Nogle af disse krav skulle være implementeret pr. 1. januar 2020 og andre skulle have været på plads 1. juli 2020, altså for 15 dage siden.
Her er tale om minimumskrav, der bla. skal forhindre hacking, men også løfte datasikkerheden, fx. omkring håndteringen af personhenførbare data, adgang til fortrolige data, mv.
Som sagt, så kan denne check liste også benyttes af private virksomheder til at løfte sikkerheden. Jeg ser også en stigende tendens, hvor disse krav bliver stilet til statens leverandører.
I denne COVID-19 periode hvor mange har arbejdet hjemme er mange af disse krav blevet endnu mere vigtige at have implementeret.
Jeg har klippet lidt i vejledningen og samlet det i dette skema:
Punkterne uddybes på Sikkerdigital.dk’s hjemmeside her og man kan hente en PDF liste her.
Kravene er godkendt af styregruppen for den nationale cyber- og informationssikkerhedsstrategi og bygger på vejledninger og anbefalinger fra Center for Cybersikkerhed, Digitaliseringsstyrelsen og Datatilsynet. Kravene er dateret 30. september 2019.
Mobile enheder SKAL håndteres med en EMM løsning!
Tager jeg mine mobility briller på og ser på punkterne 12-14, så er dette en uoverkommelig opgave, såfremt man ikke bruger en EMM-løsning, til at administrere smartphones og tablets, som benyttes. Hvordan ville man ellers kunne kontrollere at denne politik følges af alle, at enhederne er opdateret!
En EMM løsning kan med en simpel “compliance” regel tilsikre, at alle enheder benytter altid seneste version af operativsystemet. Når EMM løsningen udruller de arbejdsrelaterede apps, så kan EMM-løsningen også automatisk tilsikre at det altid er den nyeste version af de forskellige apps, der ligger på enhederne. Og endelig så kan kravene til en pinkode (12) på minimum 6 cifre fastsættes og udrulles med EMM-løsningen.
2FA eller endnu bedre MFA!
Et andet punkt, som jeg hæfter mig ved, er implementeringen af 2 faktor authentikering – 2FA (10)! I mine øjne gælder dette ikke kun for adgang til webmail, men bl.a. også brugere af Microsoft Office 365, herunder OneDrive.
Hackernes foretrukne angrebsmetode – fordi succesraten er så stor – er phishing. Altså at man får en person til at klikke på et link og måske endnu bedre lige at logge ind med deres brugernavn og password på en fup-side. Vi har set, at denne angrebsform fx. sker via en privat besked på LinkedIn, og altså ikke kun som en almindelig email.
Implementeringen af en to faktor løsning (“2FA”), altså hvor man fx. skal indtaste den kode, som man får tilsendt på en sms, løfter sikkerheden gevaldigt.
Hvad med servere ?
Jeg har sat en lille * ud for “Klienter/PC’er” fordi jeg også mener, at dette bør gælde organisationens servere. Jeg kan slet ikke forestille mig vitale servere uden malware beskyttelse!
Fjerne lokal administrator rettigheder, pkt. 6.
Flere organisationer har lukket helt ned for at en bruger selv kan installere programmer, mv. Det er fint, for dette kan også forhindre at malware bliver eksekveret på PC’en. Men som vi så i COVID-19 periodens første uger, så kan folk heller ikke installere fx. deres private printer på hjemmekontoret.
Med værktøjet “Admin By Request” kan IT-afdelingen let styre rettighederne for deres brugere.
COMM2IG kan assistere på de fleste af de 21 punkter. Nogle gange er de allerede eksisterende løsninger, der blot skal ændres lidt i for at funktionerne aktiveres. Andre gange skal de eksisterende løsnigner lige omdesignes lidt. Og igen, så skal der måske en helt ny løsning til for at løse den pågældende udfordring. Det kan vi naturligvis rådgive om.
