal virksomheden ho-norere.

Det betyder, at der skal udarbej-des en overordnet risikovurdering –også kaldet en sårbarhedsanalyse.Risikovurderingen lister de reelletrusler, virksomhedens anvendelseaf IT stiller virksomheden overfor,vurderer hvilke konsekvenser ensikkerhedshændelse vil have forvirksomheden og angiver, hvor sår-bare virksomhedens aktiver er iforhold til hver enkelt relevanttrussel. Ved vurderingen af kon-sekvenserne er det vigtigt, at virk-somheden både opgør de kvantita-tive omkostninger i form af indkøb afudstyr, retablering af systemerne,indrapportering af tabte informa-tioner osv. og de kvalitative omkost-ninger i form af eksempelvis tab affortrolighed. På den måde kan manestimere, hvad det koster virk-somheden, hvis en bestemt hændelseindtræffer. Virksomhedens risikobliver dermed en funktion afsandsynligheden for, at en uønskethændelse sker og omfanget af kon-sekvenserne. På denne måde kanman for hver enkelt hændelse fore-tage beregningen:

LED

ELS

E A

F IT-SIK

KE

RH

ED

34

Sandsynlighed for athændelsen optræder

Konsekvenser i form af tab hvis hændelsenindtræder

Estimeret tab ved trussel i form af hændelsen

= X


Det estimerede tab kan dermed giveen indikator for, hvor meget der skalinvesteres i at indføre en sikkerheds-foranstaltning. Hvis man når frem til,at virksomheden kun risikerer småtab i det tilfælde, de reelle hændelserindtræffer, behøver man ikke at fore-tage sig yderligere. Men når manfrem til, at de tab, som virksomhedenrisikerer at møde, er store, er det nød-vendigt at foretage korrektive han-dlinger i forhold til IT-systemerne. Idette tilfælde kan det være relevantat foretage yderligere og mere detal-jerede analyser af IT-systemerne.

Denne fase består af under-søgelser, og der skal altså kun ind-samles informationer og laves be-skrivelser – der skal ikke laves æn-dringer på systemet.

I praksis skal man i denne fasegennemgå følgende punkter:

> Hvilke systemer og aktiver ervirksomheden i besiddelse af?

– Lav liste over typer af IT-systemer – typisk servere,netværk, databaser og klienter.

– Lav liste over aktiver i form afdata, viden og informationerplaceret på IT-systemer.

– Bestem ovenståendes betydningfor forretningen og opdel, hvisbehovet er der, systemer ogaktiver i kategorier efter deresbetydning for forretningen.

> Har IT-systemerne præcis denbetydning de er tiltænkt?Der er ingen grund til at laverisikoanalyse på forhold, der alli-gevel ikke er, som de skal være.Derfor skal virksomheden indled-ningsvis vurdere, om en rækkeforhold er indrettet på en sådanmåde, at IT-systemernes opsæt-ning er maksimeret i forhold tilforretningens drift og underbetingelse af maksimering af IT-sikkerheden.

– Er forbindelsen til omverdenen,som den skal være, eller er dernoget, der kan lukkes?

– Er der behov for at omlægge visseforbindelser fra én teknologi til enanden?

– Hvordan anvendes systemerne afvirksomhedens ansatte og andreeksterne parter?

– Har IT-systemerne den kapacitet,de skal have, eller står man foranen udvidelse?

– Har de rette personer adgang tilpræcis det, de skal have adgangtil for at kunne udføre deresarbejde, eller er der noget, derkan lukkes?

– Hvilke åbninger er der behov for iforhold til eksterne samarbejds-partnere?

– Hvem har ansvaret for de enkeltesystemer, de enkelte applikatio-ner og virksomhedens data,informationer og viden?

– Er ansvaret for sikkerheden irelation til ovenstående placeret?

– Er den fysiske sikring god nok?

HV

AD

KA

N LE

DE

LSE

N G

ØR

E35


> Hvilke trusler står virksomheden overfor?

– Vurder hvilke trusler i form afbevidste handlinger (bl.a. virus),interne fejl og uheld (bl.a. back-upog nødstrøm) og eksterne forhold(bl.a. naturkatastrofer),virksomheden står overfor.

– Kombiner listen over trusler medlisten over IT-systemer og fådermed en liste over konkrete IT-sikkerhedshændelser, der kanramme virksomheden.

