«Digitalisering og balansen mellom næringsutvikling og sikkerhet» Oppsummerende rapport fra Sikkerhetstoppmøtet 16. april 2015

Transkript

1 «Digitalisering og balansen mellom næringsutvikling og sikkerhet» Oppsummerende rapport fra Sikkerhetstoppmøtet 16. april 2015

2 Innholdsfortegnelse 3 Innledning Om dette møte Arrangører 4 Tidligere tema 5 Dagens situasjon Ansvaret lagt på sikkerhetsansvarlig Utdatert lovverk Internet Of Things (IoT) Informasjonssikkerhet under IKT 7 Utfordringer Informasjonssikkerhet som en begrensning Uenigheter om lovverk Skytjenester Digital sårbarhet Sikkerhet som et konkurransefortinn Samarbeid mellom offentlig og privat 9 Viktige råd og tiltak Ledelsen med i sikkerhetsarbeidet Kommunisere forståelig for forretningen Rapportering av sikkerhetshendelser Security by design Tillit fra kunder

3 Innledning Om dette møtet Det femtende sikkerhetstoppmøtet hadde 55 deltakere fra både offentlig og privat sektor. Møtet ble innledet med 3 foredrag; «Innovasjon vs. sikkerhet» av Rodin Lie, IT-direktør Innovasjon Norge, «Er det motstridende interesser mellom sikkerhet og kommers?» av Geir Arve Vika, IT-direktør Lyse-konsernet og «Digital samfunnssikkerhet» sikkerhetssjef i Bodø kommune, Hans Bernhard Dahl. Etter foredragene ble det holdt en paneldebatt som ble ledet av adm. dir. for NorSIS, Roger Johnsen med foredragsholderne, Torgeir Waterhouse (direktør internett og nye medier IKT- Norge) og Hilde Widerøe Wibe (direktør næringspolitikk Abelia). Deretter var det to runder med rundeborddiskusjoner. Arrangører Prosjektledere Roger Johnsen, Adm.dir, NorSIS Sofie Nystrøm, Direktør CCIS Samarbeidspartnere Kristine Beitland, Samfunns- og myndighetskontakt, Microsoft og Lysneutvalget Mark Segelmann, Senior Associate, PwC Stewart Kowalski, Professor, NisLab Lene Bogen Kaland, Seniorrådgiver, Lysneutvalget Tonje Flotve, Manager, PwC Stig Rakke, Teknisk rådgiver, Microsoft Arrangørstab Tone Hoddø Bakås, Seniorrådgiver, NorSIS Anne Skeidsvoll Granli, Koordinator, NorSIS Peggy Sandbekken Heie, Seniorrådgiver, NorSIS Synne Gran Østern, Høgskolen i Gjøvik Rapport skrevet av Tone Hoddø Bakås, NorSIS Synne Gran Østern, Høgskolen i Gjøvik Robin Stenvi, NorSIS 3

4 Tidligere tema Hvordan hindre informasjonslekkasje fra virksomhetens styre? Utfordringer med outsourcing, offshoring og cloudbaserte løsninger Risikostyring i virksomheten Utvikling av menneskelig atferd og sterk sikkerhet i en ny verden Hendelseshåndtering fra oppdagelse til anmeldelse Tillit til sikkerheten hos samarbeidspartnere og leverandører Monitorering av de ansatte løsningen på tillitskrisen til mobile ansatte? Ledelsesforankring og ISMS Sikkerhetskultur Applikasjonssikkerhet har vi kontroll? Informasjonssikkerhet i verdikjeden klarer vi å tenke på alt? Beredskap Kritisk infrastruktur Informasjonstyveri og industrispionasje 4

