Håndbok i ‘Datasikkerhet – introducton’

<< Back to my publications

Fagbokforlaget, siste utgave 2019

Høsten 2020 ble Stortinget utsatt for dataangrep, i tillegg 7 kommuner. Helse Sørøst har tidligere vært angrepet, Hydro også. Hvor godt er Norge forberedt på en tid hvor angrep ikke bare kan komme fra kriminelle, men også fra stater med store ressurser?

Håndbok i datasikkerhet ble først lansert i 1987 og har derfor vært gjennom mange faser av sikkerhetsarbeid. I starten var bildet på god sikkerhet en festning, slemmingene ble stengt ute.

Senere medførte datanettverkene at alle deler av nettverket måtte beskyttes, hovedmaskiner, bimaskiner og nettverket. Det siste ble lite påaktet i starten, særlig fordi få datafolk var gode på nettverk.

Neste store skritt var Internett, det ga muligheter for at kunder og partnere kunne arbeide på hovedmaskinen eller andre viktige deler av sentret. Mer og mer forsto man at andre typer beskyttelse behøves. Man fikk brannmurer, de var satt opp for å slippe inn bare godkjente brukere. Men prosedyren for dette var fremdeles nokså manuell, og etter et år kunne innstillingene for brannmurene være foreldet. Fagfolk mumlet om at penger til innkjøp var lett å få, men ingen ville betale for oppfølging.

Ansvaret for datasikkerhet ble diskutert i alle disse år, det ansvaret ligger hos administrerende direktør. Men har direktøren den nødvendige kjennskap til moderne sikkerhet?

Han eller hun kan ansette ansvarlig for datasikkerhet, men de er vanskelig å finne. Det er antakelig bare en spesialistutdannelse i Norge. Fagfolk er mangelvare, da går lønningene opp.

Og i en stor bedrift kan ikke sikkerhetsansvarlig være alle steder, avdelingslederne må ta ansvar for sikkerheten innen sitt område. Men har de innsikt og forståelse, da? Det betyr også at sikkerhetsansvarlig må være god til koordinering, ikke sikkert utdannelsen inneholdt det.

Sikkerhetsarbeidet starter ideelt med en sikkerhetspolicy. Der setter man mål for sikkerheten, den kan være forskjellig for ulike deler av bedriften. I 2011 hadde Helse Vest ingen sikkerhetspolicy, det gjaldt nok også andre deler av Helse. Mye taler for at mangelen er der fremdeles. For ikke lenge siden outsourcet Helse Sørøst 2,9 millioner pasientjournaler til USA hvor man i realiteten ikke har personvern.

Neste skritt kan være en sikkerhetsarkitektur, stort sett hvem skal ha lov til hva. Hjemmesider og tilsvarende kan være tilgjengelige for alle, mens følsomme deler av systemet, det såkalt «aller helligste», er tilgjengelig kun for få utvalgte. Det er ikke lett å lage fornuftige begrensninger som følgelig bør diskuteres i detalj.

Nye applikasjoner bør ta hensyn til sikkerhetsarkitekturen. Viktige applikasjoner krever at «noen» gjør viktige endringer når det gjelder adgang, testing, oppdatering. knytning til andre produkter osv., dette må ikke være i konflikt med sikkerhetsarkitekturen. Disse «noen» som kan gjøre endringer må trolig sikkerhetsklareres og bør helst begrenses i antall.

Autorisering er vanskeligere å gjøre til enhetlig metode. Det er å lage et system slik at autorisasjon blir tildelt til de som bør ha det og ingen andre. Dette innebærer at man også har et system for å beslutte hvem som tildeles autorisasjon for ulike deler av et komplekst system. Autorisasjon kan være dynamisk, slik at for eksempel full adgang kun tillates når absolutt nødvendig. En norsk bedrift ga rollen som tildeler av autoritet til en ferievikar, det er i hvert fall ikke tilrådelig. Leger har ofte klaget over et tungvint autoriseringssystem.

Sikkerhetsstandarden heter ISO 27000 som egentlig er en familie av standarder. Den legger vekt på ledelsen av sikkerhetsarbeidet og å identifisere sikkerhetsrisikoer. Den omfatter en ordliste. Det gjør Håndboken også.

I tillegg anbefaler Håndboken ISO 2000 (IT Service Management) fordi den stiller kvalitetskrav til datasystemer. Hvis en applikasjon gir feil svar, ikke kjører eller innebærer en sikkerhetsrisiko kan dette oppdages innen ISO 20000-metodikken.

Håndboken var den første bok som anbefalte begge standarder, og er kanskje alene om dette selv i dag.

Håndboken er på 518 sider og går sjelden ned på detaljnivå. Det viser litt om hvor stort og vanskelig temaet datasikkerhet er.