– Estimer for hver hændelsesandsynligheden for, at den kanindtræffe – tag evt. udgangspunkti erfaringen eller kendt statistikpå området.

– Disse punkter kan i praksis ud-møntes i, at virksomheden opstil-ler følgende matrice og indskriverhændelserne med tilknyttedesandsynligheder:

> Hvilke konsekvenser harhændelserne?

– Vurder hvilke konsekvenser hverhændelse har og opgør konse-kvenserne i målbare enheder –f.eks. kroner.

– Husk at listen skal inkluderedirekte tab i form af f.eks.ødelagte data og indirekte tab if.eks. tab af troværdighed.

> På hvilken måde har virksomheden allerede sikret sig?

– Lav en liste over de sikrings-foranstaltninger, der allerede eriværksat.

– Relater listen til de enkeltehændelser.

LED

ELS

E A

F IT-SIK

KE

RH

ED

36

Risici Bevidste handlinger Interne fejl og uheld Eksterne forhold

Server(e)

Netværk

Database(r)

Klient(er)

IT-system


> Hvilke nye initiativer er der behov for?

– Sammenhold listen over aktiver,som skal beskyttes, med listenover allerede beskyttede aktiver.

– Vurder om de aktiver, der alleredeer beskyttet, er beskyttet til-strækkeligt.

– Find ud af, hvordan ubeskyttedeaktiver kan beskyttes.

– Find prisen på de nyebeskyttelsesforanstaltninger.

– Vurder denne pris i forholdaktivernes værdi.

– Beslut hvilke nye sikkerheds-foranstaltninger, der er behov for.

En risikoanalyse handler altså basaltset om at få sat beløb på, hvad det vilkoste, hvis en bestemt hændelse ram-mer en bestemt type IT-system, omhvad det vil koste at sikre sig imodden pågældende hændelse og endeligom at træffe beslutninger vedrørendehvilke sikkerhedsinitiativer, der skaltages.

Risikoanalysen skal altså ses somet redskab til at forsøge at kvantifi-cere usikkerheden og omsætte den tiløkonomiske termer for virksomhe-den. En sådan kvantificering sikrer,at virksomheden får mest muligt udaf de penge, som den investerer i sinIT-sikkerhedsløsning. Formålet er, atpengene bruges på netop de løsninger,som vurderes at give mest mulig sik-kerhed for den konkrete virksomhed iforhold til, hvad denne virksomhed vilacceptere af usikkerhed i forhold tilnetop denne virksomheds risikoprofil.

I praksis vil en risikoanalyse værelangt mere omfattende, end det ervist ovenfor og afhængigt af, hvorgodt virksomheden på forhånd hardokumenteret sine systemer, må manogså regne med, at det kan tage no-gen tid at få lavet analysen. I forholdtil den ledelsesstrategiske beslutninger det imidlertid tilstrækkeligt at fåkortlagt ovenstående punkter.

SikkerhedspolitikSom en del af de overordnede ret-ningslinier er det nødvendigt at udar-bejde en IT-sikkerhedspolitik. Grun-den til at lave en egentlig politik er, atvirksomheden overordnet har brugfor at få fastlagt det ønskede IT-sikkerhedsniveau og de nødvendigeorganisatoriske rammer – herunderansvarsplacering, udformning af kon-troller, regler, procedurer og sikrings-foranstaltninger.

Politikken skal både være strate-gisk og operativ. Formålet med dennepolitik er at offentliggøre den for allemedarbejdere og få deres bindendetilsagn til politikkens indhold. Poli-tikken skal sikre, at medarbejderne idet daglige efterlever de pågældende

HV

AD

KA

N LE

DE

LSE

N G

ØR

E37


spilleregler og er bekendte med kon-sekvenserne af ikke at gøre det. Detskal sandsynliggøres, at medarbej-derne er bekendte med indholdet afpolitikken, og den letteste måde at fådette sandsynliggjort er at ved at ladedem skrive under på, at de har læst,forstået og vil efterleve politikken.Denne politik bør indeholde:

> En definition af IT-sikkerhe-den og dens overordnede mål og omfang

– Definition af IT-sikkerhed.– Forklaring af IT-sikkerhedens

betydning for virksomhedensforretning.

