Kriminalitetsforebyggende arbeid er krevende på minst to måter; du skal både overliste de kriminelle og overbevise sjefen.

Transkript

1 6 sikkerhetsåret 2012 Sikkherhetsarbeidet blir Kriminalitetsforebyggende arbeid er krevende på minst to måter; du skal både overliste de kriminelle og overbevise sjefen. Det kriminalitetsforebyggende arbeidet vises i noen tilfeller på årsresultatet, men i mange tilfeller synliggjøres ikke arbeidet direkte hverken på topp- eller bunn linjen. Svinn og tyveri er mulig å tallfeste og gjør det lettere å få gehør hos ledelsen, men informasjons sikkerhet synliggjøres ikke så lett. Manglende synlighet øker risikoen for at det kriminalitetsforebyggende arbeidet får reduserte ressurser og prioritet. Neglisjert tillegg For det store flertallet av virksomheter kommer informasjons sikkerhetsarbeidet som en tilleggsoppgave i en allerede presset hverdag, og det er svært lett at arbeidet blir neglisjert. NSR mener at daglig leders uoppmerksomhet for informasjonssikkerhet er en av de største trusl ene mot mange virksomheter. Mister informasjon I vår siste Mørketallsundersøkelse svarte 18,2 prosent av virksomhetene at de hadde mistet datautstyr siste kalenderår. Bare 2 prosent oppga at de hadde mistet informasjon. Mange tenker at har man backup på jobben, har man ikke mistet informasjon. Det er en tanke løs tilnærming. Selv om du frem deles har informasjonen kan «Daglig leders uoppmerk somhet for informasjons sikkerhet er en av de største trusl ene mot mange virksomheter» den være verdiløs om konkurrenter eller kriminelle har fått tilgang til den. Ubevissthet I media leser vi om virksomheter som er stolte av de nettbaserte løsningene de har anskaffet. De kan fortelle at alle kan sitte hjemme i stua og jobbe. Det er ikke smart å fortelle at økonomiansvarlig kan overføre penger fra sofaen, eller at man kan styre Oslo vannverk fra senga. Det er som å invitere kriminelle på besøk, og vitner om manglende forståelse for hvor sårbar man gjør seg selv, sine ansatte og sin virksomhet. Mange næringsdrivende har passord for å komme inn på PC-en på jobben, men mottar e-postene på telefonen som er usikret. Logisk? Nei, men et bevis på ubevisstheten knyttet til informasjonssikkerhet. Åpner for svindel Virksomheter legger ut diplomer, sertifikater og virksomhetsdokumentasjon på nettet. Dette er informasjon som lett kan anvendes til svindel. Det er flere eksempler på at informasjon hentes fra nettet for å anskaffe varer og tjenester ulovlig. Hvorfor legger man da ut denne informasjonen? Det gjøres gjerne for å informere kunder og leverandører om virksomhetens fortreffelighet, men ubevisst øker man risikoen for å bli utsatt for kriminalitet. Mangler kompetanse Et annet fenomen som bekymrer er det hurtige utviklingstempoet innen IKT. Konsekvensen er at hverken bestillerkompetansen ved anskaffelser eller brukernes sikkerhetskompetanse holder tritt. Dette, sammen med det forholdet at det ikke stilles krav til de som skal drifte IKT-systemer for andre, gjør deler av næringslivet sårbart. Rundt 50

