Kanskje har du alt på stell og trenger ikke å gjøre noe? Regelmessige medieoppslag viser imidlertid at det ikke er tilfellet hos mange. Siden folk helst ikke snakker høyt om flaue saker som dette, kan vi regne med at det vi ser i mediene, bare er toppen av isfjellet.
Basefarm jobber som digitale konsulenter – med DevOps-plattformer for nyutvikling, virksomhetskritisk IT-drift, big data-løsninger og hybride skyplattformer, både fra egne datasentre og offentlige skytjenesteleverandører som Microsoft Azure og Azure Stack.
Med utgangspunkt i sin brede driftskompetanse kan selskapet fortelle mye om hva som faktisk kan forekomme av sikkerhetsbrudd i en virksomhet. Det handler om praksis, ikke teori. Basefarm går også inn med konsulenter. Da sørger selskapet for brannslukking ved grove sikkerhetsbrudd og langsiktig etablering av et velfungerende sikkerhetsregime både teknisk og organisatorisk.
Basefarm gjør dette også hos virksomheter som drifter IT-systemene selv eller via en partner, og mener det er sunt med et blikk utenfra fra en uavhengig aktør.
– Det første jeg ville gjort? Kjøre sårbarhetsanalyser og penetrasjonstester! Detectify og andre sårbarhetsanalyseverktøy kan avdekke sikkerhetshull, men det kan likevel være andre mekanismer på plass som gjør tingene vanskelige for hackere. En PEN-test skjer ved at en snill hacker tester sikkerheten på samme måte som skurkene ville ha gjort, sier Esten Hoel, som er Senior Vice President for kvalitet og sikkerhet i Basefarm.
Basefarm ser sikkerhet også fra et forretningsmessig perspektiv.
– Lønner sikkerhet seg? Selvsagt kan visse sikkerhetsgrep være for kostbare. Går hele arbeidskapitalen til sikkerhetstiltak må du jo legge ned. Samtidig kan sikkerhetshendelser bli enormt kostbare gjennom tapte inntekter og tap av renommé. Det blir en avveining om man vil satse på at ting går bra og eventuelt ta kostnadene ved innbrudd, eller sikre seg best mulig.
– Som regel er det bedre og rimeligere å patche serverne enn å gjenopprette renomméet hvis noe skulle gå galt.
Hoel forteller at den klassiske måten å drive innovasjon og utvikling på, er å holde drifts- og sikkerhetsfolkene på armlengdes avstand så lenge som mulig. – Ja, det er utrolig, men sant, sier han.
Kvelden før tjenesten skal i produksjon, sjekker man kanskje at sikkerheten er god nok, for sikkerhet er jo viktig, tross alt. Problemet er at man da mest sannsynlig finner sikkerhetsutfordringer mens lanseringen bare er noen timer unna. Så blir det lansering likevel – med uønsket smell, tilbakespoling, medieomtale og mange ukers utsettelse for å få sikkerheten på plass.
– God sikkerhet og compliance gir færre problemer og mer glede. Gjør sikkerhet til en del av hele bedriftskulturen også utover IT, og vær rundhåndet med ros og belønning til dem som går foran med et godt eksempel, sier Hoel.
Sikkerhet er et felles ansvar for alle. I nye utviklingsprosjekter kan du fra begynnelsen av etablere sikkerhet som en integrert del av kulturen. Dette gjelder spesielt DevOps-prosesser, der alle fra utvikling til IT-drift jobber på samme plattform. En bonus er at sikkerhet og compliance relativt enkelt kan bli en del av det samme løpet. Å tenke sikkerhet fra dag én er ingen bremsekloss, men snarere en forsikring for å kunne lansere til rett tid. Det er ikke mange forunt å starte med blanke ark og fargestifter til på denne måten. Da må de dypere ned i materien for å få sikkerheten inn som en del av livssyklusen til systemer og applikasjoner. De kommer langt ved å følge de øvrige rådene her.