– En beskrivelse af politikkensforankring i virksomhedensværdier og målsætning.

– En beskrivelse af hvilkestyringsprincipper, der ligger tilgrund for IT-sikkerheden.

– Politikkens gyldighedsperiode.

> Krav om overholdelse af udefra kommende forpligtelser

– Specificering af, at politikkenlever op til regulering og lovgiv-ning – bl.a. i forhold til ophavsretog programlicenser samt person-henførbare data.

– IT-sikkerhedsforhold i relation tileksterne parter.

> Krav til beskyttelse,overvågning, uddannelse og beredskabsplaner

– Specifikation af den ansattesrettigheder og pligter i forhold tildet IT-udstyr, som virksomhedenstiller til rådighed for medarbej-deren, og af at disse altid børvære bestemt af det arbejde, derskal udføres.

– Specifikation af, at adgang tildata, information og viden kunsker efter autentificering og medfortrolighed.

– Specifikation af, hvem der harhvilke adgangsrettigheder, oghvilke procedurer de skal følge.

– Specifikation af, at data, infor-mation og videns integritet ogdisponibilitet sikres gennem IT-sikkerhedspolitikken.

– Beskrivelse af de fælles kontrollerog sikringsforanstaltninger, somskal implementeres uafhængigt afanvendt teknologi.

– Henvisning til eksistensen af ensikkerhedshåndbog, som giveseller stilles til rådighed for allemedarbejdere.

– Specifikation af, hvilken træning iIT-sikkerhed medarbejderne skalhave for at være opmærksommepå sikkerhed.

– Gældende procedurer på det ope-rationelle niveau for de enkelteliniefunktioner.

LED

ELS

E A

F IT-SIK

KE

RH

ED

38


> BeredskabsforholdAnsvarsfordeling, herunder:

– Hvem politikken gælder for.– Ledelsen har det øverste ansvar.– Ansvarsfordeling for den øvrige

del af virksomhedens personale –herunder især, hvem der har detdaglige ansvar for IT-sikkerheden.

– Hvem der autoriserer en netfor-bindelse.

– Hvem der er ansvarlig for sik-kerheden.

– Ansvarsfordeling i forhold tilorganisationens forskelligeniveauer og linier.

– Hensigt om funktionsadskillelsesåledes, at spredning af hændel-ser forbygges og konsekvenserbegrænses.

– Hensigt om at sikre sig uafhæn-gighed af enkeltpersoner.

> Krav til en løbende ajour-føring af den overordnederisikovurdering

– Procedurer for udvikling,vedligeholdelse og test af IT-sikkerhedsinitiativer.

– Udvikling af standarder tilunderstøttelse af politikken.

– Understregning afnødvendigheden af rapporteringaf mistanke om sikkerheds-krænkelser.

– Specifikation af, at alle brud påsikkerhed registreres ograpporteres til den sikkerheds-ansvarlige.

– Specifikation af, hvordanafrapportering skal finde sted.

> En beskrivelse af hvordanpolitikken skal implementeres,håndhæves og vedligeholdes

– Bevis for at medarbejderne erblevet informeret om hvilkehandlinger, der er acceptable, oghvilke der ikke er.

– Konsekvenser for medarbejderne.

Selv om dette måske ser omfattendeud, skal denne operative del af IT-sikkerhedspolitikken i praksis kunvære et par sider, således at allemedarbejderne kan huske og efter-leve den. Hvis virksomheden vurde-rer, at det ikke er muligt at reduceredenne politik til et par sider, kan virk-somheden på baggrund af denoverordnede strategiske politik udar-bejde en mere operationel politik, somhver enkelt medarbejder præsenteresfor. Dette kan være relevant, fordiman så kan blive helt konkret iforhold til den specifikke ansvar-lighed, som man ønsker medarbej-derne skal leve op til. Man kankonkretisere, hvad der er tilladt ogforbudt i forhold til f.eks. anvendelseaf virksomhedens mail, anvendelse afinternet og specielle forhold i for-bindelse med mobile arbejdspladsereller hjemmearbejdspladser.

