IT-netværkssikkerhed: Luk døren for ubudne gæster

Sådan beskytter I jeres data og systemer – og undgår dyre nedbrud

Digitalisering giver mange fordele for virksomheder og organisationer, men den øgede digitalisering gør også, at antallet af IT-systemer, der bliver kompromitteret, er stadigt stigende.

Efterhånden må man som virksomhed regne med, at man før eller siden vil blive truet på sin sikkerhed, for eksempel via et hackerangreb. Konsekvenserne af et angreb afhænger i høj grad af, hvilke sikkerhedsforanstaltninger, man har etableret i sit IT-netværk og i forhold til virksomhedens ’connectivity’: alle IT-baserede forbindelser i virksomheden.

Connectivity handler således om alt lige fra den hardware, der udgør selve netværkets struktur (routere, servere, krydsfelter, hubs etc.) og de mange enheder, der forbindes via netværket (medarbejdercomputere, mobiltelefoner, produktionsudstyr, cloudløsninger, leverandørcomputere etc.) og til al den software, som bruges på de mange enheder. Alle elementer skal monitoreres og holdes opdaterede, så virksomheden minimerer risikoen for, at et enkelt lille sikkerhedshul kan tillade adgang for ubudne gæster i netværket.

IT-sikkerhed i et holistisk perspektiv

IT-netværk og connectivity skal ses i et holistisk perspektiv. Det er grundlæggende for mange virksomheder og rækker ud i alle virksomhedens hjørner: virksomhedens forskellige kontorer og produktionsfaciliteter, medarbejdernes hjemmearbejdspladser, eksterne samarbejdspartnere og cloud-udbydere.

Det stiller selvsagt store krav til netværket, både i forhold til, hvad det skal kunne yde, men i særdeleshed også til, hvor godt det er sikret. Vurderingen af, hvad der kræves for at sikre netværket tilstrækkeligt, skal naturligvis ske ud fra tekniske risikovurderinger, men hvis det rette sikkerhedsniveau skal etableres – og opretholdes – er det også af afgørende betydning, at de overordnede rammer er fastlagt.

IT-sikkerhed bør derfor indgå som en del af virksomhedens strategi, så den overordnede plan og vision i forhold til sikring diskuteres og afstemmes på øverste niveau i virksomheden. Først når strategien er på plads og hele det øverste ledelseslag er taget til indtægt, er der basis for at skabe og implementere en egentlig IT-sikkerhedspolitik, retningslinjer for IT-sikkerhed og – ikke mindst – det fysiske og organisatoriske setup, der sørger for, at den daglige drift er godt beskyttet.

Læs mere om, hvordan cybersikkerheden bedst håndteres - og om, hvordan kaastrup|andersen kan hjælpe.

IT-sikkerhed på overordnet plan

Mange virksomheder står i dag med et IT-netværk, der er vokset gennem en årrække. Enheder er blevet tilføjet løbende og der har ofte ikke været foretaget nogen struktureret gennemgang og opdatering af hverken hardware, software, processer, roller og ansvar.

Et første skridt til at forbedre sikkerheden er at kortlægge forskellige scenarier for, hvordan virksomhedens netværk kan blive kompromitteret. Det kan dreje sig om indtrængen via kundelogins, medarbejdere, der installerer tredjepartsapplikationer, phishing-angreb, brute-force-angreb etc. Scenarierne bør også indeholde analyser af, ’hvor galt det kan gå’: Hvor stor skade kan et angreb forvolde, både i forhold til tab af information og egentlige driftsnedbrud? Og hvor lang tid vil det tage at genetablere netværk, information og den daglige drift? De økonomiske konsekvenser taler for sig selv. For de fleste virksomheder vil omkostningerne ved blot enkelte dages driftsnedbrud overstige den investering, der skal til for at opdatere netværksudstyr og etablere et sikkert driftssetup.

Hvad kan sikkerhedsopdateringen bestå af?

