Sikker IT-infrastruktur kræver god IT-hygiejne

Er det ved at være tid til at få sat flueben ved punkterne på din To-Do liste, eller udsætter du også til i morgen, hvad du skulle have klaret i går?

En sikker IT-infrastruktur kræver god IT-hygiejne, kontinuerligt vedligehold af både hardware, software og processer, samt et godt blik for sikkerhedsanbefalinger.

Vi har ramt efteråret. Gråvejrs- og regnvejrsdagene bliver flere end dagene med sol fra en skyfri himmel. Bladene falder af træerne, og blomsterne i krukken på terrassen visner hen. Og så er der havemøblerne, som står midt på terrassen, og minder dig om din dårlige samvittighed, fordi du ved, at du allerede burde have klargjort dem til vinteren og stillet dem tilbage i skuret. Du ved, at det ender med, at du sætter dem ind i skuret i silende regn, og at rengøringen kommer til at vente til foråret, hvor rengøringsopgaven bliver større – præcist som sidste år.

Hvor skal vi hen med historien om havemøblerne?

Det er en triviel og kedelig opgave, som skal klares hvert år, og selvom frekvensen er højere, så er triviel og kedelig også en opgavebeskrivelse mange IT-afdelinger vil sætte på almen IT-hygiejne. De trivielle og kedelige opgaver, er dem vi ofte ender med at udsætte igen og igen, hvilket øger risikoen for sårbarheder, der i værste fald kan medføre endnu mere arbejde.

Regelmæssigt vedligehold

Mange systemer bruges kun i kortere perioder eller på bestemte tidspunkter. Måske er systemerne slukket resten af tiden, men der er en stor sandsynlighed for, at de kun er i ”idle” mode, indtil der igen er behov for kapaciteten, tjenesterne eller ressourcerne. Og det er heller ikke sjældent, at systemer får lov til at leve videre, selvom der ikke længere er et behov, eller de er blevet erstattet af nyere og bedre systemer. Det er en mindre risiko, hvis systemerne er opdaterede og konfigureret med tanke på sikkerhedsanbefalinger, men det scenarie ser man ikke så ofte, fordi regelmæssigt vedligehold er en opgave, der ofte udsættes eller helt undlades.

Husk god IT-hygiejne

Hos Conscia Cyber Defense har vi desværre ofte set, at brud på IT-sikkerheden er sket som følge af glemte systemer, eller systemer der ikke har været opdateret, hvorved sårbarheder er blevet udnyttet i succesfulde angreb. Forglemmelserne, eller den manglende opdatering sker oftest ikke af ond vilje, eller fordi nogen ikke passer sit arbejde, men fordi der ikke er en ordentlig proces for at komme i mål med det basale. Så moralen her er, at god IT-hygiejne styrker IT-sikkerheden. Faktisk er den basale IT-hygiejne den første anbefaling i CIS (Center for Internet Security) rammeværket, som er et rammeværk, der består af 18 hovedkontrolpunkter med i alt 153 prioriterede sikkerheds-anbefalinger fordelt på tre implementeringsgrupper, kaldet IG1, IG2 og IG3.

CIS-kontroller

Her er IG1 den basale IT-hygiejne, og implementeringsgruppen indeholder på tværs af de 18 kontrolpunkter 56 sikkerhedsanbefalinger, som ved implementering styrker sikkerheden markant. Ifølge CIS, vil implementering af anbefalingerne under IG1 yde beskyttelse mod 74% af MITRE ATT&CK teknikker og sub-teknikker, som ofte ses ved malware, ransomware- og phishingangreb.

Men IT-hygiejne, CIS-kontroller og implementeringsgrupper kan virke som en stor mundfuld, måske især for virksomheder i SMV-segmentet. Det særlige ved CIS-anbefalingerne under IG1 er dog, at de netop henvender sig til de små eller mellemstore virksomheder, med begrænsede eller ingen dedikerede IT-sikkerhedskompentencer. Det betyder, at SMV’erne kan nå et langt stykke af vejen, for relativt små midler, og med en relativt lille indsats.

Ud af de samlede 56 anbefalinger under IG1, har jeg her valgt at fremhæve et par stykker, som jeg synes særligt godt om:

  • Identificer jeres IT-aktiver og lav en liste, som I vedligeholder. Et præcist kendskab til IT-aktiver, er essentielt, fordi I ikke kan beskytte det, I ikke kender til.
  • Identificer brugerkonti og lav en liste, som I vedligeholder. Det er vigtigt, at kun nødvendige konti er aktive, og at konti der ikke længere er nødvendige, deaktiveres.
  • Begræns administratorrettigheder til dedikerede administratorkonti. Almindelige opgaver skal klares på almindelige brugerkonti, og administratoropgaver skal klares på dedikerede administratorkonti – lokaladministrator kontoen skal vi af med!
  • Få styr på jeres backup, og sørg for at I passer ordentlig på backup’en. I bør også sikre jer, at det er en funktionel backup, I har taget.
  • Sørg for at jeres ansatte kender til potentielle IT-relaterede trusler, og træn dem. Det er vigtigt at kunne skelne mellem reel forretningskommunikation og phishing-forsøg, og det er helt ok, at man ikke stoler blindt på alt, hvad der lander i indbakken.

Kontrollerne i CIS-rammeværket, hjælper med at få struktur på de trivielle og kedelige opgaver, som er så nødvendige for at højne IT-sikkerheden, men hvis I alligevel føler, at CIS kontroller er en stor mundfuld, står vi i Conscia klar til at hjælpe jer på rette vej. Havemøblerne må I dog desværre klare selv!

Vil du læse mere om CIS-kontrollerne? Så kan du downloade vores whitepaper her.