2 sikkerhetsåret lett neglisjert Næringslivets Sikkerhetsråd (NSR) er en selvstendig medlems forening som fore bygger kriminalitet i og mot nærings livet. NSR er rådgivende for medlemmene innenfor fysisk-, teknisk-, og personell sikkerhet, og er næringslivets kontaktpunkt mot myndig hetene innenfor de nevnte områder. NSR har regel messige møt er med myndighetene gjennom vårt konsultative råd bestående av Politiets sikkerhets tjeneste, Politidirektoratet, Kripos, ØKOKRIM, Nasjonal sikkerhets myndighet, Tollog avgiftsdirektoratet og Direktoratet for samfunnssikkerhet og beredskap. I det konsultative rådet møter dessuten representanter for et bredt spekter av næringslivets virksomheter, LO og YS. NSR deltar i ulike myndighets utvalg på vegne av næringslivet. NSRs administrasjon holder til på Majorstua i Oslo. Internett: E-post: nsr@nsr-org.no Det er ikke smart å fortelle at økonomiansvarlig har hjemmekontor og kan overføre penger fra sofaen, advarer Erland Løkken i NSR. Foto: Stephan Roehl, Flickr prosent av virksomheter setter helt eller delvis ut driften av IKT-systemer til eksterne firma, men ingen sikrer kompetansen til disse. Nasjonal vitnemålsbank NSR har i mange år belyst behovet for å gjennomføre tilpassede og tilstrekkelige bakgrunnssjekker ved ansettelser. For å lette dette arbeidet sendte NSR et brev til Kunnskapsdepartementet (KD) sommeren 2010 der vi foreslo en sentral database for vitnemål som ville gjøre det trygt og enkelt å få verifisert vitnemålene til jobbsøkere. Det er med tilfredshet vi mottok en e-post fra KD rett før jul der de opplyste om at Universitetet i Oslo er blitt tildelt kroner for å lage en kravspesifikasjon for en nasjonal vitnemålsbank. Vi gleder oss til den blir operativ. Det vil lette næringslivets arbeid ved ansettelser. Erland Løkken, direktør i Næringslivets Sikkerhetsråd AKTUELT Hvordan beskytte egen virk somhet: februar, Oslo oktober, Oslo Hvordan håndtere en gissel- eller kidnappingssituasjon: 6. mars, Oslo NSRs Årsmøte: 7. juni, Oslo Sikkerhetskonferansen september, Oslo Mer informasjon: undersokelsen.no NSRs stiftere:

3 8 sikkerhetsåret 2012 Ny metode Det har mer og mer vanlig med kameraovervåking av næringsbygg og fellesarealer. Foto: Wikipedia Veileder for kamera overvåkning Tekst: Arne Røed Simonsen Det har vært en trend over flere år at det blir mer kameraovervåkning av næringsbygg og fellesarealer. Etter 22. juli har denne utviklingen tiltatt ytterligere. Dessverre er det så som så med bestillerkompetansen og virksomhetens vurdering av behov og formål. Det er nok også eksempler på tilfeller der lovverket ikke er fulgt. Råd NSR har derfor tatt initiativet til å lage en enkel veileder for å vurdere behov, lovlighet, montering, anskaffelse og bruk av kameraovervåkning. Veilederen støtter seg på Datatilsynets materiale, og supplerer med råd om fysisk plassering. Hovedmomenter Det er fire hovedmomenter veilederen dekker: Lovverket knyttet til montering og bruk av kameraovervåking. Virksomhetens egenvurdering og forventninger til bruk av kameraovervåking. Tekniske løsninger, styrker og svakheter. Leverandører og kompetanse. Veilederen er ferdig rundt månedsskiftet januar-februar, og kan lastes ned fra NSRs hjemmeside. Vi må se på jobben som skal gjøres og hva vi vil oppnå før vi velger verktøy. Skrevet av Roy Stranden, CPP, Senior Manager, Ernst & Young Et verktøy er spesielt utviklet for å gjøre én type jobb mest mulig optimalt, og er derfor uhensiktsmessig til andre typer jobber. Hvis vi omtaler verktøyene mer som metoder enn gjenstander, endres oppfatningene noe. Hvorfor er det slik at vi tror at vi kan lage en metode for risikoanalyser som skal kunne passe til alt, i tillegg til at den skal være så enkel at selv bestemor kan bruke den? Vi må bort fra denne måten å tenke på. Løsningen ligger i å øke kunnskapen om hvilke typer verktøy som passer best i ulike