Flesteparten av kommunene som kontakter oss i Atea for en status på IT-sikkerhet og risikobilde har samme utgangspunkt: Den administrative eller politiske ledelsen vil vite hvordan kommunen er rustet mot hackere eller IT-angrep. Ofte etter at ledelsen selv har lest om hendelser i pressen den senere tiden.
De fleste henvendelser fra kommunene er relativt like: «Hei! Jeg har lest denne artikkelen, kunne dette skjedd hos oss?»
Svaret er enkelt – de har ikke kontroll
Før kommunene kontakter oss eller andre leverandører er som oftest dette status: Kommunen har som regel investert i en del IT-sikkerhetsprodukter, men de vet ikke om disse er oppdaterte eller fungerer optimalt. Så mest sannsynligvis kunne IT-angrepet skjedd hos denne kommunen også. Og uten et verktøy som samler hendelser og sender loggene til et Security Operations Center, der sikkerhetsanalytikere sitter og studerer alarmer og avvik, er svaret helt riktig: Kommunen har ikke kontroll.
Dette betyr at man må fastslå hva som er «sikkert nok» og definere organisasjonens utgangspunkt knyttet til sikkerhet.
Da kommer som regel bestillingen om at IT-avdelingen skal kartlegge dagens status grundigere og presentere dette for ledelsen. Så kan ledergruppen ta stilling til egen risiko opp mot kostnader, for eventuelt å være mer robust og motstandsdyktig mot eventuelle hackerangrep. Dette betyr at man må fastslå hva som er «sikkert nok» og definere organisasjonens utgangspunkt knyttet til sikkerhet.
Hvor begynner man?
I Atea har vi satt oss godt inn i myndighetenes retningslinjer og utviklet en modenhetsanalyse med formålet om å gi en status. Dette er en inngående analyse av virksomhetens status, som skal gi svar på virksomhetens modenhet ved å avdekke sikkerhetsprosesser, styringsverktøy og hvordan den forholder seg til teknologiene som brukes.
Hva skal prioriteres?
Det er viktig å definere rammene. Dette omhandler: omfang, avgrensninger, økonomi, personell og tid. Man forsøker å finne ut hvor «skoen trykker mest» for å kunne starte i riktig ende. Dersom første fase viser at området som gir størst grunn til bekymring er evnen til å oppdage og håndtere sikkerhetshendelser. Ja, da starter man med denne delen av analysen. Slik kommer vi raskt i gang med å definere tiltak som har stor nytte og tetter hull tidlig i prosessen. Vanligvis avdekker også dette «lavthengende frukt» i form av enkle tiltak som har stor effekt.
Kommunen må være delaktig
Det er ingen vits i å bestille en analyse uten at ledelsen i kommunen tar eierskap og involverer seg i resultatet av gjennomgangen. Ledelsen får som regel en øyeåpner når de ser på deres egenvurdering opp mot de reelle funnene og de anbefalte resultatene.
Inkluder ledelsen i kommunen i prosessen og bli enig om et akseptabelt risikonivå. Deretter, sett opp en prioritert liste med anbefalte utbedringstiltak i form av et program for virksomhetsoptimalisering og utbedringstiltak.
Heldigvis er det flere og flere ledere som anerkjenner at IT-sikkerhet er deres ansvar, og at dette er noe de ikke kan delegere bort eller legges i en skuff. Tap av rennomme og økonomiske verdier etter et IT-angrep kan skade alle virksomheter, både offentlige og private, uansett hvor liten eller stor de måtte være.
Kan være fatalt
Det er sikkert mange IT-ansvarlige i det offentlige som kjenner seg igjen i denne situasjonsbeskrivelsen: De har lagt ned vanvittig mye tid, testet løsninger opp mot hverandre og funnet ut hva som vil være den optimale løsningen for egen IT-infrastruktur. Alt for ofte har dette resultert i at tilbyderne til offentlige anskaffelser skriver smarte besvarelser, der man tilbyr et minimum som dekker sikkerhetskravene, med det formålet å prise seg så lavt at tilbudt løsning blir valgt. Her er det ofte innkjøpsavdelingene, og ikke IT-avdeling, som ser tilbudene opp mot hverandre og velger tilbyder etter lavest pris.