5 Dagens situasjon Ansvaret lagt på sikkerhetsansvarlig Flere av sikkerhetstoppmøtets deltakere opplever at ledelsen i dag stoler mye på sine sikkerhetsledere. Denne tilliten fra ledelsen er bra å ha, men det har også ført til at ledelsen ikke involverer seg i informasjonssikkerhetsarbeidet i virksomheten i den grad de bør gjøre. Så lenge sikkerhetsleder gjør en god jobb er ledelsen fornøyd. Problematikken med en slik tillit er dog at når det skjer en alvorlig hendelse, så er ledelsen ofte helt uforberedt, og sikkerhetsansvarlig står igjen alene i håndteringen av hendelsen. «Ledelsen står bak deg inntil det smeller da oppdager man at de står veldig langt bak» Utdatert lovverk Dagens lovverk tar ikke høyde for den digitale hverdagen vi har i dag. Dette oppleves av sikkerhetstoppmøtets deltakere som en av de største hindringene og begrensningene innenfor utvikling og digitalisering. Det er behov for lovverk som gjenspeiler og hjemler nye utviklinger og behov, både i dag og i fremtiden. Noen deltakere meldte at virksomheten tør ikke å innovere nye løsninger fordi de ikke har nok støtte i lovverket ved en informasjonssikkerhetshendelse. «Mye lovverk er tilpasset en fjern fortid» Internet Of Things (IoT) Vi er i en tid hvor mer og mer fysiske objekter blir automatisk koblet opp til internett uten noe spesiell konfigurering. Trenden kalles Internet of Things og har et utrolig potensiale. Hver av disse «tingene» blir utrustet med maskinvare som gjør det mulig å koble dem opp mot internett, unikt identifiserbare. Dette blir gjort blant annet for å samle data om tingene, for eksempel en bil som rapporterer kjøremønster til leverandøren. Denne utviklingen legger press på informasjonssikkerheten, og ofte er det informasjonssikkerhet og interoperabilitetsproblemer som hindrer utvikling og bruk av IoT, hvis det blir tatt hensyn til. Her i Norge er vi langt fremme i bruk av IoT, noe som bekymrer Sikkerhetstoppmøtet fordi vi samtidig ligger etter med sikringstiltak knyttet til dette. Informasjonssikkerhet under IKT I dag blir informasjonssikkerhet i virksomheter ofte organisert under IT-avdelingen og under IT-direktøren. Dette kan medføre store utfordringer med å forankre informasjonssikkerhet i ledelsen og utover IT-avdelingen. Informasjonssikkerhet er ikke noe som kun er rettet mot IT, men hele virksomheten. Informasjonssikkerhet i en virksomhet dreier seg om å sikre all informasjon tilhørende virksomheten og inngå i alle arbeidsprosesser i alle avdelinger. I tillegg ser Sikkerhetstoppmøtets deltakere utfordringer med at i flere mindre virksomheter har IT-sjefen også rollen som sikkerhetsansvarlig.krav til leverandører Flere av Sikkerhetstoppmøtets deltakere opplever at de har liten påvirkningskraft 5

6 «Å frelse verden med å fjerne kjeltringer kan du glemme.» i forhold til store internasjonale leverandører. Sett i et internasjonalt perspektiv er alle norske virksomheter små, og det er vanskelig å få gehør hos de store leverandørene. I tillegg har virksomhetene, spesielt de mindre virksomhetene, liten evne til å stille krav til disse leverandørene, og de etterspør klare retningslinjer og bistand fra myndigheter. Videre i et kunde og leverandørforhold viser flere norske virksomheter for lite modenhet når det gjelder utvikling, forhandlinger og etablering av kontrakter mellom partene. Ofte oppleves kontrakter som litt «tvangstrøyer» for begge parter og for utvikling av kapasitet for hendelseshåndtering. 6

7 Utfordringer Informasjonssikkerhet som en begrensning Det var samstemt enighet om at informasjonssikkerhet ikke må bli en begrensing i innovasjon. Men det er utfordringer knyttet til at det ofte er informasjonssikkerhetsansvarlig som må si ifra om at det ikke er god nok informasjonssikkerhet. Da vil man oppleves som en «stopper». Det å finne balansegangen mellom «sikkert nok» og innovasjon er vanskelig, og for at informasjonssikkerhetsansatte skal være i stand til dette må de forstå forretningen. Dette er det få som gjør, og det er en utfordring å finne fagfolk som er i stand til dette. Videre er det så mye sikkerhetskrav som må følges at store ressurser i mange virksomheter blir brukt til å sikre nok, og ikke til nyutvikling og innovasjon. «Vi kan ikke snakke om utfordringer som kommer vi er der NÅ det blir mer av det samme, kanskje mer enn vi forestiller oss» Uenigheter om lovverk Sikkerhetstoppmøtets deltakere var uenige om hvordan lover og forskrifter bør utformes, og det var flere som opplevde slike uenigheter også internt hos sin egen virksomhet. Uenighetene går ofte på om regler og retningslinjer skal være svært detaljerte og omstendelige, eller om de skal legge opp til mer frihet? Her er det ingen fasitsvar, men det var stor enighet om at det er behov for klarere retningslinjer og veiledninger om hvordan lovverket skal benyttes og følges. Det oppleves at myndighetene setter begrensingene, men kommer ikke med løsninger til hva alternativet kan være. «I dag går pengene til drift, vedlikehold og patching, ikke til innovasjon.» Skytjenester En av de større digitale trendene er bruk av forskjellige skytjenester. Vi benytter flere og flere skytjenester, både privat og på jobb. For en virksomhet er det er mange fordeler som kommer med skytjenester, for eksempel drift og håndtering av sikkerhetshendelser kan bli mer profesjonalisert ettersom dette kan ivaretas av leverandøren. Dette kan være veldig verdifullt for SMB-er. Sikkerhetstoppmøte opplever også en del utfordringer i prosessen med å ta i bruk skytjenester, hvor lovverk og reguleringer ofte er det som hindrer virksomhetene å ta i bruk tjenestene. Der det for eksempel er krav om å ha en databehandleravtale, er ikke disse tilpasset skytjenestene når der gjelder utenlandske leverandører. Virksomhetene får derfor ikke utnyttet potensialene som ligger i skytjenestene på grunn av begrensninger med lovverk. «I Norge er det ikke en tradisjon for å hele tiden strekke strikken og tøye regelverket» Digital sårbarhet I dag er mye digitalisert i Norge, og det er mye fokus på det som gjenstår. Med økt digitalisering øker også tilgjengeligheten av informasjon. Brukere og ansatte krever at informasjonen nesten er tilgjengelig overalt og når som helst. Dette er noe som legger press på informasjonssikkerhet. «Vi kan ikke fortsette som nå» 7