Start med det helt grunnleggende: Ha fortløpende kontroll over fysiske enheter, programvare og integrasjoner internt og eksternt. Objektene og dataene dine kan være plassert internt eller hos ulike leverandører, inkludert i skyen. Grunnmuren du bygger gjennom dette, krever i større grad disiplinert arbeid enn store produktkunnskaper og omfattende investeringer. Hvorfor skal du ha oversikt over noe som er eksternt? Det er fordi du godt kan outsource driften, men ikke ansvaret for forretningsrisikoen. Nei da, du trenger ikke vite alt i minste detalj, men du har like fullt ansvaret for vesentlige sikkerhetsaspekter på et nokså detaljert nivå. Heldigvis finnes det løsninger og skript som kan skanne systemer og bygge og ajourføre dokumentasjon. Basefarm har investert millioner i å dokumentere og sette opp enhetlig infrastruktur som lett lar seg duplisere for testformål eller til nye leveranser.
Sørg for riktig konfigurasjon av IT-løsningen. Her finnes det mengder av veiledninger for alt fra relativt enkle oppgaver som å sette opp en Microsoft Windows-server til å konfigurere et brannmurnettverk slik at det slipper inn og ut det som skal, verken mer eller mindre. Utfordre applikasjons- og systemleverandørene på det øvrige. Sjekk integrasjonene.
Følg et minimumsprinsipp for tilgang til å tukle med konfigurasjoner (admin-rettigheter). Bare de som har kompetanse til slikt, og som trenger tilgang for å gjøre jobben sin, skal ha tilgang.
Skann regelmessig etter kjente sikkerhetshull ved hjelp av verktøy fra for eksempel Detectify, som er Basefarms samarbeidspartner for webapplikasjoner. Bruk helst en funksjon for automatisk skanning, og fiks problemet snarest når verktøyet avdekker et nytt sikkerhetshull. Utviklerne skriver i dag 10–20 prosent av koden selv og henter resten fra biblioteker, uten garanti for at disse er sikre. Ha testmetodikk på plass før koden integreres i egne produkter. Vær grei og varsle utviklerne om hull du finner, slik at de kan fikse dem før hele verden får vite om det.
De fem første tiltakene vil mange IT-organisasjoner være i stand til å gjennomføre selv hvis de har tid. Dette er tiltak som ikke krever superspesialist-kompetanse på sikkerhet, bare et bevisst forhold til sikkerhet og hardt arbeid. Gjennom slike tiltak kan du erfaringsmessig luke ut mellom 80 og 95 prosent av sikkerhetsutfordringene du møter eller kan komme til å møte. Fra å ha levd i uvisshet om hvordan det ligger an med sikkerheten, får du større sikkerhet og bedre orden. Først nå kan du gi deg i kast med å identifisere og stoppe mer avanserte angrep, inkludert de som er målrettet mot bestemte applikasjoner. Det nytter lite å starte med dette uten at grunnmuren i punktene 1 til 5 er på plass først. På nettet pågår det et enormt antall rudimentære angrep mer eller mindre blindt av kriminelle enkeltpersoner eller virksomheter som vil tjene penger eller drive sabotasje. Disse forsvarer du deg i stor grad mot med de enkle midlene vi har beskrevet her.
Bygg dokumentasjon og rutiner underveis i gjennomføringen av disse trinnene. Å jobbe med dette konkret og praktisk er en øyeåpner og noe også IT-ledelsen vil ha glede av å være med på.
Esten Hoel er leder for kvalitet og sikkerhet i Basefarm. Han har lang erfaring med IT, telekom, prosjektledelse, prosessledelse og sikkerhet. Han har sittet på begge sider av bordet, både som kunde og som leverandør. Da han begynte i Basefarm, fikk han et enkelt mandat: å «sette nerdene i system». I årene som har gått siden den gang, har han erfart hvordan kravene fra markedet og kundene har endret seg i takt med digitalisering, tjenesteutsetting og nå multi-sourcing i hybride økosystemer av tjenesteytere.
© Copyright 2019 – Basefarm
OM IT-STRATEGI OG VAFFELLAGING 
