1. Identifisere og kartlegge

Publisert: 28.08.2017 | Sist endret: 29.08.2017

 

1.1 Kartlegg leveranser og verdikjeder

Identifisere og kartlegge leveranser og tilhørende verdikjeder, funksjoner og ressurser som kan ha innvirkning på risiko og valg av sikringstiltak i forbindelse med beskyttelse av virksomhetens IKT-miljø og leveransen av tjenester.

Hvorfor er dette viktig?

NSM har erfart at det er utfordrende for virksomheter å ha kontroll på hvor informasjon befinner seg til en hver tid. Dette gjelder eksempelvis når virksomheter benytter skytjenester eller der informasjonen spres på enheter virksomheten ikke har kontroll på. Her følger to eksempler på utfordringer som kan være relevante for de fleste virksomheter.
Sikkerhetskopi av mobile enheter
Flere virksomheter tillater at ansatte benytter egne enheter til å forvalte virksomhetens informasjon. Virksomheten må da også være klar over at den enkeltes brukers forvaltningsregime også kan påvirke hvor virksomhetens informasjon lagres. Eksempelvis kan en Apple bruker velge å ta en sikkerhetskopi av hele telefonen til iCloud eller til en lokal PC via iTunes slik at informasjonen da lagres utenfor virksomhetens kontroll.
Søkbare persondata i søkemotorer
Bruken av maskingenererte, "private" nettadresser har tidligere vært ansett som akseptabel sikkerhet og risiko, vurdert av den enkelte virksomhet og sektor. Slike direktelinker brukes ofte for å la brukere se for eksempel kvitteringer, fakturaer eller andre sensitive dokumenter, uten at brukeren må logge seg inn hos virksomheten det gjelder. Microsoft endret i 2017 hvilke kilder søkemotoren Bing bruker for sin indeksering. Dette medførte at innholdet på maskingenererte, personlige direktelinker endte opp søkbare i Bing og at virksomheten ikke har kontroll på informasjonen.

Det å kjenne sin egen virksomhet er viktig for å drive effektivt og levere gode tjenester. For kommersielle virksomheter vil det ofte si å ha god inntjening, men for statlige virksomheter er det snakk om å få mest mulig ut av hver skattekrone. Dersom virksomheten ikke har identifisert, prioritert og satt fokus på å beskytte sine viktigste prosesser og funksjoner, kan mange av de viktigste verdiene og understøttende ressurser være eksponert for aktører med onde hensikter eller utilsiktede hendelser. Dersom en virksomhet ikke har oversikt over hele verdikjeden for sine viktigste leveranser kan enkelte deler være godt sikret, mens andre vitale deler kan være åpent eksponert og sårbare for tilfeldige og målrettede angrep. I tillegg til sikring av konfidensialitet og integritet, vil det for de fleste virksomheter være like viktig å ivareta behovet for tilgjengelighet av sine kritiske leveranser.

Kartlegging av leveranser og tjenester vil bidra til at viktige verdikjeder, informasjon og avhengigheter blir kartlagt og prioritert. Dette må tas hensyn til i forbindelse med riktig beskyttelse og vedlikehold av IKT-miljøet, eksempelvis i forbindelse med sikkerhetsdesign, soneinndeling, tilgangsstyring, sikker konfigurasjon, logging og sikkerhetsovervåkning. Det kan også vise seg at virksomheten er avhengig av leveranser og tjenester fra samarbeidspartnere, tjenesteleverandører eller underleverandører, og at disse inngår som en viktig del av virksomhetens verdikjede for å oppnå sikkerhetsmål og resultatmål. Hvis virksomheten ikke klarer å ha oversikt over hvilke data som lagres hvor, bør hele IKT-systemet sikres som en helhet basert på den informasjonen med høyest verdi.

Kunnskapen om leveranser og verdikjeder må forvaltes over tid, noe som kan være krevende i en dynamisk hverdag. Tiden der kunnskap lagres i permer er forbi, og det må fokuseres på digitalisering og automatisering av denne delen av virksomheten også.

Anbefalte tiltak

ID

Beskrivelse

1.1.1

Identifiser virksomhetens prioriterte mål og strategi, og hvilke regelverk, bransjenormer og avtaler som stiller krav til sikring av IKT-systemene. Dette er styrende for virksomhetens risikoprofil og derved hvilke sikkerhetsprioriteringer og sikringstiltak virksomheten gjennomfører.

1.1.2

Identifiser virksomhetens prioriterte leveranser og tilknyttede prosesser og aktiviteter basert på mål og strategi. Dette innebærer å se på hvilke verdikjeder som inngår i leveransene, hvem som eier leveransene og hvilke interne og eksterne avhengigheter virksomheten har. De interne eller eksterne aktiviteter virksomheten avhenger av for å sikre IKT-systemene, funksjoner eller organisasjonsledd bør kartlegges.

