Data sikkerhed,  Mobility

Statslige myndigheder skal pr. 1. januar ’23 opfylde minimum disse 20 krav til IT-sikkerhed.

Staten har fastsat nogle it-relaterede minimums krav, som skal være med til at sikre “et højt sikkerhedsniveau”. Disse krav kunne mange private virksomheder med fordel også stille til egen IT-sikkerhed!

Opdatering Marts 2023: Dette er reelt et indlæg, som jeg skrev tilbage medio juli 2020. Siden da er kravene blevet justeret og præciseret, og er netop kommet i en opdateret udgave her i marts måned 2023. Selvom der er kommet denne opdatering, så skulle alle disse minimumskrav være implementeret pr. 1. januar 2023!

Når jeg opdaterer dette tidligere indlæg og re-poster det, så skyldes det at jeg finder det relevant for virksomheder, der fx. skal implementere EU’s NIS2-direktiv. Ved at skele til statens egne minimumskrav, så kan en virksomhed bruge disse tiltag, som et pejlemærke, når de skal ligge baren for it-sikkerheden i egen virksomhed.

En af stramningerne, som jeg finder interessant, er kravet om at have en MDM-løsning. Jeg har agiteret for brugen af MDM løsninger siden 2005, til at administrere sikkerheden på de mobile enheder.

Du kan læse om de opdaterede krav her eller downloade kravene i dette link.


Nedenfor: indlæg fra 15. juni 2020:

Nogle af disse krav skulle være implementeret pr. 1. januar 2020 og andre skulle have været på plads 1. juli 2020, altså for 15 dage siden. Min erfaring fortæller mig at nogle af disse krav endnu ikke er implementeret, desværre.

Her er tale om minimumskrav, der bla. skal forhindre hacking, men også løfte datasikkerheden, fx. omkring håndteringen af personhenførbare data, adgang til fortrolige data, mv.

Som sagt, så kan denne check liste også benyttes af private virksomheder til at løfte sikkerheden. Jeg ser også en stigende tendens, hvor disse krav bliver stilet til statens leverandører.

I denne COVID-19 periode hvor mange har arbejdet hjemme er mange af disse krav blevet endnu mere vigtige at have implementeret.

Jeg har klippet lidt i vejledningen og samlet det i dette skema:

Punkterne uddybes på Sikkerdigital.dk’s hjemmeside her og man kan hente en PDF liste her.
Kravene er godkendt af styregruppen for den nationale cyber- og informationssikkerhedsstrategi og bygger på vejledninger og anbefalinger fra Center for Cybersikkerhed, Digitaliseringsstyrelsen og Datatilsynet. Kravene er dateret 30. september 2019.


Mobile enheder SKAL håndteres med en EMM løsning!

Tager jeg mine mobility briller på og ser på punkterne 12-14, så er dette en uoverkommelig opgave, såfremt man ikke bruger en EMM-løsning, til at administrere smartphones og tablets, som benyttes. Hvordan ville man ellers kunne kontrollere at denne politik følges af alle, at enhederne er opdateret!
En EMM løsning kan med en simpel “compliance” regel tilsikre, at alle enheder benytter altid seneste version af operativsystemet. Når EMM løsningen udruller de arbejdsrelaterede apps, så kan EMM-løsningen også automatisk tilsikre at det altid er den nyeste version af de forskellige apps, der ligger på enhederne. Og endelig så kan kravene til en pinkode (12) på minimum 6 cifre fastsættes og udrulles med EMM-løsningen.

2FA eller endnu bedre MFA!

Et andet punkt, som jeg hæfter mig ved, er implementeringen af 2 faktor authentikering – 2FA (10)! I mine øjne gælder dette ikke kun for adgang til webmail, men bl.a. også brugere af Microsoft Office 365, herunder OneDrive.

Hackernes foretrukne angrebsmetode – fordi succesraten er så stor – er phishing. Altså at man får en person til at klikke på et link og måske endnu bedre lige at logge ind med deres brugernavn og password på en fup-side. Vi har set, at denne angrebsform fx. sker via en privat besked på LinkedIn, og altså ikke kun som en almindelig email.

Implementeringen af en to faktor løsning (“2FA”), altså hvor man fx. skal indtaste den kode, som man får tilsendt på en sms, løfter sikkerheden gevaldigt.

Hvad med servere ?

Jeg har sat en lille * ud for “Klienter/PC’er” fordi jeg også mener, at dette bør gælde organisationens servere. Jeg kan slet ikke forestille mig vitale servere uden malware beskyttelse!