Kommunene bør kontrollere om de har følgende sårbarheter, og iverksette anbefalte tiltak dersom det viser seg å være tilfelle:
- Svake passord: Det er behov for passordregimer som oppfordrer til bruk av lange passordfraser som er enkle å huske. Rigide og komplekse passordregimer bør unngås.
- Passordgjetting: Det er behov for bedre beskyttelse alle typer kontoer mot digitale angrep som skjer ved hjelp av automatisert passordgjetting. Flerfaktorautentisering og begrensninger i antall ganger feil passord kan skrives før kontoen sperres bør innføres.
- Uendrede standardpassord: Det er behov for å kartlegge tjenester, dataenheter, nettverksutstyr og filområder som beskyttes av passord satt av leverandører. Standardpassordene bør endres og beskyttes på en god måte.
- Ubeskyttede passord og autentiseringsdata: Det er behov for å unngå bruk av delte passord, passordhuskelister som for eksempel er oppbevart hos IKT-drift eller HR-personale og administratorpassord lagret på filområder som er tilgjengelige for alle brukere. Redusert bruk av delte passord, flerfaktorautentisering, sikkerhetsoppdatering av IKT-systemer og begrensning av tilganger/brukerrettigheter bør iverksettes.
- Inaktive administratorkontoer: Det er behov for å fjerne administratorkontoer som ikke lenger er i bruk. Statusen til kontoer (aktive eller inaktive) bør kartlegges jevnlig og rettighetene til administratorkontoer bør revideres.
- Høye rettigheter og bred bruk av administratorkontoer: Det er behov for å kontrollere og begrense rettighetene til administratorkontoer og andre typer spesialkontoer. Pålogginger bør skje på særskilt beskyttede datamaskiner og i klart definerte deler av datanettverket.
- Sårbar programvare og protokoller: Det er behov for å oppdatere til nyeste versjon av programvare, særlig på dataenheter, nettverksutstyr og tjenester som er eksponert mot internettet. Det er også behov for å fase ut utdaterte protokoller, for eksempel ukryptert http. Skaffe seg oversikt over all programvare, innføre de siste sikkerhetsoppdateringene og utfase utdaterte protokoller bør prioriteres. Sårbarhetsskanning av datanettverket bør også vurderes.
- Ikke-støttede operativsystemer: Det er behov for å etablere kontroll med IT-tjenester med operativsystemer som ikke lenger mottar sikkerhetsoppdateringer fra leverandøren. Oversikt over status for operativsystemer (støttede, ikke-støttede) er nødvendig, og bruk av operativsystemer som støttes av leverandøren bør tilstrebes. Utdaterte operativsystemer bør isoleres fra resten av datanettverket, for eksempel ved hjelp av segmentering.
- Manglende nettverkssegmentering og trafikkstyring: Det er behov for å inndele datanettverket i mindre, logiske nettverk (segmenter), spesielt der hvor administratorer er plassert og verdifull informasjon, for eksempel sensitive personopplysninger, behandles. Oversikt over alle komponenter i datanettverket, og avhengigheter mellom komponentene, gir grunnlag for mer fingradert nettverksinndeling som ikke forstyrrer ytelse og daglig drift.
- Mangelfull herding: Det er behov for sikker konfigurasjon av applikasjoner, operativsystemer, databaser, maskinvare og nettverksutstyr (herding), for eksempel at sikkerhetsfunksjonalitet er slått på og at antivirusprogrammer er oppdatert. God herdingspraksis beskrives blant annet i NSMs grunnprinsipper for IKT-sikkerhet og ISO/IEC 27001/02.
Ved å kjenne til og iverksette tiltak for å håndtere NSMs 10 sikkerhetssårbarheter, vil informasjonssikkerheten og personopplysningssikkerheten i din kommune kunne få et vesentlig løft.
Se Ti sårbarheter i norske IKT-systemer.pdf (nsm.no) for ytterligere detaljer og anbefalinger.
