NIS2 eller inte

12 februari 2024

Säkra nätverk och datacenter-lösningar är grunden för all säkerhetsefterlevnad

Ingen kedja är starkare än den svagaste länken – ett slitet uttryck men inom digital säkerhet beskriver det förutsättningarna väl.

Ett sätt att stärka den ”digitala kedjan” är att berika företagets it-lösningar med externa säkerhetsprodukter. Även här gäller det att göra it-strategiska val. De produkter som inte fullt ut integreras med centrala nätverks- och it-tjänster kommer ha begränsad förmåga att stoppa intrångsförsök och pågående angrepp. Dessutom finns en risk att fristående it-säkerhetsprodukter blir utmanande att upprätthålla över tid.

Min framtidsspaning på området är därför två;

- Mest effekt, och långsiktig ekonomi, kommer uppnås med att samarbeta med stora etablerade partners. I en verklighet med ett stort antal förvärv av it-säkerhetsföretag ger också de stora aktörerna bättre stabilitet.

- Har er nätverks- och datacenterlösning förmåga att motstå intrång och hantera attacker? Se det som en bil - om bilen är bra är service, extraljus och nya däck åtgärder som gör bilen säkrare.

Använder ni nätverk över IP-VPN, olika generationers routrar och spretigt trafikutbyte mot internetbaserade tjänster? Network-as-a-service, managerad brandvägg och införande av 802.1x är några digitala exempel på att ”rusta upp bilen”.

Är bilen gammal och inte värd att uppgradera? Inom nätverkskommunikation är en SD-WAN-lösning ”både folkabuss och lyxbil” – en nätverkslösning för de flesta budgetar och med avancerade säkerhetsfunktioner som effektivt förebygger intrång, SD-WAN kan också möjliggöra att skadorna blir mindre om ni exempelvis utsätts för ransomware.

Inom datacenterlösningar finns samma logik - vid någon tidpunkt är det läge att byta ut och byta upp. På Tele2 Företag satsar vi därför på ett flertal olika lösningskoncept för att både uppdatera eller bygga helt nya nätverks- och datacenterlösningar.

Globala supply chain-attacker visar på vikten av säkerhet i tjänster som integreras med egen it

Supply chain-attacker syftar till att angripare gör intrång via en leverantör till den som drabbas, exempelvis genom en mjukvara som leverantören sköter om. En annan ingångsväg kan vara via en extern it-integration – med andra ord legitima ”dörröppningar” som används av angripare.

Att helt skydda sig från dessa angrepp är svårt. Därför krävs både kraftfullt segmenterade nätverk samt olika kontinuitetsplaner (och åtgärder) om det värsta inträffar. Både Sverige och världen har sett ett flertal exempel av supply chain-attacker. Mest känt i Sverige är den nationella matbutikskedjan som fick sin betalningslösning utslagen.

Risken för supply chain-attacker är relativt ny jämfört med angripares användande av sårbarheter i produkter, något som funnits lika länge som it. För att hantera dessa riskområden krävs två saker – starka kontroller kopplat till externa nätverksingångar (supply chain-risker) och systematiska säkerhetsuppdateringar av samtlig hård- och mjukvara som kan utsättas för externa angrepp.

I spåren av att flera stora mjukvaruleverantörer valt att släppa säkerhetuppdateringar publikt på tisdagar (vilket i princip innebär att de berättar om sina sårbarheter och ”receptet” på angreppen) har it-världens viktigaste veckodag kommit att bli den så kallade Patch Tuesday. Cyberkriminellas viktigaste veckodag å andra sidan har kommit att få namnet Vulnerability Wednesday – den dag till vilken de hunnit skriva script och kod som kan utnyttja en kritisk sårbarhet mot de som inte hunnit göra en säkerhetsuppdatering.

Inom Tele2s produktutbud finns endast etablerade leverantörer som vi bedömt erbjuder en god teknisk säkerhet, såklart också med förmåga att systematiskt utveckla sina produkter och tjänster.