1.1.3

Kartlegg IKT-systemer, kritiske forretningsroller og informasjon, og gruppér i kritikalitetsnivåer. Kritikalitet er en vurdering av forretningsmessig påvirkning. Den bør beskrive krav til leveranser og konsekvenser dersom et system ikke fungerer eller informasjon kommer på avveie eller blir misbrukt. Kritikalitetsinndelingen skal benyttes for å forstå konsekvensen av en sikkerhetstruende hendelse mot systemet.

1.1.4

Kartlegg organisatorisk informasjonsforvaltning, kommunikasjon og dataflyt i virksomheten. Virksomheten må ha kontroll over hvor virksomhetskritisk informasjon befinner seg. Etabler oversikt over systemflyt (system flowcharts) og modeller som beskriver forholdet mellom entiteter for å illustrere hvordan informasjon flyter gjennom systemet. Dette vil være viktige for å kunne kontrollere dataflyt mellom ulike soner i virksomheten. Både dataflyt mellom komponenter (internt i systemer), mellom systemer og mellom soner bør beskrives.

1.2 Kartlegg enheter og programvare

Aktivt spore og kartlegge alle maskinvareenheter, programvare og tjenester på nettverket for å skaffe oversikt over autoriserte (og uautoriserte enheter) og ha kontroll på gjeldende konfigurasjon.

Hvorfor er dette viktig?

Angripere er kontinuerlig på jakt etter nye og ubeskyttede systemer og sårbare versjoner av programvare som kan utnyttes. Angriperne ser også etter enheter (spesielt bærbare) som kobles til og fra virksomhetens nettverk og som mangler sikkerhetsoppdateringer og adekvat herding. Angripere kan dra nytte av ny maskinvare som er installert på nettverket en kveld, men ikke konfigurert og oppdatert med aktuelle sikkerhetsoppdateringer før neste dag. Selv enheter som ikke er synlige fra internett kan utnyttes av angripere som allerede har fått intern tilgang og er på jakt etter sårbare mål. Etter hvert som ny teknologi dukker opp har BYOD («Bring your own device») blitt svært vanlig der virksomheten tillater at ansatte anskaffer mobile enheter. Virksomheter har svært liten eller ingen kontroll på sikkerhetstilstanden til disse enhetene, og svake muligheter til sikkerhetsovervåkning. De kan bli, eller allerede være kompromittert og benyttes til å angripe interne ressurser.

Aktivabeholdning:
Det bør som et minimum lagres informasjon om nettverksadresser, maskinnavn, formålet med hvert system, en ansvarlig aktiva-eier for hver enhet, og avdelingstilknytning for hver enhet. Beholdningen bør inkludere et hvert system som har en IP-adresse på nettverket, inkludert men ikke begrenset til stasjonære og bærbare datamaskiner, servere, nettverksutstyr (rutere, svitsjer, brannmurer, osv.), skrivere, lagringsnettverk, IP-telefoner, IoT-enheter, osv.

Dårlig forvaltede maskiner vil ha større sannsynlighet for å kjøre unødvendig programvare (noe som kan introdusere potensielle sikkerhetshull) eller kjøre skadevare som er introdusert av en angriper etter et system har blitt kompromittert. Når en maskin først har blitt utnyttet, vil angripere ofte bruke den som et utgangspunkt for å samle sensitiv informasjon fra det kompromitterte systemet og fra andre systemer som den kan kommunisere med. Kompromitterte maskiner blir i tillegg benyttet som et utgangspunkt for bevegelse rundt i hele nettverket samt i tilknyttede nettverk. På denne måten kan angripere raskt gjøre én kompromittert maskin om til mange. Virksomheter som ikke har en komplett oversikt over hvilke programvare som kjører og skal kjøre i nettverket evner ikke å finne ut om systemer kjører sårbar eller skadelig programvare. De klarer dermed ikke redusere skadepotensialet eller stenge angripere ute.

I praksis kan det være utfordrende for virksomheter å ha full kontroll på hele IKT-infrastrukturen. I valget mellom sikkerhet og behov for leveranser vil virksomheter ofte måtte godta enheter med lavere tillit enn ønsket og gi disse tilgang. Det avgjørende er at virksomheter er på bevisste de strategier som velges og vurderer de funksjonelle behovene opp mot risikobildet. I de tilfeller der virksomheten ikke har kontroll på en gitt type utstyr, eksempelvis der eksterne leverandører benyttes eller hvor utstyret endres hyppig (f. eks. BYOD), må virksomheten være bevisst de sikkerhetsutfordringer det medfører og vurdere kompenserende tiltak som for eksempel forsterket deteksjonsevne, segregering og lavere eksponering ovenfor verdifulle aktiva.