sammenhenger, og våre ferdigheter til å bruke dem. Det betyr at vi må se på jobben som skal gjøres og hva vi vil oppnå før vi velger verktøy. Det kan også være nødvendig å ut vikle nye verktøy om de gamle ikke leng er fungerer optimalt. Dette er gjort gjennom utarbeidelsen av to nye standarder innen terminologi og risiko analyse for kriminelle og andre uønskede handlinger. Identifisér behovet Det første man må gjøre er å identifisere behovet ved å avklare noen sentrale forhold. Det må avklares om det er en tilsiktet handling, en utilsiktet hendelse, eller en kombinasjon av de to, som skal undersøkes. En annen viktig faktor er hvilken vinkling risikoanalysen skal ha. Skal den ha et strategisk fokus og se hele virksomheten under ett, eller ha et operasjonelt fokus knyttet til en oppgave, eller en enhet som for eksempel en server? Den andre faktoren som må avklares før du begynner er detaljeringsgrad. Har du lite tilgang på relevant informasjon og må fatte raske avgjørelser, eller har du tid, ressurser samt behov for å se alle relevante forhold i detalj? Jo mer detaljert du fokuserer, jo mer informasjon har du når du skal gjøre vurderingene og fatte beslutningen. Hva som er riktig for deg avhenger imidlertid av situasjonen du er i og behovet. Dette må også kommuniseres til dem som har bestilt analysen slik at de ikke forventer eller tror du kan dekke alt dette med en analyse eller en metode. Hva er risiko? Men hva er egentlig risiko? En pragmatisk måte å beskrive dette på er å se på risiko som en øy i en øygruppe. De ulike definisjonene er forskjellige, men likevel så hører de sammen. Mens de aller fleste bruker faktorene konsekvens og sannsynlighet for å si noe om risiko er dette ikke spesielt hensiktsmessig innenfor kriminalitet og andre uønskede handlinger. Den viktigste årsaken er at matematiske modeller eller historikk ikke gir et riktig bilde av trusselen. Vi må bruke andre metoder som etter-

4 sikkerhetsåret for risikoanalyse Hvorfor er det slik at vi tror at vi kan lage én metode for risikoanalyser som skal kunne passe til alt, i tillegg til at den skal være enkel? spør Roy Stranden. Figuren illustrerer et eksempel på risikoanalyse som en del av risikohåndteringsprosessen. retning og innhente informasjon som kan si noe om intensjon og kapasitet. Verdi og trussel Standarden som nå sendes ut på høring er én i en serie som alle adresserer behovet for blant annet terminologi og metoder som er spesielt tilegnet sikringsfaget. Det som skiller denne metoden fra andre risikoanalyser er ikke nødvendigvis bare at den vurderer tre ulike faktorer, nemlig verdi, trussel og sårbarhet. Den legger til grunn at etterretning skal skaffe til veie informasjon om trusselaktører og deres modus operandi, samt at risiko skal uttrykkes på en annen måte enn ved å bruke sannsynlighet og konsekvens. Standard på høring En avgjørende faktor i dette arbeidet har vært forankringen og samarbeidet mellom sentrale aktører i sikkerhetsbransjen. Arbeids gruppen har bestått av representanter fra Nasjonal sikkerhetsmyndighet, Politiets sikkerhetstjeneste, Forsvarsbygg, Ernst & Young, samt Næringslivets sikkerhetsråd og Statoil. Det vil bli sendt ut høringsutkast til mange sentrale aktører innenfor både privat og offentlig sektor, i tillegg til universiteter og høyskoler. Vi oppfordrer alle som ønsker og som mener de kan bidra til å involvere seg til å komme med høringsinnspill. Høringsutkastet kan lastes ned fra Standard Norges hjemmesider.

