Til hovedinnhold

– 2013 blir mobilhackernes år

NorSIS ser store sikkerhetsutfordringer for norske bedrifter

14640253, Istockphoto

NorSIS, Norsk senter for informasjonssikring, tror NFC-hacking, plattformuavhengig skadevare og angrep på mobile betalingsløsninger er blant truslene vi kan forvente i 2012.

En av de store utfordringene i denne situasjonen er mobile applikasjoner og distribusjonen av disse. Apples App Store og Microsofts Store forhåndsgodkjenner innhold i sine applikasjonsbutikker. Det gjør ikke Androids Google Play. Den største utfordringen er likevel alle applikasjonene som sirkulerer utenfor de offisielle kanalene, og kan lastes ned fra hvor som helst.

Sosiale medier blir en mer utbredt angrepskanal, ifølge NorSIS. For bedrifter blir det en utfordring at personlig og jobbrelatert informasjon i større og større grad flyter over i hverandre.

BYOD, bruk av egne dingser i jobbsammenheng, er i ferd med å bli dagligdags, særlig innenfor en del kreative yrker. Dette stiller krav til retningslinjer og sikkerhetsregler for hvordan disse implementeres og tilknyttes bedriftens øvrige nettverk.

Saken fortsetter under illustrasjonen.

EUs organisasjon for nettverks- og informasjonssikkerhet ENISA har publisert dette bildet på den forventede trusselutviklingen i 2013.Foto: ENISA

Stryk i undersøkelse

I takt med at nettsky-applikasjoner av forskjellige slag blir mer utbredt, vil også disse bli mer attraktive mål for potensielle skadegjørere. Bedrifter vil måtte stille strenge sikkerhetskrav før de vurderer å sette en tjeneste ut i skyen.

NorSIS oppfordrer norske bedrifter og privatpersoner til å bygge opp en sikkerhetskultur. Alle må klassifisere informasjonen sin og besvisstgjøres i forhold til hva som kan komme på avveie.

I den forbindelse må NTNU-student Marte Tårnes’ prosjektoppgave være nedslående lesning. Sisteårsstudenten på mastergraden i kommunikasjonsteknologi ved NTNU intervjuet IT-sikkerhetssjefer i fem selskaper om graden av systematikk de brukte for å måle sikkerhetsarbeidet sitt.

Resultatet kan være nedslående eller inspirerende – avhengig av øyet som ser:

Av de fem bedriftene – to mellomstore private og tre store offentlig eide selskaper, var det lite måling som ble gjort, samtidig som det lille som ble gjort ikke var særlig systematisk.

– Man vet kanskje ikke helt hvor man skal begynne og hva man skal måle. Det vi fant var at det var litt tilfeldig hva som ble gjort. Noen hadde for eksempel revisjoner, uten at du kan kalle det direkte målinger, sier Tårnes til Mobilen.no.

–Manglende interesse fra ledelsen

Tårnes understreker at siden undersøkelsen bare gjaldt fem tilfeldig utvalgte bedrifter, kan ikke rapporten generaliseres til å omhandle norsk næringsliv generelt.

Tårnes’ undersøkelse avdekket et betydelig forbedringspotensial hos de bedriftene som ble undersøkt. Ingen av bedriftene brukte standarden ISO 27004, som håndterer måling av informasjonssikkerhet.

ISO 27001 og 27002 var forholdsvis utbredt i de undersøkte bedriftene. Disse dreier seg mer om hvordan man implementerer styringssystemer. 23-årige Tårnes tror måling ofte kommer sent i prosessen, selv om det anbefales å ha det med hele veien.

– Måling av sikkerheten blir prioritert, men kanskje ikke på riktig sted av rett person. Ofte mangler forankringen i ledelsen, og det er der det stopper opp, sier Tårnes til Mobilen.no.

Les også: Gartners råd til bedrifter om "Bring Your Own Device"

annonse