8 «Pengesekken som går til innovasjon blir mindre, siden vi ikke får utnyttet skytjenestene» «Effektivitet og digitalisering har skapt innovasjon og nye muligheter men også nye sårbarheter.» Det er en utfordring å prioritere informasjonssikkerhet i et marked som har et stort behov for nye løsninger og legger mye press på produksjonsmiljøene. Sikkerhetstoppmøtets deltakere opplever at de må gjennomføre skadebegrensende tiltak i ettertid etter at produktet er ute i marked. Dette skaper en større digital sårbarhet. Det legges opp til at flere kommuner i Norge blir slått sammen til større kommuner. En av hensiktene med dette er å kunne være i stand til å tilby innbyggerne bedre kommunale tjenester. Ved kommunesammenslåinger er IT- og digitalisering et tema som knapt tas opp og diskuteres. Dette til tross for at gode utviklede og integrerte IT-systemer vil gjøre kommunene i bedre stand til å dekke innbyggerens behov. Sikkerhetstoppmøtets deltakere påpekte her at dette er et mulighetsvindu, det er mulighet til å tenke nytt og bygge nye helhetlige løsninger med informasjonssikkerhet integrert fra bunnen. Sikkerhet som et konkurransefortinn Det er et stort potensiale å utnytte informasjonssikkerhet som et konkurransefortrinn, blant annet fordi god sikkerhet skaper tillit fra kunder. Men det er utfordrende å markedsføre for kunder at man er bedre enn konkurrentene på sikkerhet i praksis, mest fordi det er vanskelig å dokumentere at virksomheten faktisk er bedre enn andre på sikkerhet. Hvis det hadde vært tilfellet, så kunne virksomhetene direkte tjene på god informasjonssikkerhet. På den andre siden opplever sikkerhetstoppmøte at leverandører som er dårlige på informasjonssikkerhet ikke kommer inn på markedet og får kunder. Her sliter SMB mer enn større virksomheter fordi de ikke har like mye ressurser på sikkerhetsarbeidet, og ikke har eller har få dedikerte ansatte innenfor informasjonssikkerhet. Samarbeid mellom offentlig og privat «Sikkerhet er et konkurransefortrinn» Sikkerhetstoppmøtets deltakere ønsker mer samarbeid mellom offentlige og private aktører, men utforingen er å få det til å fungere godt og gjensidig. Det er positivt at næringslivet blir brakt inn i offentlige beslutninger, prosjekter og høringer. Det må legges til rette for at man kan kommunisere næringslivets behov og ønsker til offentlige virksomheter. Men det ble trukket frem flere eksempler hvor dette samarbeidet ikke hadde fungert bra, og hadde medført negative konsekvenser. Et eksempel er etableringen av flere CERT-er. Her er det viktig å ha åpenhet og samarbeid dem imellom, men også med andre aktuelle aktører. Og det er viktig å være klar over at til tross for at man har etablert ett CERT eller CSIRT, så er man ikke automatisk sikret mot sikkerhetshendelser fremover. 8