At folk som ikke har spisskompetanse på teknologien og er målt på å spare penger tar avgjørelsene, kan i mange tilfeller være fatalt for egen sikkerhet.
At folk som ikke har spisskompetanse på teknologien og er målt på å spare penger tar avgjørelsene, kan i mange tilfeller være fatalt for egen sikkerhet.
IT-avdelingen som har gjort et godt stykke arbeid med å kvalitetssikre løsningene, opplever at de blir spilt opp i et hjørne, og ender opp med en løsning som ikke tilfredsstiller hverken kravene til sikkerhet, GDPR eller intern kompetanse.
Myndighetenes løsning
I et møte jeg deltok på hos Justisdepartementet, dukket det opp informasjon (Pressemelding - Større fokus på sikkerhet i anskaffelser) om et «kvalitetssikrings-verktøy» i form av en veileder (Veileder om ivaretakelse av sikkerhet i offentlige anskaffelser | NFD og FD, 21. november 2019). Litt forenklet, har denne veilederen gjort det lettere for IT-avdelingene å slå i bordet og kreve at deres ønsker og vurderinger rundt IT-sikkerhet blir ivaretatt i offentlige anskaffelser.
Basert på den nye veilederen fra myndighetene om ivaretakelse av sikkerhet i offentlige anskaffelser, får du her noen tips som vil sette IT-avdelingen i større grad i førersete til å kunne bestemme hvilken leverandør/produkt de ønsker å velge i anbudsforespørsler fremover.
Veilederen gir IT-sjefen i det offentlige flere lissepasninger når det kommer til å argumentere for hvorfor pris blir sekundert, når man mener at det er store kvalitetsforskjeller i tilbudene. Blant annet kravet om at en i forkant av et innkjøp, som kan påvirke eller relateres til sikkerhet, må foreta en risikovurdering av anskaffelsen. Det burde gi store muligheter for innkjøpsavdelingen til å involvere IT-avdelingen i begrunnelsen for valget av løsningen.
Veilederen viser handlingsrommet
Veilederen har som mål å synliggjøre handlingsrommet i anskaffelsesregelverket, og gjennom dette hvordan offentlige oppdragsgivere kan ivareta norske sikkerhetsinteresser når de gjør innkjøp.
Den nye veilederen har derfor også en omtale av hvordan offentlige oppdragsgivere kan ivareta sikkerhet i anskaffelser som ikke faller inn under sikkerhetsloven, men hvor sikkerhet likevel er et sentralt element.
I tillegg gir veilederen informasjon om risikovurderinger i forkant av anskaffelsen, og hvordan oppdragsgiverne kan gå frem for å gjennomføre slik risikovurderinger.
Det betyr at det offentlige i større grad kan og bør benytte profesjonelle IT-sikkerhetstilbydere til å bidra med å forme sikkerhetskravene i forkant, og appellere til at man utfordrer der vi tydelig ser at utlysningen ikke har ivaretatt sikkerheten. Både Nasjonal sikkerhetsmyndighet (NSM) og Norsk senter for informasjonssikring (NorSIS) har uttalt gjentatte ganger at virksomheter uten egen it-sikkerhetsavdeling, bør kjøpe inn denne kompetansen som en tjeneste.
Med andre ord; her gjelder det å spille på lag med og/eller utfordre innkjøperne om det er gjort risikovurderinger. I mange tilfeller vil dette innebære å bruke fagspesialistene og rådgiverne fra den kommersielle aksen, slik at man også får en ekstern vurdering.
