Ser man isoleret på hændelser relateret til Forskningsnettet, var stigningen på otte procent. Forskningsnet-hændelser udgjorde godt halvdelen af årets opgaver.
Det fremgår af DKCERT Trendrapport 2014, som netop er udkommet. Rapporten indeholder statistikker over it-sikkerheden på de netværk, DKCERT overvåger, herunder Forskningsnettet.
Tallene viser blandt andet en vækst på 62 procent i sager om webservere, som blev misbrugt til phishing. Og der var næsten en fordobling af sager, hvor webservere blev brugt til at sprede skadelig software med.
Rapporten indeholder også artikler om, hvordan Roskilde Universitet blev certificeret efter ISO 27001-standarden og hvordan man får gevinst af en certificering med råd fra Dansk Standard. En artikel fra Aarhus Universitet giver inspiration til awareness-kampagner, mens Kim Aarenstrup fra Deloitte giver gode råd om, hvordan man styrer sikkerheden, når it-driften er outsourcet.
DKCERT har samlet en række anbefalinger, der har til formål at øge it-sikkerheden. De er opdelt i anbefalinger til it-ansvarlige og til beslutningstagere.
Anbefalinger til it-ansvarlige:
DKCERT anbefaler, at it-ansvarlige udfører en risiko-vurdering som grundlag for alle it-sikkerhedstiltag. En risikovurdering kan med fordel udarbejdes ud fra anbefalingerne i ISO 27001.
- Hold brugernes enheder opdateret. Det gælder også, når de anvender deres egne enheder til arbejdsformål (BYOD).
- Forlang ledelsens aktive involvering i informationssikkerhedsarbejdet.
- Udarbejd beredskabsplaner for kritiske hændelser.
- Ajourfør og vedligehold informationssikkerhedspolitikken.
- Begræns adgangen til data og beskyt dem med kryptering.
- Hold de ansatte eller studerende informeret om informationssikkerhedspolitikken og aktuelle problemer.
- Hav øget fokus på organisationens webapplikationer.
- Gennemfør en passwordpolitik, der forhindrer svage passwords.
- Tænk sikkerhed ind i relationen til leverandører, kunder og samarbejdspartnere.
- Overvej forsikringer mod tab ved hacking af netbank eller DDoS-angreb.
Anbefalinger til beslutningstagere
Informationssikkerhed er ledelsens ansvar. Brud på sikkerheden kan koste dyrt i form af økonomisk tab, mistede ordrer, dårlig omtale og udgifter til oprydning. DKCERT anbefaler, at ledelsen afsætter de fornødne ressourcer til at løfte opgaven.Se informationssikkerhed som et konkurrenceparameter på linje med kvalitet.
- Inkluder informationssikkerhed i den langsigtede strategiske planlægning.
- Tænk sikkerhed ind fra starten i udviklingen af produkter og tjenester.
- Gør det tydeligt, at ledelsen er aktivt involveret i informationssikkerheden.
- Prioriter og synliggør risikostyring.
- Afsæt ressourcer til uddannelse.
- Arbejd sammen med andre virksomheder eller interessenter om informationssikkerhed.
- Udarbejd og vedligehold en beredskabsplan for kritiske hændelser.
- Afsæt ressourcer i form af tid, penge og personale, før der opstår et alvorligt it-sikkerhedsproblem.