Indholdet af en opdatering af virksomhedens IT-netværk og generelle connectivity afhænger af, hvilken situation, den enkelte virksomhed står i. Generelt er der dog en række elementer, som er helt centrale:

Lifecycle Management

Det er ikke nok at udskifte det eksisterende hardware. Den nye hardware skal registreres, løbende opdateres med firmware og tages ud af drift og bortskaffes forsvarligt, når det ikke længere bruges eller er blevet forældet: Det enkelte elements livscyklus skal registreres og dokumenteres.

Virksomheden bør sørge for altid at have et samlet detaljeret overblik over, hvilke enheder, der er i brug, hvordan de bruges og af hvem. Det er også vigtigt, at Lifecycle Management-systemet fodres med nyeste informationer om de enkelte enheder; det kan være, at producenten oplyser, at en enhed har en sårbarhed, der kan have indflydelse på netværkets sikkerhed. Informationerne fra Lifecycle Management-systemet er således med til at fortælle, hvornår hardware skal udskiftes, så virksomheden hele tiden er sikker på at opretholde det ønskede sikkerhedsniveau.

Automatisk udrulning og opdatering

I større virksomheder er det omfattende at vedligeholde sine netværksløsninger. Det kan derfor være oplagt at automatisere såvel udrulning (deployment) samt opdatering af alle netværkskomponenter. Automatiseringen hjælper med til at sikre, at både udrulning og opdateringer sker på optimale tidspunkter, så det ikke forstyrrer driften – og risikoen for menneskelige fejl eller forglemmelser minimeres.

Det er også en god idé at planlægge servicevinduer med korte intervaller til opdatering af firewalls. På netop dette område bevæger udviklingen sig hurtigt og idet firewalls er første barriere mod angreb, så er det vigtigt, at de altid er opdaterede. Virksomheden kan overveje at etablere et redundant setup, som gør det muligt at foretage opdateringer uden at det får indflydelse på produktionen.

Segmentering og fleksibilitet

Det er tilrådeligt at segmentere netværket for at kunne hindre spredning af malware, der har fundet vej ind i netværket. Segmenteringen kan ske både ved hjælp af VLANs, men også ved at isolere kritisk udstyr bag firewalls. I et konkret projekt hos en kunde blev der for eksempel opsat firewalls foran hver produktionslinje.

Segmenteringen understøtter et fleksibelt setup, hvor virksomheden hurtigt og effektivt kan isolere de enkelte segmenter fra hinanden. En effektiv segmentering kræver dog også både struktureret opsætning og vedligehold: Der skal for eksempel være nøje (dokumenteret) styr på, hvilke kommunikationsprotokoller, der skal åbnes i den enkelte firewall – og det stiller krav til leverandører og produktejere, som skal være i stand til at oplyse, hvilke protokoller og porte, der anvendes.

Håndtering af cloud-løsninger

Den øgede brug af cloudbaserede services gør virksomheden sårbar. Det er nødvendigt for driften at have forbindelse til clouden via internettet, hvilket stiller øgede krav til opsætningen af det interne IT-netværk. Her er det også helt afgørende, at virksomhedens firewalls er korrekt konfigurerede og opdaterede – og at netværket er segmenteret. Hvis virksomheden har flere lokationer, bør man etablere lokale adgange til internettet på hver lokation. Det betyder, at det bliver lettere at segmentere det centrale netværk, og man slipper samtidig for at skulle håndtere den øgede belastning, som cloud-tilgang skaber, i det centrale netværk.

Certifikatbaseret wi-fi

Hvis virksomheden har et trådløst netværk, skal det evalueres grundigt. Med wi-fi er der potentielt en let adgang til netværket, idet enhver moderne PC/laptop med trådløst netværk kan forbinde sig, hvis ikke sikkerheden er tilstrækkelig høj.

Virksomhedsnetværket bør sikres med certifikater og processer, der sørger for vedligeholdelse af dem. Det garanterer, at kun godkendt udstyr kan forbinde sig til wi-fi-netværket. Virksomheden kan stille et åbent netværk til rådighed for gæster, så de har mulighed for at forbinde til internettet uden at komme i kontakt med virksomhedens interne infrastruktur.

