Informasjonsdeling

Informasjonsdeling i kontekst av cybersikkerhet handler om å bidra til å nå felles mål – å oppdage og begrense tap som følge av cyberkriminalitet, spionasje eller andre trusselscenarier. De senere årene har man kommet et langt stykke på vei, godt hjulpet av både private og offentlige initiativer. Stadig flere virksomheter ser verdien av tidsriktig deling av informasjon om sikkerhetshendelser.

Slik informasjonsdeling er basert på tillit. Man deler informasjon om sikkerhetshendelser mange intuitivt tenker at det er best å legge lokk på. Skal man virkelig med vilje dele informasjon om at virksomheten har hatt besøk av inntrengere, blitt lurt, og ikke har klart å forsvare seg? Hva vil kunder og investorer tro? Hvilke rykter kan delingen sette i gang? Og, ikke minst, hva får man igjen for det? Disse spørsmålene er alle gyldige og forståelige.

Å legge lokk på hendelsen er sjelden en god løsning. Mange virksomheter er underlagt en tilsynsmyndighet, og har plikt til å melde om sikkerhetshendelser. Videre er det slik at visse hendelser, f.eks. lekkasje av personopplysninger, skal meldes innen gitte frister. Det viser seg dessuten at virksomheter som har opplevd betydelige sikkerhetshendelser, raskere kommer ut av krisen ved å dele informasjon tidlig.

Det handler i stor grad om å kontrollere informasjonsdelingen. Som i krisehåndtering ellers, hvor vi ønsker å være proaktive for å styre utviklingen i størst mulig grad, ønsker vi å kontrollere delingen av informasjon. Ved å bevisst dele informasjon, kan vi velge hva vi ønsker å dele, med hvem og på hvilken måte. Vi kan velge å dele analyseresultater som gjør at mottakeren forstår konteksten. Om inntrengningen ble stoppet før trusselaktør fikk eksfiltrert informasjon, kan vi si det, og på den måten hindre at rykter oppstår.

I informasjonsdeling gir man noe til fellesskapet uten å nødvendigvis øyeblikkelig få noe tilbake. Alle bidrar med sitt, og alle får anledning til å dra nytte av kunnskapen. Det er ikke uvanlig at virksomheter som til daglig konkurrerer, velger å dele trusselinformasjon med hverandre. Man konkurrerer om kunder og markedsandeler, men begraver stridsøksen når det gjelder sikkerhetshendelser. Det som treffer deg, kan like gjerne treffe meg – eller verre – det har allerede truffet meg, og i så fall vil jeg gjerne vite om det.

Informasjonsdeling bygger på tillit, og er ikke tilliten på plass, vil ikke informasjon bli delt. I noen bransjer, sektorer og regioner er det mer utfordrende å bygge tilliten som er nødvendig for åpen informasjonsdeling. I slike tilfeller kan en informasjonsmegler være løsningen. Informasjonsmeglerens oppgave er å sanitisere og anonymisere informasjonen før deling, og på den måten fungere som et skott mellom virksomheten hvor informasjonen har sitt opphav, og virksomhetene som får tilgang til informasjonen. Meglerrollen kan også kombineres med andre tjenester, f.eks. trusseletterretning og analyse.

Det er verdt å nevne at informasjonsdeling ikke er noe nytt ungdommen nettopp har funnet på. Etablerte miljøer har delt informasjon i lang tid. Effekten av god og tidsriktig informasjonsdeling viser seg å kunne gi selv modne sikkerhetsorganisasjoner betydelige fordeler når det gjelder identifikasjon av trusler og oppdagelse av sikkerhetshendelser. Kjente rammeverk som NIST 800-53, ISO 27001 og CIS nevner alle viktigheten av informasjonsdeling.

Secunor bistår virksomheter med informasjonsdeling på flere måter:

  • Forstå informasjonsdeling
  • Kartlegge eksisterende informasjonsdelingsnettverk
  • Identifisere potensielle samarbeidspartnere og informasjonsmottakere
  • Utarbeide og implementere retningslinjer, prosesser og rutiner for informasjonsdeling
  • Teknisk bistand til å dele, motta og nyttiggjøre informasjon
  • Informasjonsmegling og sanitisering av informasjon
  • Trusseletterretning
  • Teknisk og taktisk analyse