5 10 sikkerhetsåret 2012 «Det er sannsynlig at noe usannsynlig vil skje» Aristoteles, f.kr. Identifisér krisen Seks faktorer er sentrale for vellykket krisehåndtering: Ledelse og kapasitet, informasjon og media, rolleforståelse, og hånd tering av berørte. Skrevet av manager Roger Kolbotn og direktør Knut Erik Friis, PwCs granskingsenhet En rekke hendelser har satt søkelyset på evnen til å kunne forebygge, forberede og håndtere kriser. Det er enklere å forberede seg på velkjente hendelser enn situasjoner som oppleves som teoretiske. Neste krise er som regel helt annerledes. Dette gir en risiko for å bli tilbakeskuende og hendelsesbasert i tilnærmingen til nye situasjoner. Nøkkelen er å utvikle årvåkenhet for å kunne identifisere nye potensielle kriser, erkjenne skade potensialet og handle deretter. Mange kriser blir først identifisert når virksomheten står med begge beina plantet i hendelsen og er på etterskudd med å etablere tiltak. Krisehåndtering Så hva er en krise? Sårbarhetsutvalget ledet av Kåre Willoch benyttet et utvidet krisebegrep: «Krise er en hendelse som har potensial til å true viktige verdier og svekke en organisasjons evne til å utføre viktige funksjoner». Definisjonen peker mot at hendelsen overstiger normal hånd terings evne og truer organisasjonens omdømme, økonomi eller andre faktorer av betydning for fremtidig virksomhet. Krisehåndtering vil slik være summen av tiltak som må iverksettes fra hendelsen inntreffer til ny normalsituasjon eller stabil situasjon er opprettet. Kriser innebærer ulike utfordringer og må håndteres deretter. Aggregert sett er det likevel noen faktorer som peker seg ut av sentral betydning for en vellykket krisehåndtering: Ledelse og kapasitet Virksomheten må ha en forberedt og gjennomtenkt ramme for etablering og organisering av ledelse eller kriseledelse i en ekstraordinær situasjon. Virksomheten må raskt få oversikt over hvilke kapasiteter som er nødvendig for å håndtere en hend else, hvilke kapasiteter som er tilgjengelige og hvilke som må innhentes. I den innledende planleggingen og ressurstildelingen må det tas utgangspunkt i at hendelsen vil ta tid å håndtere. Informasjon og media Det er en generell oppfatning at omdømmet ved mange kriser i større grad påvirkes av hvordan krisen håndteres, enn av selve krisen. Medietrykket har utviklet seg enormt. Det er i dag knyttet store utfordringer til å ivareta informasjonsbehov og sikre at budskapet når viktige målgrupper. En synlig og aktiv ledelse kan synliggjøre at virksomheten tar situasjonen alvor lig Pricewaterhouse- Coopers (PwC) PwCs granskingsenhet bistår en rekke virksomheter med håndtering av hendelser som virksomhetene betrakter som mulige omdømmekriser. Bistår også med: risikokartlegging, beredskapsplanlegging å kartlegge og evaluere håndtering av kriser og setter inn ressurser for å løse situasjonen. Feil kan tilgis, ikke passivitet. Rolleforståelse Dersom en krise involverer flere invol verte parter eller virksomheter, er det viktig at virksomheten definerer egen rolle og ansvar ved krisehåndteringen og posisjonerer seg i forhold til de øvrige involverte. Virksomhetens forståelse av rolle og ansvarsområde må så langt som mulig kommuniseres og samordnes med øvrige involverte. Dette reduserer usikkerhet og spekulasjon om at situasjonen ikke håndteres forsvarlig. Håndtering av berørte Virksomhetens oppfølging av berørte og eventuelle pårørende er en viktig faktor som kan være avgjørende for virksomhetens omdømme. Hovedmålet vil være å yte riktig hjelp og støtte ved en hendelse og å sikre god oppfølging i etterkant.