Anbefalte tiltak

ID

Beskrivelse

1.2.1

Utarbeid en oversikt over maskin- og programvare som er godkjent for bruk i virksomheten ved hjelp av automatiske discovery-verktøy. Denne oversikten over gyldig konfigurasjon, bør overvåkes av verktøy for integritetssjekking for å validere at den ikke har blitt endret. Oversikten bør inkludere eierskap.

1.2.2

Oppretthold en aktivabeholdning av entiteter som er koblet til nettverket for å få en oversikt over virksomhetens gjeldende konfigurasjon.

1.2.3

Etabler verktøy for oversikt over all programvare i hele virksomheten som dekker hvert operativsystem i bruk. Inventarsystemet for programvare bør spore versjon av det underliggende operativsystemet samt programmer som er installert på det. Inventarsystemet for programvare bør knyttes opp til aktivabeholdning av nettverksenheter slik at alle enheter og tilhørende programvare spores fra ett sted.

1.2.4

Automatiser prosessen med å opprettholde en aktivabeholdning. Ta i bruk et automatisert verktøy for å oppdage og samle inn informasjon om enheter i virksomhetens nettverk. Virksomhetens logger kan brukes som støtte til å detektere ukjente systemer i virksomhetens nettverk ved å overvåke avvik fra normaltilstand.

1.3 Kartlegg brukere og behov for tilgang

Utilsiktet tilgang til informasjon eller tjenester kan fås både gjennom bevisste og ubevisste handlinger. Dette kan påvirke verdikjeder og leveranser og påføre virksomheten økonomiske tap.
En bevisst handling kan være en ansatt som utnytter de utvidede rettighetene for egen eller andres vinning, for eksempel ved å lese dokumenter han vanligvis ikke har tilgang til. For vide tilganger og rettigheter vil også kunne utnyttes av en eventuell angriper dersom han klarer å ta over kontoen til en bruker, for eksempel ved eskalering av privilegier eller sideveis bevegelse i IKT-miljøet.
En ubevisst handling kan være en ansatt som endrer på innstillinger han ikke skal endre som et resultat av feiltrykk, også kalt «pølsefingre».

Kartlegge hvilke brukergrupper, brukere og tilgangsbehov som finnes i virksomheten og fastsett retningslinjer og regler for tilgangskontroll ved å etablere en prosess for tilgangsstyring.

Hvorfor er dette viktig?

Når en angriper får tilgang til et IKT-system er ofte det første målet å øke tilgangen. Dette gjøres i stor grad ved å ta over ulike kontoer for å eskalere rettigheter. Hvis alle brukere har tilgang til all informasjon vil kompromittering av én bruker kunne kompromittere hele IKT-systemet. Tilgangen til de ulike delene av IKT-systemet bør derfor deles opp for å redusere skaden av en kompromittering eller utro ansatt. En virksomhet må derfor ha kontroll på de ulike brukerne av virksomhetens IKT-systemer, de kontoene de disponerer og hvilke rettigheter en gitt konto har.

Manglende kontroll på brukerkategorier, brukere og tilgangsbehov vil gjøre det vanskelig å kontrollere og forvalte tilgang til kritiske tjenester og data. Mange brukere kan ha tilgang til systemer og tjenester de ikke har behov for, og med mer rettigheter og privilegier enn de trenger for å gjøre jobben sin. Dette kan føre til brudd på integritet, tilgjengelighet eller konfidensialitet til data og tjenester.

Anbefalte tiltak

ID

Beskrivelse

1.3.1

Etabler prosess for vedlikehold av brukere, roller og tilganger slik at dette ivaretas gjennom hele livssyklusen til brukerne, fra opprettelse til avslutning av kontoer.

1.3.2

Kartlegg og fastsett retningslinjer og regler for aksesskontroll basert på minste privilegiums prinsipp.

1.3.3

Kartlegg og definer de ulike brukerkategorier som finnes i virksomheten for å definere tilgangsnivåer og behov for oppfølging og kontroll. Eksempler på brukerkategorier kan være:

  • «Vanlige brukere» med behov for tilgang til kontorstøttesystemer.
  • Brukere med behov for utvidede rettigheter eller privilegier
  • Administratorbrukere
  • Systembrukere
  • Leverandører og konsulenter

1.3.4

Kartlegg brukere, brukerkontoer (inkludert systemkontoer) og hvilke tjenester de ulike brukerne har behov for aksess til. Dette må forvaltes over tid og bør, i tillegg til de brukere som forvaltes i en katalogstruktur (eksempelvis AD eller LDAP), også inkludere system- og administratorkontoer som for eksempel administratorkontoer til databaser. Aksessbehov bør revideres jevnlig.

1.3.5

Kartlegg roller og ansvar knyttet til IKT-sikkerhet for hele organisasjonen samt tredjeparts interessenter (f. eks. leverandører, kunder, partnere) og etabler dette der det mangler.

1.3.6

Godkjenning av brukerrettigheter må kunne spores til en rolle og en ansvarlig person.