HV

AD

KA

N LE

DE

LSE

N G

ØR

E39


Under alle omstændigheder er detutroligt vigtigt at få kommunikeretpolitikken ud til medarbejderne, fordidisse er den primære kilde til IT-sikkerhedshændelser. Man får kun ensikker virksomhed ved, at alle medar-bejdere passer på IT-systemerne. Forat sikre dette er det nødvendigt medstor åbenhed og tydelig og synlig pri-oritering af området fra ledelsensside. En af metoderne til dette ervirksomhedens IT-sikkerhedspolitik.

SikkerhedsdesignPå det næste trin er der behov for atfå designet en sikkerhedsløsning. Idenne fase skal man derfor beskrive,hvordan systemet skal sættes op –herunder skal ændringer af eksi-sterende systemer beskrives og devedtagne sikkerhedsinitiativers pla-cering på systemet. Opgaven gårsåledes ud på at skabe dokumenta-tion for hele systemet, som det skal seud, når de første fire faser er gennem-løbet. Nødvendigheden af denne faseskyldes, at det er vigtigt at doku-mentere alle de handlinger, der ved-rører systemet, således at man til en-

hver tid let kan se, hvad det er manhar gjort, og hvad det er for overvej-elser, der ligger bag. Dette vil gøre desenere faser lettere og reducere mu-ligheden for fejl på langt sigt.

I denne fase skal man derfor gen-nemgå følgende punkter:

> Har virksomhedentilstrækkelig dokumentation?Der skal skaffes dokumentationfor alle IT-systemers anvendelses-område, drift, sikring og ansvar.Alle procedurer i tilknytning tilvirksomhedens IT-system skaldokumenteres – f.eks. hvem tagerback-up, hvornår tages back-up,hvordan opbevares back-up bånd,og hvordan testes at back-up varsuccesfuld.Der skal også være procedurer for,hvad der skal ske i forhold tilsikkerhedsinstallationerne – f.eks.beredskabsplaner i forhold til hverhændelse, samt hvor ofte og afhvem opdateres virus-scanneren.

> Er der dokumentation for desikkerhedsinitiativer, somsenere skal implementeres?

– Lav planer for implementering afny sikkerhedsforanstaltninger.

– Lav planer for lukning af servicesog nedtagning af programmer oghardware, som sikkerhedsana-lysen viste var unødvendige.

– Lav planer for adgang til de for-skellige faciliteter til netværket.

LED

ELS

E A

F IT-SIK

KE

RH

ED

40


> Er der overblik overnetværket i virksomheden ogservices fra leverandøren?Virksomhedens eget netværk skalsikres qua de beslutninger, derblev taget under sikkerhedsanaly-sen.Forholdet til internetleverandø-ren skal afklares:

– Hvad er udbyderens erfaringerinden for den type virksomhed,som du selv driver?

– Hvilke tidligere opgaver harvirksomheden udført?

– Har udbyderen erfaring fralignende sager?

– Har udbyderen nogle kunde-referencer, som der kan henvisestil?

– Skal virksomheden have flerelinier til omverdenen, så man ersikret kommunikation i de til-fælde, hvor den ene linie svigter?

Andre leverandører skal ligeledesvurderes – bl.a. i forhold til:

– Kan leverandøren blive imarkedet?

– Vil leverandøren lave nye ogopdaterede versioner afproduktet?

– Kan leverandøren leveredokumentation til produktet?

– Kan leverandøren opfyldebetingelser om leveringstid ogsupport?

> Er de nødvendigekompetencer til stede?

– Sikkerhedsanalysen skulle haveklargjort hvilke kompetencervirksomheden har brug for –enten som fastansættelse eller iform af konsulentbistand. Itilfælde af fastansættelse skal derudarbejdes jobbeskrivelser, ogsikkerhedscertificering skalafklares.

– Virksomheden må ikke gøre sigafhængig af én personskompetencer.

– Virksomheden skal tage særligehensyn til IT-personalet, der somregel har adgang til alle data,informationer og viden i virksom-heden og dermed udgør en særligtrussel.

– Det skal sikres, at virksomhedenspersonale løbende trænes ivirksomhedens IT-sikkerhed.

> Er der tilstrækkelig adskillelsei virksomheden?

– Det skal sikres, at virksomhedenstest af fremtidige systemer erisoleret fra driftsmiljøet, såledesat driften ikke påvirkes negativtaf testsystemerne.

– Virksomhedens kritiske IT-funktioner må ikke udføres af énperson alene, da dette øgerrisikoen for fejl.