6 sikkerhetsåret Kidnappings over levelse 14. januar ble en nordmann kidnappet i Jemen. Olav Ofstad gir råd om hvordan man bør takle kidnappinger. Faksimile Dagsavisen Formålet med kidnapping varierer, fra pengeutpressing til politisk propaganda, gisseltaking for å unnslippe etter ran eller begå seksuelle overgrep og annen vold. Kidnapping til sjøs er et kjent fenomen, mens et tilsynelatende voksende problem er såkalt Tiger Kidnapping, hvor næringslivsledere eller deres familiemedlemmer blir kidnappet for pengutpressing. Varigheten av kidnapping kan variere fra noen få timer til mange år. Mens flertallet av kidnappingsofre overlever, kommer mange ut av det med varige traumer. Å bli kidnappet et voldsomt sjokk. Selve kidnappingssituasjonen er ekstremt forvirrende, og «hverdagen» som kidnappet innebærer en rekke stressfaktorer. Hvordan vi forholder oss i slike situasjoner, gjør en stor forskjell. Å overleve kidnapping Gjennom min forskning på kidnapping har jeg funnet at mulighetene for forberedelse er generelt dårlig utnyttet. Skrevet av Olav Ofstad, uavhengig konsulent og forsker Som i så mange andre sammenhenger er vår evne til hensikts messig adferd avhengig av forberedelse. Dette gjelder både overlevelse og traumeforebygging. Under min forsk ning på temaet har jeg funnet at mulighetene for adekvat forbered else på kidnapping er generelt dårlig utnyttet. Sosialpsykologi Grupper eller foretak som er utsatt for kidnappingsrisiko, søker ofte ikke hjelp til forberedelse, eller de begrenser forberedelsene til hva man bør gjøre for unngå kidnapping. Et antall sikkerhetsforetak tilbyr i dag trening i kidnappingsover levelse. Dette er i utgangspunktet en positiv utvikling, men treningen som tilbys holder generelt ikke den standarden som trengs. Å forholde seg adekvat til kidnappere er i hovedsak et spørsmål om anvendt sosialpsykologi (hvordan vi påvirker hverandre), og denne vitenskapen er dessverre spinkelt representert i overlevelsestrening. Misvisende og farlige råd En av de større aktørene innen slik trening, har følgende råd på sin nettside: «Do not discuss religion with the kidnappers». En senior militæroffiser som holdt trening for FN/Ngo-personell i Syd-Øst Asia, fortalte deltagerne: «I cannot see why you cannot ask the kidnappers for anything you want. The worst you can get is a no». Slike råd er ikke uvanlige. Mens det første rådet er misvisende og kan bety tapte muligheter, er det andre i verste fall farlig. Det faktum at sikkerhets instruktør er stort sett unngår sosial psykologi kan også innebære at de unngår feil, men det betyr generelt redusert utbytte av treningen. Sosialpsykologi 6. mars holder Næringslivets Sikkerhetsråd kurset «Hvordan håndtere en gissel- eller kid nappings situasjon». Dette kurset innebærer en litt annen tilnærming til temaet, og inkluderer viktig praktisk veiledning, som smart adferd i de forskjellige faser av kidnappingen, og bekyttelse mot vold etc. Imidlertid tar kurset i tillegg sosial psykologien på alvor. Det tar for seg hvordan vår interaksjon med kidnappere funger er, og hva vi kan gjøre som ofre for å forbedre situasjonen og øke sjansene for et best mulig resultat. Dette inkluderer en rekke påvirkningsfaktorer og teknikker. Enkelte av disse vil kanskje gjenkjennes fra andre situasjoner, og andre bruk er vi til dels ubevisst. Noen av de viktigste psykologiske redskaper er imidlertid ukjent for de fleste. Et hovedformål med kurset er at deltagerne skal oppnå en klar forståelse av disse redskapene, ta dem med seg fra kurset og være i stand til å bruke dem hvis det verste skulle skje.

