Dansk IT: Lav krav om, at organisationer skal være klar til at modstå cybertrusler
DEBAT: Et højt trusselsniveau betyder, at organisationer må forvente at blive udsat for en alvorlig cyberhændelse. Derfor skal samfundskritiske myndigheder, virksomheder og leverandører forpligtes til at planlægge derefter, skriver Thomas Kristmar.
Af Thomas Kristmar
Medlem af fagrådet for informationssikkerhed, Dansk IT og Senior Manager, KPMG
Vi har hørt om ransomwareangreb så tit, at man bliver lidt fartblind af det.
Men det er værd at minde om, at virksomheder som Norsk Hydro, Demant og Mærsk alle har været ude for angreb, som - de selv har oplyst - har kostet virksomheden på den anden side af en halv milliard kroner.
Læg hertil at corona har medført øget brug af fjernarbejde, og at mange virksomheder og myndigheder har omlagt fysiske møder og analoge processer til online.
Alle indlæg hos Altinget skal overholde de presseetiske regler.
Debatindlæg kan sendes til [email protected].
Vi er som samfund afhængig af, at den digitale infrastruktur virker – hele tiden.
Organisationer skal være forberedte
Truslen gør, at virksomheder og myndigheder må forvente at blive ramt af katastrofale cyberangreb. Når det sker, er organisationens beredskabsevne afgørende.
Det er afgørende, at de faktiske initiativer går videre end blot at komme med gode råd, men stiller konkrete, verificerbare krav til samfundskritiske virksomheder, myndigheder og leverandører.
Thomas Kristmar
Medlem af fagrådet for informationssikkerhed, Dansk IT og Senior Manager, KPMG
Er der en plan for at fortsætte de kritiske funktioner helt eller delvis uden it? Er der en plan for reetablering af kritiske funktioner med begrænset adgang til en fungerende backup?
Og ikke mindst: Har organisationen faktisk gennemført en test af reetablering af kritiske funktioner, så det vides, at planen virker?
Et af de fire temaer i den kommende nationale cyber- og informationssikkerhedsstrategi er ”robusthed og resiliens”, og det bifalder Dansk IT.
Det er dog afgørende, at de faktiske initiativer går videre end blot at komme med gode råd, men også stiller konkrete, verificerbare krav til samfundskritiske virksomheder, myndigheder og leverandører.
Anbefalinger til genopretningsplan
Her kommer Disaster Recovery ind i billedet. Disaster Recovery handler om at kunne reetablere systemer fra bunden – uden at antage at ”backuppen fra i går virker”.
Det er en kompleks og tidskrævende proces, men det er reelt den eneste mulighed for at verificere, hvor lang tid reetablering tager, om driftsdokumentationen er retvisende, og om forretningens antagelse om egen evne til at videreføre kritiske funktioner reelt holder uden fuld adgang til kritiske systemer.
Konkret anbefaler Dansk IT, at:
- Myndigheder med samfundskritiske funktioner skal årligt gennemføre Disaster Recovery-tests på et eller flere kritiske systemer, således det vides, om kritiske funktioner reelt kan reetableres. Denne reetableringstest skal gennemføres samtidig med en beredskabsøvelse, hvor forretningens krisestyring trænes.
- Virksomheder i de seks kritiske sektorer (energi, transport, tele, finans, sundhed og søfart), og som har en vis størrelse, skal via deres sektoransvarlige myndigheder forpligtes til at gennemføre Disaster Recovery-tests på samme niveau som myndigheder med samfundskritiske funktioner og deltage i de nationale beredskabsøvelser.
- Leverandører til staten, som leverer samfundskritisk udstyr eller funktioner, skal som led i indkøbsaftalen forpligtes til at gennemføre Disaster Recovery-tests på et kritisk system årligt i aftalens løbetid.
Dansk It vurderer, at den skærpede forpligtigelse til myndigheder, private virksomheder og leverandører også vil have en gavnlig effekt på underleverandørerne, da eventuelle afhængigheder vil blive afdækket i forbindelse med beredskabstesten.
'%3e%3cpath%20d='M174.5%205.49985C138.877%20-19.5379%20106.875%2013.5814%2091.8511%2029.6115C65.0748%2058.1778%2099.1498%2080.3465%20117.152%2037.3094C135.153%20-5.72759%2022.8866%200.0578454%2015.1662%2097.217'%20stroke='%23EA1718'%20stroke-width='3'%20stroke-linecap='round'%20stroke-linejoin='round'/%3e%3cpath%20d='M3.65346%2080.8587L15.109%2097.3301L29.6131%2086.6665'%20stroke='%23EA1718'%20stroke-width='3'%20stroke-linecap='round'%20stroke-linejoin='round'/%3e%3c/g%3e%3cdefs%3e%3cclipPath%20id='clip0_627_569'%3e%3crect%20width='163.796'%20height='107.816'%20fill='white'%20transform='matrix(-0.999973%20-0.00733143%20-0.00733143%200.999973%20164.582%201.24609)'/%3e%3c/clipPath%3e%3c/defs%3e%3c/svg%3e)
Få GRATIS nyheder fra Danmarks største politiske redaktion
