Ingen IT-systemer er feilfrie, av den enkle grunn at det de forsvarer oss mot, er i kontinuerlig endring. Det er heller ikke vanskelig å finne eksempler på systemer og løsninger som er direkte svake. Å sette opp et digitalt forsvarsverk består av mange ledd, og flere av dem er manuelle. En liten svakhet i selve systemet, fra leverandøren eller i installeringen, blir raskt til følgefeil som utgjør svakheter det er svært vanskelig for noen uten riktig kompetanse å detektere.
Noe av det viktigste for å kartlegge egen IT-sikkerhet, dreier seg om innsikt i og oversikt over egne verdier. Hva er det i din bedrift som er interessant og attraktivt for andre aktører? Om du ikke vet hvor bedriftens største verdier befinner seg, hvilke verdier bedriften faktisk eksponerer, vet du heller ikke hvor du bør rette forsvaret ditt.
Mange bedrifter investerer store summer i digitalt forsvar, men fordi de ikke har oversikt over hvem som vil inn og hva de er ute etter, ender de opp med å implementere forsvaret på feil sted. Det blir som å kjøpe en dyr fotballkeeper og så sette vedkommende til å spille midtbane: Feilslått, kostbart, og med et i praksis helt åpent fotballmål.
Hvis du vet hvem som prøver å komme inn, er det lettere å vite hvilke uvedkommende man skal lete etter inne i systemene dine. Et IT-sikkerhetsselskap med erfaring vil også kunne ha en idé om hvordan ulike aktører opererer, og kan dermed teste hvordan systemene dine håndterer nettopp et slikt angrep.
Les også: Gode tips for å unngå å gå i phishing-fella.
Det er svært vanskelig å oppdage sårbarheter i IT-systemer. Dette er et eget fagfelt, og er ikke noe det er hensiktsmessig at ufaglærte skal drive med på egen hånd. Ved å innlede et samarbeid med en profesjonell aktør, et IT-sikkerhetsselskap, får du kompetente spesialister med bred erfaring på dette feltet.
En penetrasjonstest er en planlagt og forhåndsbestilt hackerforsøk. I praksis betyr det at man sender en etisk hacker, gjerne en ansatt i et IT-sikkerhetsfirma, inn for å teste hvor sikkerhet systemet ditt er. Selv om hackeren ikke gjør noen reell skade, vil vedkommende oppføre seg som en faktisk inntrenger. Ved å forsøke å komme seg inn i systemet, vil det bli synlig hvilke sikkerhetshull og svakheter som finnes, og hva dere kan gjøre for å utbedre og tette hullene.
Les mer om alt vi kan teste via en penetrasjonstest her.
Mange bedrifter er redde for at IT-ekspertene kommer inn og peker ut syndebukker eller henger ut ansatte, og kvier seg derfor for å hente inn denne ekspertisen. Denne bekymringen er unødvendig: Hensikten med testingen er å kartlegge hvor utfordringene og svakhetene ligger. Hvem som har gjort eller ikke gjort hva, er uviktig. Fokuset ligger på hvordan hele bedriften sammen kan sørge for å unngå at de samme svakhetene er der neste gang systemet testes.
Trusselbildet endrer seg stadig, og de ondsinnede hackerne tester stadig ut nye metoder eller verktøy for inntrenging. Det holder derfor ikke å teste sikkerheten bare en gang -- men det er noe som bør gjøres jevnlig, akkurat som en brannøvelse.