7 12 sikkerhetsåret 2012 Nødvendig med god kommu For en virksomhet er det avgjørende å ha en god plan for krisekommunikasjon som ivaretar forholdet til mediene. Skrevet av Svein Holtan, spesialrådgiver Gambit Hill&Knowlton Svært ofte baserer vi vår mening på det mediene forteller. Men de færreste mennesker som danner seg en mening om en pågående krise eller krisehåndtering er direkte involvert. For en virksomhet er det derfor avgjørende viktig å ha en god plan for krisekommunikasjon som ivaretar forholdet til mediene, men som ikke er avgrenset til kun mediene. En virksomhet har mange interessenter som man må forholde seg til og kommunisere med for å lykkes i krisehåndteringen: de som er berørt av hendelsen, egne ansatte, eiere, samarbeidspartnere, myndighetsorganer, osv. En god kommunikasjonsplan ivaretar forholdet til alle disse. Å måtte håndtere pressen under en krise er utfordrende, men nødvendig. I etterkant av angrepene på Utøya og regjeringskvartalet 22. juli 2011 var regjeringen tidlig ute med å stille opp på pressekonferanser. Her møter utenriksminister Jonas Gahr Støre pressen dagen etter angrepene. Foto: Mathias Rongved, UD Nye trusler i 2012? Alle virksomheter kan bli utsatt for kriser og kriselignende situasjoner. Enten som følge av uhell eller som konsekvens av bevisste handlinger. Listen over mulige hendelser kan gjøres lang: brann i egne lokaler, ulykke der flere ansatte omkommer, underslag, uetisk atferd, kriminelle handlinger. Det kan slås fast at norske bedrifter og virksomheter vil bli utsatt for en rekke hendelser også i Vi kommer til å lese om det i avisene og på nettet hver dag. Noen håndterer krisen godt og kommer seg videre. Andre går overende, noen ganger hovedsakelig på grunn av dårlig mediehåndtering. Overrasket hver gang Mange hevder at det var langt enklere å være sjef den gang pressen var enklere å ha med å gjøre. Men allerede i 1914 skrev Gudmund Schnitler følgende i boken Strategi: «Sjefens handlefrihet kan bli sterkt påvirket av den offentlige mening og dennes talerør: pressen ( ). Han kan komme i en uheldig stilling, hans virksomhet bli sterkt hemmet, når han ved enhver anledning skal gi regnskap for sine handlinger og hensikter.» Aksepter utfordringen At det er kommunikasjonsutfordringer i kriser så vel som daglig drift er med andre ord ingen nyhet. Derfor er det oppsiktsvekkende at ledere fremdeles står frem i etterkant av en hendelse og sier de er

8 sikkerhetsåret nikasjon Fem suksessfaktorer: Vær raskt ute med informasjon Kommuniser empati tidlig Vis kompetanse og ekspertise Opptre ærlig og åpent Vær tilgjengelig for pressen overrasket over medietrykket og mediefokuset som tok fra dem natte søvn og kreftene som skulle gå til å håndtere situasjonen. For til tross for at alle virksomheter kan utsettes for hendelser er det svært mange som ikke har et bevisst forhold til krisekommunikasjon og som ikke har en plan for slik kommunikasjon og krisehåndtering. Den største trusselen i 2012 er derfor at en del bedrifter og ledere fortsatt ikke aksepterer at kommunikasjon i seg selv er en utfordring og et kompetanseområde, og som bør inngå som en integrert del av virksomhetens løpende planer og kriseplaner. Mange trusler for ansatte Satsing på HMS er fraværende der den svarte økonomien rår. Skrevet av Svein Vefall, rådgiver i LO Et stort og voksende problem er svart økonomi. Det som har fått en viss oppmerksomhet er blant annet innen renholdsbransjen og serveringssteder, hvor fagbevegelse sammen med politi, skattemyndigheter, Mattilsynet