D-mærket kan skabe værdi for virksomheder i kritisk infrastruktur
Det var væsentligt for SektorCERT at tage D-mærket og få et eksternt blik på egne processer.
Til daglig hjælper de virksomheder inden for kritisk infrastruktur med at løfte cybersikkerheden. Netop derfor var det væsentligt for SektorCERT at tage D-mærket og få et eksternt blik på egne processer – og så er det en bonus, at de kan inspirere medlemmer til at blive D-mærket.
Cybersikkerhed er helt afgørende for, at danske husstande har adgang til rent drikkevand, varme og elektricitet. Alt fra vandværker til energiselskaber er nemlig som alle andre danske virksomheder løbende udsat for cyberangreb.
Her står organisationen SektorCERT på den kritiske infrastrukturs side med hjælp til at skærpe sikkerheden og holde angrebene fra døren. Det gør de ved at monitorere trusler, tilbyde virksomhederne kurser, og dele viden blandt andet gennem rapporter og trusselsvurderinger.
SektorCERT er de kritiske sektorers cybersikkerhedscenter, og derfor har de naturligt nok stor viden om cybersikkerhed og styr på processer og indsatser. Alligevel – eller netop derfor – var det væsentligt for dem at tage D-mærket, fortæller Lisbeth Bergholt, Community & Process Manager i SektorCERT.
”Vi har ret godt styr på cybersikkerhed. Men det giver værdi at få nogle udefra til at se, om vi kan optimere vores strukturer. Samtidig har det været væsentligt for os at undersøge, hvilken værdi D-mærket giver, og om vi skal anbefale det til vores medlemmer – og det skal vi,” siger Lisbeth Bergholt.
I forbindelse med D-mærkets tilsynsproces gransker SektorCERT sammen med D-mærkets auditorer virksomhedens systemer og processer. Og selvom de er hjemmevante i cybersikkerhed og har styr på egen praksis, har der alligevel været knapper at skrue på.
”Nogle gange åbner eksterne øjne for at optimere. For os har det eksempelvis betydet, at vi er gået fra løbende awareness-træninger til i stedet at sætte et fast interval på hver tredje måned med fokus på specifikke emner. Så sikrer vi, at alle medarbejdere altid har den rette viden,” siger Lisbeth Bergholt.
Hun understreger, at det også er en tankegang, som SektorCERT anvender i sin samtaler med medlemmerne.
”Bundniveauet for vores medlemmer er højt. Så vi skal ikke forklare en CISO, hvad phishing er. Men det giver os godt input til, hvor vi hele tiden kan have en målrettet samtale med medlemmerne om cybersikkerhed.”
D-mærket kan skabe værdi i mange virksomheder
SektorCERT er én af flere europæiske Computer Emergency Response-Teams, og de er sat i verden for at øge kompetencen inden for cybersikkerhed i virksomheder inden for kritisk infrastruktur. Organisationen er oprindeligt et tiltag under Energistyrelsen og var i sin begyndelse i 2020 fokuseret udelukkende på energisektoren.
I dag dækker de bredere. Medlemmerne er alt fra vandværker til transportvirksomheder af meget varierende størrelse. Lige fra en håndfuld til tusinde ansatte.
Foruden kurser og videndeling tilbyder SektorCERT virksomhederne monitorering af trusler ved at opsætte sensorer på ydersiden af virksomhedernes firewall.
Med data fra de mange sensorer kan de spore angrebsmønstre mod OT inden for dansk kritisk infrastruktur, fx produktionsmaskiner, vindmøller og elmaster. Det gør det samtidig muligt at advare medlemmerne om konkrete, aktuelle trusler.
Udfordringerne er dog, at medlemsvirksomhederne er enormt forskellige. Det stiller krav til SektorCERTs ydelser.
”Vi skal være bredt orienteret om, hvilke behov en stor energivirksomhed og et vandværk med fem medarbejdere har, og hvilke løsninger som kan fungere i de forskellige virksomheder,”
siger Lisbeth Bergholt og uddyber:
”Arbejdet med D-mærket har derfor været vigtigt for os i forhold til at se, om det er relevant for vores medlemmer. Nogle certificeringer er fx alt for omfattende for en virksomhed med en håndfuld ansatte. Her giver D-mærket virkelig god mening, fordi det tager sit udgangspunkt i virksomhedens egen risikoprofil, og samtidig er D-mærkets auditorer med til at sikre, at der konstant er fokus på at tiltagene fungerer i praksis og giver værdi for virksomheden.”
På den baggrund vurderer hun, at D-mærket kan være et godt rammeværktøj til at styrke cybersikkerheden hos en lang række medlemmer. Både store og små virksomheder på tværs af kritiske sektorer.
Væsentligt at få styr på processerne
I arbejdet med D-mærket har SektorCERT ifølge Lisbeth Bergholt arbejdet særligt med strukturer og processer. De havde ganske vist allerede gode, udførlige procesbeskrivelser. Alligevel var det brugbart at se dem fra et nyt perspektiv.
”Når processerne bliver kigget igennem af eksterne, så bliver det pludselig klart, at der er områder, der kan være for indforståede. En lille virksomhed kan fx have et godt overblik over antallet af Windows-computere og Macs, men glemmer de at strukturere processer med opdateringer af flåden, så opstår der problemer, når de vokser, og it-landskabet bliver mere komplekst,” siger Lisbeth Bergholt.
Efter at have genbesøgt sine processer har SektorCERT nu en endnu bedre struktur og overblik. Og det hjælper, når de skal designe nye ydelser fra bunden. Her er der allerede klare rammer for, hvordan de skal forholde sig til cybersikkerheden og anvendelsen af data.
Og det er en væsentlig pointe, understreger Lisbeth Bergholt:
”D-mærket og sikkerhedsprocesserne skal være en del af den daglige drift. Det skal ikke være et stort enkeltstående projekt. Selvfølgelig får du støvet af i krogene, men det handler om løbende at holde orden – og ikke om at rydde op én gang om året.”