En viktig förutsättning är att Tele2 har hög, eller allra helst högsta partnerstatus hos varje enskild leverantör. Det innebär ett flertal fördelar, bland annat att våra medarbetare är utbildade experter på produkterna och kan tillvarata alla funktioner inom produkten.

När leverantörer identifierar nya sårbarheter får Tele2 i de flesta fall exklusiv tillgång till informationen – före leverantörer med lägre status, men framför allt före angripare. Slutligen betyder hög partnerstatus också att Tele2 har förmåga att rådge kring lämpliga och olämpliga integrationer och funktioner i era lösningar. Vissa integrationer, filformat eller brandväggsöppningar kan nämligen innebära betydande säkerhetsrisker. Säkerheten i Tele2s kommunikations- och datacenterlösningar är med andra ord central i våra kunders säkerhet.

Leverantörskrav men också nätverk- och it-lösningar som skyddar det skyddsvärda

Hur bör man tänka kring säkerhetskrav i en upphandling? Eftersom det är stora skillnader i säkerhetskrav på leverantör och tjänstens förmågor behöver dessa hanteras som två kravställningar.

Ett exempel: ni kommer omfattas av NIS2 och vill att er framtida nätverkslösning ska efterleva NIS2. Det betyder att ni kommer behöva en leverantör som har arbetssätt och ingående säkerhet som säkerställer att ni inte drabbas av leverantörens säkerhetsbrister. Det innebär att leverantören som minst infört tvingande åtgärder och systematiska åtgärder som kommer med NIS2-lagstiftningen.

Ni behöver också se över vilka säkerhetsfunktioner som krävs för att er upphandlade tjänst ska efterleva NIS2 sett till era unika skyddsvärden och risker.

Vi tar stöd i informationssäkerhetens principer för att fastslå behovet kopplat till fasta och mobila nätverkstjänster:

• Konfidentialitet – Tillför ni egen kryptering av konfidentiell information? Om ja, på applikationsnivå eller på annat sätt? Om inte, vilket stöd i krypteringsfunktion behöver ni av er leverantör? Är dedikerad förbindelse tillräckligt för IP VPN-tjänster, eller krävs en lösning med kryptering end-to-end?

• Riktighet – Som ovan, har ni skydd som säkrar att information mellan era användare och applikationer inte förvanskas?

• Tillgänglighet – Vad är skadan av förlorad tillgänglighet? Det vet bara ni. Är det kritiskt, kanske avgörande för hela verksamheten? Har ni kravställt funktionskraven om redundans och diversitet, aktiv mobil 4G-/5G-backup och möjlighet till trafikprioritering om tillgänglighet av tjänst är kritiskt?

Min poäng är att det kommer vara lätt att hitta en leverantör som uppfyller NIS2, men ingen leverantör kommer kunna veta vad er verksamhet behöver för att uppfylla NIS2-kravställningen med era förutsättningar, åtaganden och risker – exempelvis om ni har kritiskt behov av tillgång till nätverk på vissa platser, eller att viss kommunikation måste krypteras. Genom att dela säkerhetskravställning i två delar blir det tydligt vilka funktioner som är nödvändiga i tjänsten. För att ta en tidigare referens - om ni kan säkerhetsutrusta bilen eller i stället behöver titta på en ny.

Avslutning

Mitt gästspel i säkerhetsbloggen är strax slut. Jag hoppas att jag har kunnat bidra med både insikter om Tele2s arbete med säkerhet i produkter och tjänster men också väckt en tanke om vad en verksamhet i praktiken behöver genomföra för att ha genomgående hög säkerhet i nätverk och it.

Hör gärna av er till oss på Tele2 Företag om ni vill veta mer. 

Vänliga hälsningar

Johanna Juhl Produktledningsdirektör – Tele2 Företag