Norge indfører 'kvalitetsordning' for it-sikkerhedsbranchen

Erfaring med hændelseshåndtering samt systematiseret tilgang til at opdage og reagere på dataangreb bliver grundkrav for at blive statsanerkendt som it-sikkerhedsleverandør hos vores naboer i nord.

Norges CERT, Nasjonal sikkerhetsmyndighet, NSM, har i dag offentliggjort, at man vil etablere en godkendelsesordning for leverandører, der leverer løsninger og tjenester til at håndtere cybercrime og dataangreb. Det skriver digi.no.

Virksomheder, som ønsker at blive godkendt, skal leve op til ni konkrete krav. Formålet er at øge tilliden til, at leverandørerne tilbyder kvalitet.

I første omgang stilles det blandt andet krav om praktisk erfaring med hændelseshåndtering samt en systematiseret tilgang til at opdage og reagere på dataangreb, som samtidig har til hensigt at genoprette en normaltilstand.

»De må også dokumentere indsigt og forståelse for eksisterende og potentielle trusler og teknikker,« siger direktør i NSM's kontrolafdeling Vigdis Grønhaug til digi.no.

Baggrunden for initiativet er, at NSM i årevis har advaret om en stigende mængde it-angreb mod norske virksomheder. Bl.a. i 2014, hvor 50 selskaber i olie- og energibranchen blev udsat for et koordineret dataangreb.

Cloud åbner døre for it-angreb

NSM påpeger også, at cloududviklingen har øget antallet af angrebspunkter markant. I en klassisk infrastruktur kan én sensor være nok til at opfange trusler mod en virksomhed med 40.000 ansatte.

Hvis de samme 40.000 ansatte flyttes ud i en skyen, etablerer man 40.000 veje ud. Det er et oplagt tema, mener afdelingsdirektør Hans Christian Pretorius i NSM's operative afdeling.

Men hvorfor indfører man ordningen netop nu, er NSM-direktør Vigdis Grønhaug blevet spurgt.

»Det er, fordi vi ønsker at sikre en øget kapacitet, da vi ser mange hændelser.«

Med andre ord vil man bidrage til markedsudviklingen inden for området, både i forhold til kvantitet og kvalitet. Direktøren vil dog ikke udtale sig om, hvorvidt det faglige niveau hidtil har været for lavt.

»Jeg vil ikke kalde dette for en certificering. Vi har landet en kvalitetsordning,« siger Vigdis Grønhaug.

De øvrige krav vil blive offentliggjort på NSM's web om kort tid.

En lignende ordning findes i Storbritannien.

Hvis ordningen bliver en succes, påtænker NSM at søsætte flere godkendelsesordninger inden for it-sikkerhedsområdet, for eksempel i forhold til rådgivning og penetrationstests.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk

Kommentarer (1)

Bent Jensen

Ikke godkendte :-(

Som CSC, og andre mange andre offentlige leverandører i Danmark,...

"Hvis ordningen bliver en succes, påtænker NSM at søsætte flere godkendelsesordninger inden for IT-sikkerhedsområdet, for eksempel i forhold til rådgivning og penetrationstest."
Det bliver den vel kun hvis man skal være godkendt for at levere til det offentlige, og man dokumentere at godkendelsesordning forbedre sikkerheden væsentligt, samt at der ikke går for meget politik i den, ..... og 1000 andre ting.

Det kan nemt bare blive en "ny standard", som bare er en ny ligegyldig certificering.

Log ind eller opret en konto for at skrive kommentarer