IT-sikkerhed i produktionsvirksomheder

Adskillige produktionsvirksomheder står med specielle udfordringer i forhold til deres produktionsudstyr. Produktionsudstyret har en lang levetid og det kan betyde, at styringssoftwaren baserer sig på gammelt hard- og software, som ikke nødvendigvis ’taler sammen’ med moderne netværksløsninger. Og typisk har leverandører af produktionsudstyr kun sjældent opdateringer til styringssystemerne, der ofte ikke kan følge med den hurtige udvikling.

Det betyder, at man som virksomhed står over for enten at skulle modernisere sit produktionsapparat, eller etablere workarounds i sit netværk, for at tilgodese kravene til sikkerhed. Det kan blandt andet gøres med segmentering, som nævnt tidligere i eksemplet fra et kundeprojekt, der opsatte firewalls foran den enkelte produktionslinje for at sikre eventuelt forældet udstyr ved at isolere det fra det centrale netværk.

IT-sikkerhedens succesfaktor: Brugerne

Medarbejderne er centrale i alle virksomheder. Og det er medarbejderne, der bruger IT-systemerne, netværket og produktionsudstyret, så virksomheden kan opretholde driften. Det betyder også, at brugerne har stor indflydelse på virksomhedens IT-sikkerhedsniveau. Selv et teknisk velgennemtænkt og velimplementeret IT-sikkerhedssetup kan fejle, hvis ikke brugernes adfærd også understøtter sikkerheden.

Det er en kendt sag, at det tager tid og kræver indsats for at ændre på menneskers adfærd og kultur – vi ved alle, hvor svært det er at ændre vores rutiner og vaner, også selv om vi godt kan se det fornuftige i at gøre det. Som tidligere nævnt er det vigtigt at definere og fastlægge den overordnede strategi for IT-sikkerheden i virksomheden. En skarp strategi gør det nemmere at skabe tydelige og fornuftige rammer for brugerne – og at kommunikere klart og utvetydigt.

Kommunikationen til brugerne kan ikke prioriteres højt nok. Det handler både om, at ledelsen skal gå forrest med egne handlinger, være loyale overfor rammerne og i særdeleshed om at kommunikere ofte, tydeligt og gennem flere kanaler. Det kan være en god idé både at afholde korte informationsmøder, mini-kurser (fysiske og online), skabe synligt informationsmateriale (plakater, infoskærme, gimmicks etc), simulere cyberangreb (for eksempel med fiktive phishing-kampagner via mail) og, efter nogen tid, måle på, om adfærden har ændret sig.

Målet med kommunikation til og uddannelse af medarbejderne er at opnå en kulturforandring: Det skal være helt naturligt at handle proaktivt og være i stand til at identificere potentielle risici, før de bliver til virkelighed. Det skal også være naturligt at reflektere over IT- og datasikkerhed i hverdagen og at sparre med hinanden og tale åbent og ærligt om fejl og sikkerhedsbrud. Samspillet mellem tekniske løsninger og menneskelige processer er helt grundlæggende for en stabil og stærk IT-sikkerhed.

Har du taget et kig på jeres IT-sikkerhed for nylig? Og ved du, hvad et succesfuldt angreb potentielt set kan betyde for virksomheden? I kaastrup|andersen har vi stor erfaring med afdækning og kortlægning af sårbarheder, potentielle risici og mulige konsekvenser. Vi hjælper med vejledning og sparring, som munder ud i konkrete planer for implementering – som vi efterfølgende er med til at eksekvere. Du kan også læse om, hvordan vi arbejder med infrastruktur og sikkerhed.

Kontakt Department Manager, Business Infrastructure & Security, Tina Hentze på +45 7027 7719 eller tlh@kaastrupandersen.dk og få en uforpligtende snak om, hvordan vi sammen sikrer din virksomhed (endnu) bedre.

Vil du vide mere?

Tina Lykke Skafsgaard Hentze

Department Manager, Business Infrastructure & Security
+45 70 27 77 19
Kontakt mig