Vil gjøre bestillingsjobben til det offentlig enklere
I et viktig avsnitt i veilederen står det:
«Testing av leveransen kan gi oppdragsgiverne et mer realistisk bilde av risikoen for feil i programvaren, og det kan også si noe om hvor mottakelig systemet er for angrep utenfra. I anskaffelser med høy risiko kan det for eksempel gjennomføres en penetrasjonstest. Gjennomføring av tester er ofte tid- og ressurskrevende, og oppdragsgiver må i så fall sette av tid og ressurser til dette i planleggingen av anskaffelsen»
Dette er et punkt der anbudsutsteder kan identifisere spisskompetanse innenfor IT-sikkerhet som kan differensiere tilbyderne fra hverandre; en tjeneste de seriøse aktørene i det kommersielle markedet alltid tilbyr sine kunder.
Videre vil jeg oppfordre til at det samtidig utarbeides en plan for at ledelsen har et kontinuerlig fokus på sikkerheten, ikke bare i forkant av anskaffelse. Det høres kanskje ut som en selvfølge, men vi vet at mange løsninger/systemer settes opp uten tilstrekkelige dokumentasjon og plan for hvordan livssyklusen skal forløpe. Er det noe vi har sett i 2020 og i starten av 2021, så er det at det hele tiden oppdages nye sårbarheter, som igjen gir store ringvirkninger for sikkerheten.
Tips til minimumskrav en bør følge ved anskaffelser
Det er ikke lett å differensiere leverandører og tilbydere fra hverandre. Fokuser først og fremst på behovet for å få en oversikt over dagens nå-situasjon, før man utarbeider en bestilling eller et anbudsdokument. En ROS-analyse i kombinasjon med en sårbarhetsskanning og penetrasjonstest av virksomhetens IT-systemer er en anbefalt start, og resultatene herfra vil gi et godt bilde på dagens utfordringer, status og sikkerhetsnivå. Samtidig vil det avdekke hvilket behov man trenger å fokusere på i en bestilling.
Mange anskaffelser har problematikk rundt personvern, og da også informasjonssikkerhet. Det er ingen som kommer utenom å overholde GDPR, og da er det også mange krav som må oppfylles.
Rent konkret krever nå mange kommuner at tilbydere må godta KiNS-malen for databehandleravtale (DBA), med vedlegg 1 og 2. Her vil IT-sjefer og andre også finne en ny «lissepasning» i vedlegg 1. Der det ramses opp en mengde gode sikkerhetskrav, utledet fra GDPR og normen, som tilbydere må svare på.
Det er Bærum kommune som har utviklet malen, men den kan fritt brukes av alle - også leverandører, som ikke har egen mal. Så jobber du i offentlig sektor, eller bidrar på en eller annen måte inn i anbud fra stat, kommune, osv., er disse dokumenteterne noe du kan bruke som ditt sannhetsvitne eller brekkstang for å få øket kvaliteten og sikkerhetsfokuset i alle anskaffelser fremover.
..., kommer jeg med en enkel påstand om at dette er en gavepakke til alle IT-ansvarlige i offentlig sektor.
Referer man til veilederen fra myndighetene i anskaffelser som treffer sikkerhetsloven og/eller benytter KiNS – Malen for databehandleravtale, kommer jeg med en enkel påstand om at dette er en gavepakke til alle IT-ansvarlige i offentlig sektor.
Avslutter med dette stalltipset fra NSM
Vurderer virksomheten din å ta i bruk skyløsninger eller tjenesteutsetting? Nasjonal sikkerhetsmyndighet (NSM) har lagt ut en rekke spørsmål og svar knyttet til sikkerhet i denne typen tjenester.
Inntil skrivelysten tar meg igjen, er jeg aktiv på Facebook-gruppen IT-sikkerhet sammen med 4 700 andre som også synes IT-sikkerhet er spennende.
Lenke til Kommunerevisoren nr. 3/2021: