Sikkerhedsmæssig styring og vedligehold af software

Software i it-udstyr kan udgøre en trussel imod sikkerheden i behandling af personoplysninger og andre data. Dette gælder særligt, når it-udstyret kobles til et netværk ­– enten organisationens interne netværk, internettet eller begge dele.

”Software” skal i denne forbindelse forstås bredt og omfatter operativsystemer (fx Microsoft Windows), egenudviklet software, tredjepartssoftware (fx Microsoft Word, Adobe Acrobat) og firmware. Det gælder software i pc, smartphone, server og netværksudstyr (fx router, firewall), og IoT (’Internet of Things’ så som overvågningskamera, plejerobot, medicinsk udstyr, sensor, kaffemaskine, vaskemaskine, robothund og meget andet).

Beskyttelse imod ondsindet udnyttelse af software forudsætter, at den vedligeholdes sikkerhedsmæssigt, og at man undgår, begrænser eller isolerer softwaren mest muligt. Udnyttelsen af sårbarheder eller fx svage log-in i én software i én it-enhed kan evt. give mulighed for at kompromittere andre it-enheder på samme netværk. Der er dermed tale om en forebyggende foranstaltning, som mindsker sandsynligheden for, at ondsindede angreb på it-miljøet medfører brud på datas fortrolighed, integritet eller tilgængelighed.

Ved indkøb af enheder, som skal kobles på organisationens netværk, er der fokus på, at:

1. Leverandøren leverer sikkerhedsopdateringer til softwaren, og det er tydeligt, hvordan opdatering foregår.
2. Unødvendige funktioner/porte kan slås fra/lukkes/fjernes.
3. Alle adgangskoder kan ændres til noget selvvalgt.
4. Kommunikation til/fra enheden kan foregå forsvarligt krypteret.
5. Leverandøren oplyser, når der ikke længere laves sikkerhedsmæssig patch/opdatering af softwaren, og hvornår softwaren ikke længere kan købes eller supporteres.

Netværket opsættes til kun at acceptere kendte (godkendte) enheder, hvis software kan holdes sikkerhedsmæssigt opdateret.

Software (herunder firmware) i enheder, som tillades på organisationens netværk, holdes sikkerhedsmæssigt opdateret

Standard-login er ændret/fjernet før udstyr sættes på nettet. Alle log-in har stærke passwords (minimum 15 karakterer) og beskyttelse imod ’brute-force-angreb’, og der anvendes evt. flerfaktorautentifikation.

Muligheden for administrering og fjernstyring af enheder begrænses. Så vidt muligt er den type funktionalitet ikke tilgængelig direkte fra internettet, men kun ”on-site”. Hvis funktionaliteten skal være tilgængelig fra internettet begrænses det så vidt muligt til korte tidsperioder og med IP-filter. Under alle omstændigheder sker log-in til den type funktionalitet altid med flerfaktorautentifikation.

Alle funktioner/porte, som ikke anvendes, er slået fra eller afinstalleret.

Pc’er opsættes til ikke at kunne tilkobles udstyr via USB-stikket ud over tastatur og mus. På den måde kan medarbejdere ikke påsætte tilfældigt udstyr, som kan sprede malware til netværket ad den vej.

USB-stik i IoT blokeres fysisk, for at undgå at udstyret misbruges ad den vej.

Der er regelmæssig overvågning af, hvornår leverandøren af noget software ikke længere patcher/opdaterer det sikkerhedsmæssigt, og hvornår softwaren ikke længere kan købes eller supporteres. Der er en plan for, hvad man gør, når det sker. Hvis det betyder, at softwaren kan begynde at udgøre et sikkerhedsmæssigt problem, og det ikke er muligt at udskifte softwaren, så bliver enheden/it-systemet med denne software isoleret på netværket for at mindske muligheden for at sårbarheden bliver en trussel mod andre dele af it-miljøet. Se foranstaltningen 'Netværkssegmentering'.

Der etableres procedurer eller it-systemer, som sikrer, at ovenstående sker, uafhængigt af organisationsændringer – også fratrædelser.

Behandling af personoplysninger kræver bl.a. tilstrækkelig beskyttelse imod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse eller beskadigelse af personoplysninger. Ordet ”tilstrækkelig” kan indikere, at niveauet kan justeres efter en risikovurdering, men problemet er, at dårlig sikkerhed i en lille del af et it-miljø kan blive misbrugt til at kompromittere andre dele af it-miljøet.

Derfor der tale om en foranstaltning, som altid skal implementeres – i større eller mindre grad – i it-miljøer, hvor der behandles personoplysninger, for at leve op til reglerne i databeskyttelsesforordningen.

For statslige myndigheder: Se krav om sikkerhedsmæssig opdatering af software i de tekniske minimumskrav for statslige myndigheder.