Digitalisering er uden tvivl en afgørende faktor, når det gælder udviklingen af den offentlige sektor. Det gør os særligt sårbare over for cybertrusler. Regeringen har i den forbindelse udpeget sundhedsområdet som en af seks særligt samfundskritiske sektorer, og indsatsen på sundhedsområdet er styrket gennem udarbejdelsen af den nationale strategi for cyber- og informationssikkerhed på sundhedsområdet. Få her en række gode råd til, hvordan man kan mindske og håndtere cybertruslen.
Med den nationale strategi for cyber- og informationssikkerhed på sundhedsområdet er der igangsat 17 konkrete initiativer, der skal styrke sundhedsvæsenets evne til at forudse, forebygge, opdage og håndtere cybertrusler. Strategien er udviklet med bistand fra PwC.
Men hvordan kan man som offentlig organisation konkret dykke ned i og arbejde med strategien i forhold til forebyggelse, identifikation og håndtering af cybertrusler?
Arbejdet med cybersikkerhed handler om at reducere sandsynligheden for at blive ramt og om at mindske konsekvenserne, hvis det alligevel skulle ske.
Eller sagt med andre ord: Man bør tilrettelægge sin indsats med fokus på at reducere sin sårbarhed – og dermed risikoen for at blive kompromitteret – så effektivt som muligt, men samtidig styrke evnen til at opdage og løse situationen hurtigst muligt, hvis/når man bliver ramt.
Selve balancen mellem på den ene side at forebygge og på den anden side at styrke evnen til at reagere på cybertrusler skal lægges efter, hvor kritiske forretningsprocesser man har, og med udgangspunkt i hvad der er økonomisk effektivt. Det er vigtigt at have fokus på de trusler, som kan have størst impact på virksomheden og dens forretning og prioritere sin indsats på den baggrund.
Selvom cybertruslen i det digitale samfund kan være særdeles avanceret, gør en seriøs tilgang til forebyggelse en vigtig forskel. Det handler om at reducere sandsynligheden for at blive ramt ved at have styr på sine aktiver, sin teknologi og sine sårbarheder.
Her er tekniske sikkerhedsløsninger en vigtig del af forebyggelsen. Fx i forhold til at styre, hvem der har adgang til virksomhedens netværk, og hvem der har rettigheder til at tilgå virksomhedens systemer.
Generelt anbefales det at indskrænke adgange til det nødvendige efter det såkaldte ”least-rights-princip”. Jo færre rettigheder, den enkelte medarbejder har, jo sværere er det for en cyberkriminel at udnytte en medarbejders konto, hvis den er kompromitteret.
Det er samtidig vigtigt at have styr på opdateringer af virksomhedens programmer og styresystemer, så det altid er de seneste versioner af software, der benyttes. Gamle versioner har ofte kendte sårbarheder, der let kan udnyttes af selv mindre avancerede aktører.
Ingen teknisk løsning er bedre end dem, der bruger den. Derfor er uddannelse og træning af ”awareness” blandt medarbejdere og ledere tilsvarende vigtigt. Og både systemer og kompetencer bør løbende testes og holdes ved lige, så sikkerheden valideres og dokumenteres.
En proaktiv tilgang til at reducere sandsynligheden for at blive ramt af et cyberangreb handler sidst, men ikke mindst, om at være forudseende. Det handler om, at man kender sin organisation, forretning og aktiver samt eventuelle sårbarheder og det konkrete trusselsbillede. Det kan fx sikres ved at abonnere på varsler fra danske og internationale myndigheder. Dermed kan indsatsen prioriteres og målrettes – også i forhold til en aktuel situation.
Det er ikke altid tydeligt for en organisation, at den er blevet kompromitteret – eller hvordan og hvornår. Første led i forhold til at reducere konsekvensen af et cyberangreb er derfor at have et klart fokus på de konkrete initiativer, der kan sikre, at man opdager eventuelle cyberangreb.
Det kan fx gøres i kraft af tekniske systemer, der konstant overvåger “normalbilledet”, og som derfor er i stand til at afsløre eventuelle afvigelser fra dette normalbillede. Det er et område i stor udvikling, og der findes flere typer af løsninger. Hvis man ikke selv har kompetencerne til at etablere og drive den type løsninger, kan de tilkøbes som serviceydelser fra professionelle udbydere.
Men ofte er det medarbejderne, der bliver opmærksomme på et sikkerhedsbrud eller opdager afvigelser fra normalbilledet. Det er derfor vigtigt at uddanne medarbejderne og gøre det let for dem at videregive oplysninger til sikkerhedsorganisationen, hvis de opdager noget mistænkeligt.
Et mangelfuldt beredskab kan have omfattende konsekvenser, når hændelsen indtræffer. Der bør således etableres beredskabsplaner, som sikrer den tekniske genetablering af it-driften, organisationens nødplaner ved manglende it-understøttelse samt håndtering og kommunikation i en krisesituation. Disse planer bør testes og øves, så beredskabet er effektivt den dag, hændelsen skulle indtræffe.