Oktober er udråbt til national cybersikkerhedsmåned og historier om it-kriser hos små og store deles og diskuteres livligt. Ideen bag initiativet er, at videndeling skal stille os stærkere over for de it-kriminelle.
Der er forskellige forslag til løsninger, og svaret er bestemt heller ikke simpelt, for der findes ikke 100% sikkerhed. Uanset hvad vi gør for at beskytte os, må vi forvente, at vores systemer bliver kompromitteret før eller siden.
Måske sker det, uden at du opdager det, hvilket kan have katastrofale konsekvenser.
Monitorering af data er først skridt for at afværge angreb
En væsentlig opgave består derfor i løbende at monitorere og analysere data fra infrastrukturen.
Men mængden af data er blevet enorm. Mange har udfordringer med at opretholde de nødvendige ressourcer og systemer til at identificere unormale hændelser, fejl, angrebsmønstre, så alarmerne kan kvalificeres. Du drukner let i data og alarmer.
Disse udfordringer har man diskuteret i Hillerød Kommune.
Ud fra erkendelsen om, at man ikke kan holde hackerne 100% ude, valgte kommunen sidste år at søsætte et SIEM-projekt – Security Information & Event Management. Med SIEM kan man monitorere digitale systemer, som kan gøre kommunen i stand til at opdage ubudne gæster i deres infrastruktur og reagere hurtigt på kritiske hændelser.
I Hillerød Kommune måtte man dog erfare, at en SIEM-løsning er vanskelig at få til at fungere i praksis. Efter et års resultatløst arbejde med det første valg af system besluttede de sig for at finde en ny samarbejdspartner. En modig beslutning, der gav gode resultater.
I forbindelse med den national cybersikkerhedsmåned, får du her mulighed for, at få indsigt i deres erfaringer.
Erfarne mennesker er afgørende for et velfungerende SIEM-setup
I Hillerød Kommune tager de sikkerheden omkring borgernes data og den stigende trussel mod deres it-systemer meget alvorligt. Derfor besluttede de for nogle år siden at implementere et SIEM-setup, der skulle give dem overblik over alle it-systemer og data og mulighed for at reagere hurtigt på angreb.
Da implementering af det første system måtte opgives, sadlede Hillerød Kommune om, og var på få dage oppe at køre med en ny Security Analytics-løsning baseret på SIEM.
”Det var en lettelse at gå fra det system, vi først havde valgt, og over på den nye løsning,” siger Claus Jensen, der er leder af Digitalisering og IKT-Drift i Hillerød Kommune og har været med gennem hele processen. ”Nu fik vi det, vi ikke kunne komme i mål med i første forsøg, selvom vi havde forberedt os grundigt og brugte utrolig meget tid på det.
Rettidig opdagelse af og reaktion på sikkerhedsbrud kræver det rette samspil mellem erfarne sikkerhedseksperter og Machine Learning. Men med flere tusinde hændelser i døgnet, mangler mange organisationer erfarne folk, der kan indstille systemet til at reagere på de use cases, der er mest kritiske for organisationen, og generelt skelne mellem falske alarmer og kritiske hændelser.
Da kommunen sadlede om, fik de adgang til de rette ressourcer. ”Vi fået implementeret alle vores use cases og får hurtige og præcise alarmer, hvis nogen truer sikkerheden i vores systemer,” siger Claus Jensen.
I det nye setup har Hillerød valgt at outsource deres SIEM-løsning og analysen af alle deres logdata til Dubex. En såkaldt managed security-løsning, hvor man nu har et eksternt team af analytikere, der kontakter kommunens it-afdeling om hændelserne.
Når det sker, ved it-afdelingen, at hændelsen er vurderet af første, anden og helt op til tredje linje af analytikere, der ved, hvad de taler om, og at den er vigtigt at tage action på.
”Så skal vores medarbejdere ikke bruge tid og ressourcer på det, men kan reagere hurtigt på alarmen, som både beskriver, hvad der er sket, og hvordan det kan løses hos os” forklarer Claus.
Effektive alarmer giver tryghed og letter arbejdet i it-afdelingen
Den nye løsning gav hurtigt Hillerød Kommune alarmer, som de ikke havde set komme. ”Vi var utrolig hurtigt i gang. Den største overraskelse var, at løsningen faktisk fandt noget med det samme, og vi nu får relevante alarmer på hændelser, som vi ikke kendte tidligere” fortsætter Claus Jensen.
Brugervenligheden er altid væsentlig at tænke med i sikkerhedsløsninger. Det er Claus opmærksom på. ”Sikkerhed og brugervenlighed ses ofte som modsætninger, og vi har hele vejen igennem været meget opmærksomme på denne udfordring,” forklarer han
Derfor har det også været væsentligt, at implementeringen af løsningen ikke har givet nye sikkerhedsprocedurer for medarbejderne.
”Jeg tror, at de færreste næsten har opdaget, at vi har fået systemet, for det arbejder umærkeligt bag facaden,” fortæller Claus. Løsningen har hverken givet tungere processer eller langsommere systemer. Så vores medarbejdere får frigivet mange ressourcer og kan fokusere på deres egentlige arbejde i stedet.”
Etisk hacker blev hurtigt stoppet
At løsningen rent faktisk fanger ubudne gæster, fik Claus og hans kolleger blandt andet bekræftet, da kommunens it-systemer for nylig blev testet af en etisk hacker.
Han skulle forsøge at trænge ind gennem sikkerhedssystemerne, og se, hvor langt han kunne komme. Angrebet blev effektivt opdaget af Dubex og resolut afvist af it-medarbejderne. Efter testen kunne parterne med tilfredshed konstatere, at alle involverede reagerede hurtigt og fokuseret på hackerens tilnærmelser.
En fremtidssikret løsning, der understøtter ledelsen i prioritering af it-sikkerhed
Et SIEM-set op skal plejes og vedligeholdes. Man skal indrette sig konstant i forhold til nye trusler og nye systemer, der føjes til kommunens infrastruktur.” Det giver os en stor tryghed at vide, at vi er gearet til at holde trit med udviklingen og har en løsning, vi kan vokse med uden ekstraordinære investeringer” Forklarer Claus.
I den videre udviklingsproces bruger kommunen de løbende ledelsesrapporter og -statusmøder, som de får fra Dubex. ”Rapporterne er meget overskuelige og forståelige for alle i organisationen og bliver et aktivt redskab i vores prioritering og investeringer,” slutter Claus Jensen.
Han håber, at kommunens gode erfaringer med at skifte leverandør midt i processen kan vise andre, at selvom det måske virker uoverskueligt, kan det vise sig at være den hurtigste og måske også den eneste måde at nå i mål med de store it-projekter.
Du kan læse mere om Dubex’ Managed SIEM-løsning her.