og Nav har avdekket en rekke kriminelle forhold. Ingen HMS Dessverre er det ikke sjeldent at de som blir tatt er på gang igjen etter kort tid på samme eller et nytt sted. Der svart økonomi er utbredt finner vi også de verste brudd på lovgivningen som skal beskytte arbeidstakerne. Satsing på HMS er fraværende der den svarte økonomien rår. Utnyttelse av mennesker Det er en kjensgjerning at innenfor flere bransjer forekommer en underbetaling og grov utnyttelse av mennesker som enten kommer til Norge for å søke arbeid eller er sendt hit som slaver. Dette finner man ikke minst i de bransjene som tidligere nevnt under svart økonomi. I tillegg er bygg og anleggsbransjen svært utsatt. Farlige klienter Offentlige ansatte ved eksempelvis Nav, legekontorer og barnevernet utsettes for risiko på grunn av klienter som er ustabile eller ruset. Raske kontanter Ran og tyveri vil også i 2012 prege mange bransjer. Der det finnes kontanter, finnes det også kriminelle. Ranerne er ute etter raske kontanter. Ofte er det unge og få ranere som opererer sammen. Her er det de som i tillegg spesialiserer seg på å stikke fra regningen på bensinstasjonene. Ny trend er de som tømmer tankanlegg. Dette skjer både i og utenfor arbeidstid. Traumatisering En forholdsvis ny trend er omreisende kriminelle som utfører sjokkbrekk. Dette har stort sett vært utenom åpningstid. I tillegg har det kommet de som utfører samme handlinger i åpningstid, ofte brutalt utført. Gull- og urmakerforretninger er spesielt utsatt. Alt i alt er det snakk om store summer involvert, men for LO og forbundene handler det like mye om traumatiseringen de ansatte utsettes for. Opplæring i sikkerhetsrutiner LO mener at bransjene må samarbeide med politi og myndig hetene. Overtredelser av lovverk må anmeldes og ansatte må gis grundig opplæring i sikkerhets rutiner. Også ansatte som leies inn som vikarer eller som jobber deltid. Sikkerhetsrutinene må gjennomgås jevnlig og møte det til enhver tid gjeldene trusselbildet. Ansatte som blir utsatt for ran, vold eller annen kriminalitet på jobben må følges opp av kvalifisert helsepersonell og bedriftene må sørge for å ha rutiner for dette. Det er viktig at de ansatte blir lyttet til hva angår hvilke sikkerhetsrutiner som skal gjelde på den enkelte arbeidsplass.

9 14 sikkerhetsåret 2012 Åpne nettverk gir Virksomheter får stadig mindre kontroll over ende punktene i sine datanettverk. På sikkerhetssiden gir det mange nye utfordringer. Tekst: Norman ASA Trenden som gjerne kalles «BYOD» (Bring Your Own Device) innebærer at medarbeiderne i økende grad medbringer eget utstyr, som smarttelefoner, nettbrett og bærbare PC-er, og knytter seg til bedriftens nettverk. Større utbredelse av gjestenett for kunder og andre be søkende er en annen utviklingstrend som bidrar til redusert endepunktkontroll. Det samme gjelder datastyrte produksjonssystemer som tilknyttes virksomhetens intranett for å øke effektiviteten, og leverandører som kobler seg rett inn i virksomhetens kritiske datanett for å vedlikeholde systemene. Denne utviklingen har mange fordeler for virksomhetene, i form av blant annet bedre kundeservice, fornøyde medarbeidere, forenkling av rutiner og enklere vedlikehold av datatjenester. Dårlig forberedt Christophe Birkeland, teknologidirektør hos Norman ASA, forstår godt at mange virksomheter utnytter teknologien og trendene beskrevet overfor. Imidlertid ser vi at mange er dårlig forberedt på den økte sikkerhets risikoen som oppstår når man ikke lenger har kontroll over endepunktene. Kravene skjerpes til nettverksovervåkning, analyse og tiltak overfor truslene, understreker teknologidirektøren. Er det mulig å få fullt utbytte av teknologiens muligheter for samhandling og samtidig holde et tilfredsstillende sikkerhetsnivå? Svaret er ja, men det forutsetter at man har en god sikkerhetsarkitektur med inndeling i soner, kombinert med riktige verktøy for nettverkssikkerhet og riktig kompetanse i eget hus. Gjestenett bør for eksempel etableres som helt