HV

AD

KA

N LE

DE

LSE

N G

ØR

E41


Sikkerhedsdesignet er således envelovervejet beskrivelse af de syste-mer, procedurer og sikringsforan-staltninger, der til enhver tid skalgøre sig gældende for virksomheden.

Implementering og testVirksomheden har nu på baggrund afen analyse af behov fastlagt et sikker-hedsdesign og en IT-sikkerhedspolitikog er dermed klar til at implementerede initiativer, der er skitseret somværende nødvendige. Om selve imple-menteringen er der ikke meget at sigeandet end, at den skal foretages afkompetente personer, og at der skalvære et beredskab klar, hvis nogetgår galt.

Men i tilknytning til implemen-teringen kan vi bemærke nogleforhold, som er specielt vigtige. Nårde vedtagne sikkerhedsforanstalt-ninger skal implementeres, er det afafgørende betydning, at der er en be-tydelig grad af styring. Det skullederfor gerne være fastlagt i deforegående strategier, hvem der haransvar for hvad, hvordan degenerelle retningslinier omsættes til

praksis, hvem der foretager ogovervåger den løbende opfølgning ogendelig, hvem der vurderer nyetrusler og sårbarheder samt bringerdisse til ledelsens kendskab og tilajourføring i den overordnede risiko-vurdering. Det personlige ansvar forsikkerheden på alle niveauer i orga-nisationen skal med andre ord værefastlagt og bruges i forbindelse medimplementeringen.

Sikkerheden kan styres på tomåder. I det ene tilfælde kan ledelsenstyre sikkerheden på baggrund afindstillinger og opfølgningsrapporterfra en udpeget sikkerhedskoordina-tor. I det andet tilfælde kan det værenødvendigt at nedsætte en tværfunk-tionel gruppe af ledelsesrepræsen-tanter til at styre sikkerhedsområdet.Som støtte for dette arbejde bør derudarbejdes et sikkerhedsstyringssy-stem, som udgør den organisatoriskestruktur med tilhørende ansvars-fordeling, procedurer og metoder så-ledes, at der kan gennemføres risiko-vurdering, målfastlæggelse, gennem-førelse, overvågning og opfølgning ien tilbagevende cyklus.

I praksis foregår arbejdet medsikkerhedsimplementeringen ved atfølge nedenstående punkter:

LED

ELS

E A

F IT-SIK

KE

RH

ED

42


> Har virksomheden etberedskab?

– Virksomheden skal styre imple-menteringen af IT-sikkerhed.

– Virksomheden skal haveberedskab klar, hvis noget gårgalt under implementering.

– Virksomheden skal også ialmindelighed have et beredskabtil at håndtere IT-sikkerheds-hændelser.

> Er der fastlagt procedurer for løbende udvikling?

– Ansvaret for implementering afIT-sikkerhed skal være fastlagt.

– Ejerskabet af virksomhedens IT-aktiver skal være fastslået.

– Hver ejer fastlægger bruger-privilegier og registrerer, styrerog overvåger tildelingen oganvendelsen af privilegier.

– Hver ejer skal dokumenterehvilke sikringsforanstaltninger,der beskytter aktivet, hvilkeregler ejeren og andre skal følgefor, at sikringen fortsat ereffektiv, og hvorledes der skalfølges op med kontrolforanstalt-ninger.

– Der etableres fra ledelsen engodkendelsesproces, som sikrer,at installation af nyt hard- ogsoftware ikke skader eksiste-rende installationer og lever optil den vedtagne sikkerheds-politik.

> Er virksomhedens IT-systemer offentligt udstillet?

– Udveksling af information omvirksomhedens IT-systemer ogsikkerhed skal begrænses mestmuligt.

– Det skal på ledelsesplan besluttesi hvilket omfang, gennem hvem –og hvordan udveksling afinformationer med andreorganisationer skal foregå.

> Anvender virksomheden sine logfiler?

– Der skal udarbejdes procedurer,som sikrer, at logfiler altid læses.

– Der skal udarbejdes procedurer,som angiver hvilke initiativer, derskal iværksættes, hvis en logviser tegn på en IT-sikkerhedshændelse.

