Har du hørt om CIA? Og nej, jeg mener ikke den sagnomspundne spion-fabrik, Central Intelligence Agency i Arlington, Virginia. Faktisk, så er CIA en model, der henviser til tre vigtige parametre inden for informationssikkerhed: Confidentiality, Integrity og Availability.
CIA-modellen er formet som en trekant (en triade) og på dansk kan de tre parametre oversættes til fortrolighed, integritet og tilgængelighed. Da vi jo snakker om informationssikkerhed, så er det altså fortrolighed af data, integritet af data og tilgængelighed af data.
Billede lånt fra: https://blog.jamestyson.co.uk/
Der er faktisk rigtige mange mange sikkerhedsforanstaltninger, der er designet til at beskytte en eller flere facetter af CIA-triaden og som er gode at have med i sine overvejelser, når man implementerer IT-, Cyber- og datasikkerhed (for nemhedens skyld, vil jeg kalde det informationssikkerhed i resten af indlægget, da IT-, Cyber- og datasikkerhed ikke er så mundret).
Hvad bruges CIA-modellen til?
Formålet med CIA-modellen er at skabe en form for standard for implementering og evaluering af informationssikkerhed uanset det underliggende system og/eller organisation. De tre parametre har forskellige krav og processer, der både hænger sammen og kan vurderes hver for sig. Modellen er i dag ret så udbredt, og selvom der er forskellige meninger om dens relevans og hvorvidt den er dækkende nok, så er det et godt værktøj til at komme igang med informationssikkerhedsforantaltninger. Derfor bruges CIA-modellen også af mange i sikkerhedsbranchen som en indledende analyse af virksomheders “informationssikkerheds-benchmark”. Nedenfor vil vi gennemgå de tre parametre og hvad de kan bruges til
(⚠️ Advarsel - det bliver nørdet ⚠️)
Fortrolighed
Når vi taler om fortrolighed af oplysninger, så taler vi om at beskytte oplysningerne mod videregivelse til “uautoriserede” parter. Det kan f.eks. være åbne porte og forbindelser, men kan ligesåvel være adgangsforhold på arbejdspladsen til fortrolige eller følsomme oplysninger. Fortrolighed er vigtigt fordi information og data har en kæmpe værdi. Tænk på alle de virksomheder, der lever af intellektuel ejendom eller virksomheder, der behandler kreditkort informationer eller CPR-numre. Alle har oplysninger, de ønsker at holde hemmelige.
Beskyttelsen af sådanne oplysninger er derfor en vigtig del af din virksomheds sikkerhedsforanstaltninger. En anden vigtig del af fortrolighed når det kommer til IT- og cybersikkerhed er kryptering. Kryptering sikrer, at det kun er de rigtige personer (personer, der kender nøglen), der kan læse oplysningerne. Kryptering er standard for rigtig mange produkter i dag og bruges af mange som deres afkrydsning af, at de har styr på fortroligheden i CIA-modellen. Kryptering kommer dog i mange forskellige variationer og praksisser, så det er stadig en god idé at tjekke både metodik og struktur igennem. På virksomhedsniveau kan det også være god idé at gennemgå fortroligheden, f.eks. gennemgå brugerrettigheder, fil-tilladelser og adgangskontrollister for at begrænse adgangen til følsomme oplysninger.
Integritet
Integritet henviser til at beskytte oplysninger og data mod at blive modificeret eller ændret af uautoriserede parter. Det kan nemt lyde som om, at det handler om ændring af filer, hvis en cyberkriminel hacker sig ind og ændrer i systemerne, men for langt de fleste virksomheder er udfordringer med dataintegritet langt mere lavpraktisk. Det er nemlig sådan, at data kun har værdi, hvis den er korrekt og pålidelig. Data, der er blevet pillet ved, kan være upålidelig eller “korrupt” på computeren. Det skaber store problemer, hvis ikke systemerne eller filerne vil åbne korrekt eller informationen ikke er rigtig.
Lad mig komme med et eksempel: Du sender et dokument til din kollega, men når din kollega åbner dokumentet, så står der ikke de rigtige rettelser, datoer eller tekst i dokumentet. Forestil dig så, at der ikke er tale om en fil men en bankoverførsel, hvor du vil sende 1.000 kroner og i stedet så får modtageren 100.000 kroner.