10 sikkerhetsåret Viktige krav til verktøy for nettverkssikkerhet Utviklingen gjør at kontrollen over endepunktene i nettverket blir stadig dårligere. Det gir nye sikkerhetsutfordringer, sier teknologidirektør Christophe Birkeland i Norman. Ansatte som bruker eget usikret utstyr til jobb, gjester som får tilgang til bedriftens nettverk og leverandører som kobler seg på virksomhetens datanett utenfra, er løs ninger som gir økt risiko. Birkeland anbefaler inndeling i soner for ulike maskiner/ bruk ere, samt nøye overvåkning og umiddelbar analyse av funnene, for å minske faren for ødeleggende ormer o.l. Montasje: Ingeborg Altern Vedal høy risiko Evne til å oppdage og stoppe malware i nettverket Enkel installasjon og konfigurasjon Sikkerhet og robusthet slike komponenter installeres som regel in-line med dertil krav til oppetid og stabilitet Ytelse må håndtere datanettverk med stor båndbredde uten at datatrafikken påvirkes Viktige krav til verktøy for malwareanalyse Høy deteksjonsevne; kombinasjon av flere teknologier for å oppdage og analysere alle typer malware Skalerbarhet for å kunne håndtere store mengder filer Integrasjon: verktøyet må lett kunne tilpasses ulike miljøer og løsninger Brukervennlighet separate nettverk. Datatrafikk fra enheter man ikke har kontroll over må overvåkes spesielt nøye. Uansett bransje, systemer og omfang av eksterne brukere og enheter, er gode overvåkings- og analyseverktøy sentralt for å holde sikkerhetsnivået oppe, poengterer Christophe Birkeland. Infisert av malware I praksis betyr det løsninger som analyserer datatrafikken og umiddelbart fanger opp og stopper trusler, uten at dette forsinker trafikken. Hvis en enhet som befinner seg på innsiden av brannmurene er infisert av malware (skadevare eller ondsinnet kode) er det avgjørende at sikkerhetsløsningene blokkerer datatrafikken fra den aktuelle enheten umiddelbart. Birkeland understreker at datatrafikken må analyseres i sanntid slik at ikke prosessene forsinkes av analysen som utføres. Hos Norman har vi arbeidet mye med disse utfordringene, og lyktes med å utvikle robuste løsninger for nettverkssikkerhet som kan håndtere datanettverk med stor båndbredde uten at det påvirker nettverkets ytelse, sier han. Svakheter i eget system Birkeland mener mange organisasjoner burde hatt høyere kompetanse og bevissthet på sikkerhetsområdet internt i organisasjonen, også med tanke på å håndtere sikkerhetshendelser. Det er ikke mulig å sikre seg 100 prosent mot alvorlige sikkerhetshendelser. Derfor må bedrifter og organisasjoner av en viss størrelse ha kunnskap og evne til å analysere filer og mistenkelige dokumenter som oppdages i egne systemer. Med brukervennlige analyseverktøy kan stadig flere oppdage, forstå og analysere trusselen fra malware, og dermed øke sikkerhetsnivået i egen virksomhet. Ved hendelser vil slike analyser bidra til å avdekke eventuelle svakheter i egne systemer, hendelsesforløp og konsekvenser samtidig som de kan brukes til å identifisere løsninger for å gjenopprette sikre systemer, forklarer Birkeland.