> Er virksomheden forsikret?Ledelsen skal påtænke at forsikresig mod trusler, som man ikkeumiddelbart kan sikre sig imod,eller som det ikke er rentabelt atsikre sig imod. Der er en masseforhold, virksomheden skal væreopmærksom på, når det kommertil forsikringer. Eksempelvis kræ-ves det ofte, at der skal være tegnpå indbrud, før forsikringendækker. Men er der tale om tyveriaf data, kan det være vanskeligtat se sådanne tegn. Man kanf.eks. ikke se, om en medarbejderhar taget en kopi af en database,og hvis man ikke gennemgår sinelogfiler, finder man ikke ud af, at

HV

AD

KA

N LE

DE

LSE

N G

ØR

E43


en cracker måske har stjålet vi-tale forretningshemmelighederfra virksomhedens servere.

> Har virksomheden taget stilling til eksterne partneres IT-sikkerhed?Forholdet til samarbejdspartnereskal ses i IT-sikkerhedsmæssigtlys. Partnernes adgang til virk-somhedens systemer kan væreomgærdet med usikkerhed, fordipartnerne måske ikke håndtererIT-sikkerhed på et tilstrækkeligtforsvarligt grundlag. Den forret-ningsmæssige vurdering af behovfor adgang mellem to virksomhe-der bør derfor suppleres af enrisikovurdering. Hvis dennerisikovurdering viser, at der risikoforbundet med partnernes ad-gang, skal udvekslingen af infor-mationer baseres på en kontrakt,hvoraf det skal fremgå, at beggeparter er enige i risikovurderin-gens konklusioner og referere desikkerhedskonditioner, der erknyttet til virksomhedens politikfor IT-sikkerhed.

> Foretages der løbendemålinger og tests afvirksomhedens IT-sikkerhed?Når den ønskede standard forsikkerheden er nået, testes resul-tatet. Testen har til formål atidentificere og dokumentere desårbarheder, som er kendt påtestens tidspunkt samt efterføl-gende pege på, hvilke sårbarhederder evt. skal afhjælpes. Der ermange forskellige typer af tests,og hvilke der skal anvendes berordels på leverandøren af IT-sikker-hedsløsninger, og dels på hvilkebehov virksomheden har. Virk-somheden bør i sin IT-sikkerheds-politik tilføje, at sådanne testsogså skal foretages, når der gen-nemføres ændringer i systemetskonfiguration. Ledelsen skal påse,at der periodisk vurderes, om devedtagne retningslinier i praksisgennemføres, og om der er behovfor revision. I den forbindelse skalder mindst én gang om året skeen gennemgang af de doku-menterede indtrufne hændelser.

LED

ELS

E A

F IT-SIK

KE

RH

ED

44


En løbende udfordringDer kommer hele tiden nye truslermod virksomhedernes IT-systemer,ligesom der hele tiden findes nyehuller i virksomhedernes eksiste-rende software. Yderligere udvidervirksomhederne også jævnligt deresIT-systemer med nye typer hard- ellersoftware. Selvom man har efterlevetovenstående model, kan man derforikke føle sig sikker meget mere end etpar timer efter at hele projektet eroverstået. Derfor er det nødvendigt atforetage de ovenfor omtalte tests afvirksomhedens sikkerhed løbende ogeventuelt at have en fast aftale meden leverandør af IT-sikkerhed om op-datering og gennemgang af syste-merne eller at have en ansat blandtsit personale, som tager sig af sikker-heden og sørger for løbende atovervåge systemerne. I det omfangsikkerhedsforholdene ændres bety-deligt, er det nødvendigt at gennemgådenne model igen.

For at sikre at virksomhedenløbende kan føle sig sikker og undgåkompromittering af sin IT-sikkerhed,er det nødvendigt at følge neden-stående punkter:

> Har virksomheden procedurer,som sikrer, at IT-sikkerhedenaltid er opdateret?

– Virksomheden bør modtageopdateringer fra sineleverandører.

– Virksomheden bør haveprocedurer, som sikrer, atopdatering faktisk fortages.

– Virksomheden bør følge ogovervåge udviklingen indenfor IT-sikkerhed – eller få en leverandørtil at varetage denne opgave.

– Tests af virksomhedens IT-udstyrs evne til at modstå angrebog fejl.

> Har virksomheden procedurerfor indførelse af nyt udstyr?Virksomheden bør adskille test-områder og driftsområder.Virksomheden skal have proce-durer i forbindelse med indførelseaf nyt udstyr.