9 Viktige råd og tiltak Ledelsen med i sikkerhetsarbeidet Et viktig tiltak er å få ledelsen mer aktivt med i informasjonssikkerhetsarbeidet. Risikovurderinger må gjennomføres i samarbeid med ledelsen. Det er også ledelsen som til slutt må akseptere restrisikoen. Ledelsen må også ta den endelige beslutningen om verdivurderinger i virksomheten. Hvilken informasjon kan deles, og hva må holdes konfidensielt? Hvilke krav til tilgjengelighet og integritet beslutter ledelsen. Man må få ledelsen til å forstå og velge hva som må sikres. Deretter kan informasjonssikkerhetsansatte finne ut hvordan informasjon og de verdier som står på spill kan sikres. «Gå fra informasjonssikkerhet til sikring av informasjon» Målet med informasjonssikkerhetsarbeidet er å gjøre ledelsen i stand til å ta gode beslutninger. Kommunisere forståelig for forretningen Det er utfordrende å snakke samme språk og gjøre seg forstått av de som har ansvar for forretningsprosessene i virksomheten. Sikkerhetstoppmøtets deltakere anbefalte å kommunisere om arbeidsprosesser fremfor tekniske sikkerhetstiltak. Videre anbefales det å unngå å snakke om IT-sikkerhet, men heller informasjonssikkerhet og forretningskritikalitet. For å få et helhetlig perspektiv av informasjonssikkerhet i en virksomhet, ønsket flere av deltakerne at informasjonssikkerhet skal tas med inn i strategiprosesser. Det er behov for strategiske ressurser som forstår forretningsstrategi og sikkerhet. Informasjonssikkerhet kan ikke lenger behandles som et eget individuelt fagområde, det må spres over hele virksomhetens arbeidsprosesser. «Sikkerhetsfolk forstår ikke sikkerhet, men sikkerhetstiltak» Rapportering av sikkerhetshendelser Det er i dag, med få unntak, ikke noe lovpålagt krav å melde ifra om informasjonssikkerhetshendelser. Dette er noe som bør endres. Ved å ha et slikt krav vil man få bedre oversikt over flere virksomheter, kan sammenligne mellom virksomheter og sektorer og man kan si at man er best eller bedre på informasjonssikkerhet enn konkurrentene. I tillegg vil denne åpenheten, sammen med å informere om hvordan hendelsen ble håndtert, kunne hjelpe andre virksomheter når de selv kommer i samme situasjon. Det er flere tilfeller der informasjonssikkerhetshendelser som har blitt oppdaget av media, har fått alvorlige konsekvenser for virksomheten. Kunder og brukere aksepterer at hendelser skjer, men ikke at selskapene mangler forberedelser og evne til effektiv håndtering. I tillegg anser Sikkerhetstoppmøtet at rapportering av informasjonssikkerhet inn til styrene og ledelsen kan bidra med å styrke informasjonssikkerhet i en virksomhet. Ved å ha en årsmelding om informasjonssikkerhet vil man ha et godt grunnlag for å se utviklingen, behovene og effekten av informasjonssikkerhetsarbeidet. 9

10 «Vi kan ha et svanemerke for sikkerhet» Security by design Et viktig prinsipp i programutvikling som kan overføres til informasjonssikkerhet i innovasjonsprosjekterer, er «Security By Design». Prinsippet går ut på å tenke og bygge sikkerhet inn i alle steg i utviklingsprosessen fremfor å «legge på» sikkerheten ved slutt. Ved å involvere informasjonssikkerhet i hele prosjektperioden med gode risikoanalyser og tiltak, vil informasjonssikkerhet bli en mer naturlig del av ny utvikling. Et eksempel på en av fordelene er at ved å også tenke på informasjonssikkerhet ved utviklingen av brukergrensesnitt, vil også brukervennligheten bli tilpasset dette og informasjonssikkerhet vil ikke oppleves som et hinder for brukerne. Tillit fra kunder Et klart konkurransefortrinn er å ha tillit fra kunder, og på denne måten kan man vinkle inn informasjonssikkerhet som et fortinn. Uten god informasjonssikkerhet vil man vanskelig oppnå tillit fra kunder. Og for å vinne tillit hos kundene er det viktig å forstå hva kundene synes er viktigst. Er det å ha tilgang til riktig informasjon uavhengig av lokasjon? Eller å sørge for at ingen uvedkommende får tak i informasjonen? Etter en slik kartlegging kan man tilpasse seg kundens behov. Et eksempel på en slik kartlegging av tiltak er at flere og flere kunder opplever å ha mer kontroll og sikkerhet hvis de selv får håndtere mest mulig av sin egen informasjon og verdier, istedenfor å la en ansatt i en «fremmed» virksomhet håndtere dem. Dette er noe bl.a. banker har rettet seg etter i sine selvbetjeningsløsninger for kundene. 10

11

12 Om Sikkerhetstoppmøtet Sikkerhetstoppmøtet bringer informasjonssikerhets- ledere, eksperter og nøkkelpersoner innen fagfeltet sammen for å utveksle erfaringer og kunnskap. Deltakerne vil gjennom foredrag og samtaler skaffe seg et klarere bilde av dagens praksis og en innsikt i utviklingen i feltet. Formatet på samtalene er en åpen og kollegial tankesmie hvor synspunkter og argumentasjoner relatert til dags- aktuelle tema utveksles. Nytteverdien for deltakerne ligger i at de kan ta med seg meningsutvekslingen tilbake til sine respektive foretak og styrke sin interne sikkerhet. Sikkerhetstoppmøtet støttes av