Það er auðvelt að villast í frumskógi öryggislausna. Fjölmargir söluaðilar bjóða upp á flókin kerfi sem lofa því að leysa allar áskoranir í netöryggi. Fyrir mörg fyrirtæki er hins vegar mikilvægara að staldra við og skoða hvar raunveruleg þörf er fyrir aðgerðir og hvaða grunnatriði þurfa að vera til staðar áður en farið er í flóknari lausnir.
Til að hjálpa fyrirtækjum að forgangsraða hafa komið fram alþjóðleg viðmið og rammar, þar á meðal þau sem kallast CIS öryggisráðstafanir (Controls).
Hvað er CIS?
CIS stendur fyrir Center for Internet Security. Þetta er sjálfstæð, alþjóðleg, óhagnaðardrifin stofnun sem hefur það hlutverk að bæta netöryggi og hjálpa fyrirtækjum og stofnunum að verja sig gegn netógnum. CIS vinnur í samstarfi við sérfræðinga um allan heim og hefur sett fram hagnýtar leiðbeiningar sem eru í raun orðnar alþjóðleg viðmið.
Tveir helstu hlutir sem CIS er þekktast fyrir eru:
- CIS viðmið (Benchmarks) - staðlar um hvernig hægt er að herða stillingar á stýrikerfum, gagnagrunnum og hugbúnaði til að minnka öryggisgalla.
- CIS öryggisráðstafanir (Controls) - forgangsraðaður listi yfir aðgerðir sem fyrirtæki geta gripið til til að byggja upp öryggi á raunhæfan hátt.
Af hverju skipta CIS öryggisráðstafanir máli?
Í stað þess að kafa strax í flóknar tæknilegar útfærslur með flottum kerfum, veita CIS öryggisráðstafanir einfaldan leiðarvísi: Hvar á að byrja, hvað skiptir mestu máli og hvernig á að byggja öryggi upp í skrefum. Þannig geta fyrirtæki forðast að eyða fjármunum í lausnir sem henta ekki þeirra aðstæðum eða þörfum.
CIS öryggisráðstafanir sem leiðarvísir
CIS öryggisráðstafanir eru safn viðurkenndra ráðlegginga sem gefa fyrirtækjum einfaldan ramma til að forgangsraða aðgerðum. Í stað þess að hefja ferlið með háþróuðum tækjum og tólum, er lögð áhersla á að styrkja grunninn fyrst.
Til að auðvelda þetta eru fyrirtæki flokkuð í þrjá hópa, svokölluð Implementation Groups (IG):
- IG1: Fyrirtæki með einfalt rekstrarumhverfi og takmarkaðar auðlindir. Markmiðið er að verja sig gegn algengustu og útbreiddustu ógnunum.
- IG2: Fyrirtæki með flóknara umhverfi, fleiri notendur og fleiri kerfi. Þau þurfa víðtækari eftirlit og stjórnun.
- IG3: Fyrirtæki í viðkvæmum geirum sem verða að geta varið sig gegn sérhæfðum og háþróuðum árásum.
Hvar stendur fyrirtækið þitt?
Hér eru nokkur dæmi sem hjálpa til við að sjá í hvaða flokk þú fellur:
IG1 - Grunnatriðin (Essential Cyber Hygiene)
Ef mest af eftirfarandi á við:
- Fyrirtækið er lítið eða meðalstórt með einfalt rekstrarumhverfi.
- Það geymir eingöngu upplýsingar sem teljast ekki sérstaklega viðkvæmar.
- Engar eða mjög takmarkaðar reglugerðar- og eftirlitskröfur ná til fyrirtækisins.
- Takmarkaður mannafli eða þekking í netöryggi, oft treyst á útvistun.
- Notar tilbúnar hillulausnir án mikilla séraðlaganna.
👉 Þá er fyrirtækið líklega í IG1.
IG2 - Millistigið
Ef flest af þessu á við:
- Fyrirtækið er orðið stærra og rekur margar deildir sem hver um sig stendur frammi fyrir ólíkum áhættum.
