Nye foranstaltninger fra Datatilsynet

Skærpet fokus på software og netværk

Datatilsynet har opdateret sit katalog med to nye anbefalinger til, hvordan både tekniske løsninger og interne procedurer kan styrke forebyggelsen af sikkerhedsbrud. Fokus er især på trusler som hacking og svagheder i f.eks. internetforbundne enheder (IoT-enheder) samt ældre software, der ikke længere opdateres.

Hvad er en foranstaltning?

Foranstaltninger er tiltag, der enten bevarer en risiko, ændrer den – eller gør begge dele på samme tid. De kan være forebyggende, opdagende, korrigerende eller en kombination af disse. 

Eksempler på tekniske og organisatoriske tiltag

Tekniske foranstaltninger omfatter f.eks. it-løsninger til brugeradministration, automatisk kryptering og sletning, adgangskontrol (log-in) samt fysiske sikkerhedstiltag som døre og låse. 

Organisatoriske foranstaltninger dækker bl.a. over sikkerhedspolitikker, procedurer for løbende kontrol af adgangsrettigheder, uddannelse i korrekt brug af it-løsninger samt vurdering og evaluering af, hvor effektivt de tekniske og organisatoriske tiltag fungerer.

Øget risiko ved IoT-enheder

Der har især været en stigning i sikkerhedsbrud relateret til de såkaldte IoT-enheder, hvor sårbarheder i softwaren ikke altid håndteres tilstrækkeligt sikkert. Det gælder f.eks. software i overvågningskameraer.

To nye foranstaltninger fra Datatilsynet

Datatilsynet har derfor tilføjet to nye sikkerhedsforanstaltninger til kataloget:

1. Sikkerhedsmæssig styring og vedligehold af software

2. Netværkssegmentering

Sikkerhedsmæssig styring og vedligehold af software

Denne foranstaltning omfatter alle typer software – herunder operativsystemer, tredjepartssoftware, firmware og IoT-enheder. Uden korrekt håndtering kan sårbarheder i softwaren give uautoriseret adgang til hele netværket og dermed udgøre en væsentlig sikkerhedsrisiko.

I den forbindelse kan følgende tiltag være relevante at overveje:

• Brug af leverandører med tydelige procedurer for sikkerhedsopdateringer

• Fjernelse af unødvendige funktioner og åbne porte

• Anvendelse af stærke adgangskoder (min. 15 tegn) og multifaktor-login

• Begrænsning af fjernstyring og -administration, især fra internettet

• Løbende opdatering af software og overvågning af systemer, der ikke længere supporteres

• Isolering eller udskiftning af udstyr uden opdateringssupport

• Begrænsning af USB-adgang for at minimere risikoen for malware

Denne foranstaltning bør altid implementeres, hvor der behandles personoplysninger.

Netværkssegmentering

Netværkssegmentering har til formål at begrænse konsekvenserne af et angreb ved at opdele netværket i mindre segmenter med begrænset kommunikation mellem dem. På den måde kan både interne og eksterne trusler inddæmmes – særligt fordi det ofte er brugere og deres enheder, der udgør de svageste led i sikkerhedskæden.

I den sammenhæng kan følgende tiltag overvejes:

• Adskillelse af netværkssegmenter (f.eks. bruger-pc’er, servere, IoT-enheder og gæstenet) med brug af firewalls

• Brug af hardware-firewalls opsat efter ”default deny”-princippet

• Isolering af systemer der er vanskelige at opdatere

• Placering af backup på et separat segment med begrænset adgang

• Brug af forskellige firewall-teknologier for at undgå single point of failure

• Overvågning og logning af trafik mellem segmenter samt opsætning af alarmer

• Isolering af privilegerede adgangsrettigheder til udvalgte segmenter

• Implementering af adgangskontrol og sikkerhedspolitikker for hvert segment

Netværkssegmentering bør baseres på en risikovurdering, men anbefales generelt ved behandling af personoplysninger og anvendelse af IoT-enheder.

Datatilsynets opdaterede katalog kan være et nyttigt værktøj til at identificere og prioritere relevante sikkerhedsforanstaltninger – både tekniske og organisatoriske.

Er din organisation opdateret? Læs mere på Datatilsynets hjemmeside og vurder, om de nye anbefalinger bør indgå i jeres sikkerhedsarbejde.