– Tests af samspillet mellem nyt ogeksisterende udstyr.

– Fordeling af ejerskab af nytudstyr.

– Opdatering af politikker ogeksisterende procedurer vedindførsel af nyt udstyr.

– Virksomheden bør også haveprocedurer for løbende skrotningaf udstyr, således at dette udstyrikke kan anvendes til at aflureinformationer om virksomheden.

HV

AD

KA

N LE

DE

LSE

N G

ØR

E45


IT-sikkerhed er af stor betydning forevnen til at drive forretning og er der-for en ledelsesopgave. Som et absolutminimum skal ledelsen sikre følgende:

LED

ELS

E A

F IT-SIK

KE

RH

ED

46

Checkliste

> Ledelsen skal kommunikere sinholdning om IT-sikkerhed ud til medarbejderne i form af enIT-sikkerhedspolitik.

> Skab en sikkerhedskultur ivirksomheden gennemuddannelse og opmærksomhed.

> Ledelsen skal sørge for, at derudpeges en person, som ko-ordinerer virksomhedens IT-sikkerhedsinitiativer, og som sikrer, at virksomheden har fokus på problemerne.

> Virksomheden skal tage back-up.

> Virksomheden skal haveinstalleret antivirussoftware,som opdateres løbende.

Disse praktiske ting vil automatiskblive nogle af resultaterne, hvis mangennemfører den ovenfor skitseredemodel, som ledelsen kan anvende somværktøj i processen med at indføre IT-sikkerhed. Nedenfor følger modellensom checkliste.


CH

EC

KLIS

TE

47

Målsætning Hvad er formålet med at lave en IT-sikkerhedspolitik?for sikkerheden

Hvilke typer aktiver vil virksomheden sikre?

Hvilke overordnede krav skal sikkerheden leve op til?

Sikkerhedsanalyse Hvilke systemer og aktiver er virksomheden i besiddelse af?

Har IT-systemerne præcis den betydning, de er tiltænkt?

Hvilke trusler står virksomheden overfor?

Hvilke konsekvenser har hændelserne?

På hvilken måde har virksomheden allerede sikret sig?

Hvilke nye initiativer er der behov for?

Sikkerhedspolitik Har virksomheden udarbejdet en sikkerhedspolitik?

Indeholder politikken de i hæftet anførte punkter?

Sikkerhedsdesign Har virksomheden tilstrækkelig dokumentation?

Er der dokumentation for de sikkerhedsinitiativer, som senere skal implementeres?

Er der overblik over netværket i virksomheden og services fra leverandøren?

Er de nødvendige kompetencer til stede?

Er der tilstrækkelig adskillelse i virksomheden?

Implementering Har virksomheden et beredskab?og test

Er der fastlagt procedurer for løbende udvikling?

Er virksomhedens IT-systemer offentligt udstillet?

Anvender virksomheden sine logfiler?

Er virksomheden forsikret?

Har virksomheden taget stilling til eksterne partneres IT-sikkerhed?

Foretages der løbende målinger og tests af virksomhedens IT-sikkerhed?

En løbende Har virksomheden procedurer, som sikrer, at IT-sikkerheden altid er opdateret?udfordring

Har virksomheden procedurer for indførelse af nyt udstyr?


H.C. Andersens Boulevard 18

1787 København V

Tlf. 3377 3344

Fax 3377 3920

E-post: [email protected]

Hjemmeside: www.itek.di.dk

EN

DE

LA

FE

ND

EL

AF

DA

NSK

IND

USTR

ID

AN

SK

IND

USTR

I

I T E K – B R A N C H E F Æ L L E S S K A B F O R I T- , T E L E - , E L E K T R O N I K - O G K O M M U N I K AT I O N S V I R K S O M H E D E R

LEDELSE AF

IT-S IKKERHEDFOR FORRETNINGENS SKYLD

EN

DE

LA

FE

ND

EL

AF

DA

NSK

IND

USTR

ID

AN

SK

IND

USTR

I

LE

DE

LS

E A

F IT

-SIK

KE

RH

ED

FO

R F

OR

RE

TN

ING

EN

S S

KY

LD

it-sikkerhed - di.dk · it-sikkerhed er af stor betydning for alle danske virk-somheder. desværre...

Documents