- Það geymir eða vinnur með viðkvæmar upplýsingar viðskiptavina eða fyrirtækisins.
- Sumar eftirlit eða reglugerðarkröfur eiga við.
- Notar kerfi sem henta stærri rekstri og krefjast sérhæfðrar uppsetningar og eftirlits.
- Blandar saman tilbúnum lausnum og eigin hugbúnaði.
👉 Þá er fyrirtækið líklega í IG2.
IG3 - Flóknustu fyrirtækin
Ef eftirfarandi lýsir best:
- Fyrirtækið er mjög stórt, með margbrotinn rekstur og stendur frammi fyrir mikilli áhættu.
- Það geymir trúnaðargögn eða mjög viðkvæm gögn.
- Miklar reglugerðar- og eftirlitskröfur ná til fyrirtækisins.
- Hefur eigin öryggissérfræðinga og getur fjárfest í sérsniðnum eða eigin öryggislausnum.
- Þarf að standa vörð gegn markvissum og flóknum árásum (t.d. „zero-day“ eða árásum þjóðríkja).
👉 Þá er fyrirtækið líklega í IG3.
Raunstaða flestra fyrirtækja
Flest lítil og meðalstór fyrirtæki á Íslandi falla í IG1. Fyrir þau er forgangsatriði að setja upp einfaldar en áhrifaríkar öryggisráðstafanir, svo sem:
- Reglur um sterk lykilorð og tvíþætta auðkenningu (MFA).
- Yfirferð og stýringu á aðgangsheimildum.
- Reglulegar öryggisuppfærslur á hugbúnaði.
- Tryggja örugga afritun gagna.
- Fræðslu til starfsmanna um helstu netöryggisógnir.
- Skjölun á lykilferlum og stillingum, svo þekking sé ekki bundin við einstaklinga.
Þessi atriði veita traustan grunn, minnka verulega líkurnar á árangursríkum árásum og auka viðnámsþrótt fyrirtækisins. Þegar grunnurinn er kominn á sinn stað er hægt að þróa öryggisráðstafanir áfram í átt að IG2 og IG3, eftir því sem rekstur, áhætta og kröfur krefjast.
Hættan við að fara of hratt fram
Það getur verið freistandi að fjárfesta strax í flóknum lausnum sem henta fyrirtækjum í IG3. Slíkar lausnir geta þó skapað óþarfa flækjustig ef ekki er til staðar nægileg þekking eða mannskapur til að reka þær. Í sumum tilfellum getur þetta jafnvel dregið úr raunverulegu öryggi, þar sem viðvaranir eða niðurstöður fá ekki nægilega eftirfylgni.
Að auki þarf alltaf að vera til staðar mannskapur sem sér um að uppfæra og viðhalda þessum tækjum og tólum. Reynslan hefur því miður sýnt að margar öryggislausnir, hvort sem um er að ræða eldveggi, VPN, IDS/IPS kerfi eða önnur varnartól, hafa sjálfar orðið skotmark árása þegar veikleikar hafa fundist í þeim. Þetta undirstrikar að slík kerfi bæta aðeins öryggi ef þau eru rétt rekin og reglulega uppfærð.
👉 CISA heldur úti lista yfir þekkta veikleika sem eru eða hafa verið misnotaðir. Við mælum með að fletta upp í honum þegar nýjar lausnir eru skoðaðar, til að sjá hvort þær hafi áður orðið fyrir árásum eða þurft miklar öryggisuppfærslur. Það gefur góða vísbendingu um hversu mikið eftirlit og viðhald lausnin mun krefjast.
Skref fyrir skref
Að byggja upp öryggi á réttum hraða er lykilatriði. Fyrst þarf að tryggja grunninn samkvæmt IG1, síðan er hægt að þróa áfram í átt að IG2 og IG3 eftir því sem rekstur, áhætta og kröfur kalla á.
Verjumst styður fyrirtæki í þessari vegferð með skýrum, aðgengilegum skrefum. CIS öryggisráðstafanir eru einn af hornsteinum aðferðafræðinnar, sem tryggir að grunnurinn sé sterkur áður en farið er í flóknari aðgerðir.