Våren 2022 iverksatte Markedsplassen for skytjenester (MPS) utprøving av en Cyber Risk Score tjeneste for offentlige virksomheter. Dette for å undersøke behovet og nytteverdi for verktøy som kan gi innsikt i egne sårbarheter på internett.
Formålet med prosjektet har vært å prøve ut verdien av en Cyber Risk Score tjeneste i statlige og kommunale virksomheter for å se hvilken effekt bedre innsikt i egen sårbarhet på internett vil ha med hensyn på å treffe risikoreduserende tiltak, samt gi økt bestillerkompetanse for senere eventuelle anskaffelser innenfor informasjonssikkerhetsområdet.
Det ble undersøkt nytteverdien innen to hovedområder:
- Strategisk styringsinformasjon: hvordan kan denne type informasjon benyttes av virksomhetsledere, departementer og veiledermiljø for å måle og styre informasjonssikkerhet på Internett? I hvilken grad lykkes virksomhetene med å benytte seg av informasjonen?
- Operativ informasjon: hvordan kan denne type informasjon benyttes av IT- og sikkerhetsfunksjoner i statlige enheter, kommuner, fylkeskommuner og andre offentlige virksomheter for å redusere informasjonssikkerhetsrisiko ved å redusere sårbarhet og angrepsflate på Internett? I hvilken grad lykkes virksomhetene med å benytte seg av informasjonen?
26 statlige virksomheter og 4 kommuner deltok i utprøvingen. Deltakelsen innebar tidlig-fase møter med sentrale interessenter.
Det ble videre invitert bredere til 2 oppstartmøter – «kick-off» der deltakerne fikk informasjon om bruk av tjenesten.
I tillegg er det gjennomført webinar sammen med KiNS og 2 avsluttende Teams-møter samt spørreundersøkelse med formål om å innhente tilbakemeldinger fra virksomhetene i utprøvingsperioden.
Formålet med spørreundersøkelsen var å innhente strukturerte tilbakemeldinger fra virksomhetene som har prøvd ut tjenesten. Vi spurte i spørreundersøkelsen om forhold som gjelder bruk innen virksomhetsledelse og strategi, samt hvordan et slikt verktøy kan benyttes rent operativt til risikoreduserende tiltak.
Den avsluttende spørreundersøkelsen og de avsluttende møtene indikerer at det er et behov for en Cyber Risk Score tjeneste i offentlig sektor, og at dette vil være et nyttig verktøy for virksomhetsledelse og for IT- og sikkerhetsledelse. Dersom verktøyet benyttes nasjonalt for offentlig sektor vil det representere et effektivt styringsverktøy og tilrettelegge for økt samhandling. Det bemerkes imidlertid at:
- Det er viktig å forstå at det må være flere verktøy i verktøykassa. Dette verktøyet ser kun virksomhetene fra utsiden og inn, og sier ikke noe om nivået på intern sikkerhet.
- Virksomhetene må ha flere indikatorer for sikkerhet. En høy score i verktøyet må ikke være en hvilepute for virksomhetsledelsen, men snarere et mål på minimum sikkerhetshygiene på Internett.
- Bruk av verktøyet krever relevant kompetanse på IT- og sikkerhet. Det er viktig at MPS tilrettelegger for veiledning og samarbeid, og at fagorganene benytter samme verktøy.
- Det er behov for en validering av «digital footprint» (IP-adresser og domenenavn) og sårbarheter før man kan sette lit til verktøyet som styringsverktøy. Valideringen må gjøres av virksomhetene selv.
Det er observert en målbar positiv effekt på risk score for de mest aktive deltakerne. Porteføljen bekrefter videre et stort potensiale for å måle og forbedre sikkerhetshygienen i det offentlige Norge.
Skjermbilder (under) viser ulike nivåer på sikkerhets-score innen kommuner, stat og de deltakende virksomhetene. Dette gir et bilde på rating innen de ulike virksomhetene og vi observerer at det er stor spredning. De fleste virksomhetene som ligger på lavt og middels nivå (gul og rød), vil i mange tilfeller kunne løfte seg til grønn ved hjelp av enkle midler og relativt lite ressursbruk.
Markedsplassen har med dette som grunnlag til hensikt å etablere en kontrakt med en Cyber Risk Score tjeneste for offentlige virksomheter.
Kontakt
Har du spørsmål eller tilbakemeldinger? Ta kontakt med oss!
E-post: markedsplassen [at] dfo.no (markedsplassen[at]dfo[dot]no)