Vi skal altså have tillid til, at vores data ikke bliver ændret undervejs når vi bruger det. Ligesom med fortrolighed, så spiller kryptografi selvfølgelig en meget stor rolle i forhold til dataintegritet, men adgangsforhold, pålidelig software (og kode) er mindst lige så vigtigt. En meget anvendt metode til at beskytte dataintegritet er sammenligning af hashes, der sendes og modtages af systemer. På dansk betyder det altså, at vi sammenligner indholdet af den pakke, som vi sender også er det samme når den kommer frem).
📦 ⇒ 📦 = 👍
📦 ⇒ 🗃 = 👎
Tilgængelighed Med fortrolighed og integritet har vi jo allerede skabt en masse barrierer, der gør vores arbejde med data mere besværligt om end mere sikkert. Det kan derfor for mange være rart at vide, at den tredje parameter i CIA-modellen handler om tilgængelighed.
Tilgængeligheden af vores oplysninger er vigtigt og vi skal netop sikre, at autoriserede personer er i stand til at få adgang til oplysningerne, når det er nødvendigt. Ligesom data kun har værdi, hvis den korrekt og pålidelig, så har data kun værdi, hvis de autorisederede personer kan få adgang til den, når de ønsker det.
Datatilgængelighed er altså en vigtigt parameter og har i mange år været det, som mange virksomheder måske ubevidst har fokuseret på. Nogle gange i en sådan grad, at data ikke er blevet opbevaret fortroligt eller med integritet. Du kan f.eks. forestille dig virksomheder, der har udarbejdet en hjemmeside, men ikke har fået et TLS/SSL certifikat til deres side eller en App, der sender for mange oplysninger om deres brugere frem og tilbage via deres API - eksemplerne er mange.
Når det handler om cyberangreb, så er angreb på datatilgængelighed faktisk et stort og voksende problem. At nægte adgang til data er blevet et af de mest almindelige angreb i dag. Næsten dagligt kan du finde nyheder om virksomheder, myndigheder og hjemmesider, der bliver udsat for DDoS-angreb (Distributed Denial of Service). Det primære formål med DDoS-angreb er at nægte brugere af, f.eks. en hjemmeside, adgang til hjemmesidens portaler og ressourcer. For store virksomheder eller hjemmesider, der lever af trafik på deres site, så er nedetid en dyr fornøjelse. En anden type angreb, som både omfatter tilgængelighed og integritet er ransomware. Her bliver data utilgængelig og krypteret af uautoriserede parter. Data bliver altså ændret, så du egentlig ikke kan stole på den, selv hvis du får nøglen til at dekryptere den. For mange virksomheder, der har været udsat for ransomware vil man bagefter skulle lave en større gennemgang og analyse af sin data (blandt andet ved at sammenligne hashes) for at se om man har fået den originale data tilbage, og at der ikke ligger noget kode eller virus, som har ændret på data eller kan ændre data igen.
Hvad kan jeg bruge CIA-modellen til?
Hvis din virksomhed skal igang med at gennemgå din informationssikkerhed, så kan det være en god øvelse at se på CIA-modellen til en start. Spørg jer selv om jeres systemer, praksisser og teknologier lever op til den fortrolighed, integritet og tilgængelighed, som I ønsker. I kan herefter prioritere, hvad der skal rettes på eller implementeres for at få det niveau af sikkerhed, som I ønsker. Hvis det lyder vævende, så har du helt ret. Det er svært at give et klart bud på, hvornår man er sikker nok, for det handler i sidste ende om den branche man er i, hvilke standarder man skal leve op til og den risikovillighed man har som virksomhed. Hertil så udvikler cybertruslerne sig konstant og ligeså med de systemer og teknologier vi anvender. Informationssikkerhed bør derfor ses som et tilbagevendende tema i jeres virksomhed, da det faktisk er rigtig svært at sætte et konkret slutmål for sikkerhed.
Hvis du har overvejelser om at prøve kræfter med CIA-modellen eller ønsker hjælp til at styre processen, så kontakt os endelig.