Har du hÞrt om CIA? Og nej, jeg mener ikke den sagnomspundne spion-fabrik, Central Intelligence Agency i Arlington, Virginia. Faktisk, sÄ er CIA en model, der henviser til tre vigtige parametre inden for informationssikkerhed: Confidentiality, Integrity og Availability.
CIA-modellen er formet som en trekant (en triade) og pÄ dansk kan de tre parametre oversÊttes til fortrolighed, integritet og tilgÊngelighed. Da vi jo snakker om informationssikkerhed, sÄ er det altsÄ fortrolighed af data, integritet af data og tilgÊngelighed af data.
Billede lÄnt fra: https://blog.jamestyson.co.uk/
Der er faktisk rigtige mange mange sikkerhedsforanstaltninger, der er designet til at beskytte en eller flere facetter af CIA-triaden og som er gode at have med i sine overvejelser, nÄr man implementerer IT-, Cyber- og datasikkerhed (for nemhedens skyld, vil jeg kalde det informationssikkerhed i resten af indlÊgget, da IT-, Cyber- og datasikkerhed ikke er sÄ mundret).
Hvad bruges CIA-modellen til?
FormĂ„let med CIA-modellen er at skabe en form for standard for implementering og evaluering af informationssikkerhed uanset det underliggende system og/eller organisation. De tre parametre har forskellige krav og processer, der bĂ„de hĂŠnger sammen og kan vurderes hver for sig. Modellen er i dag ret sĂ„ udbredt, og selvom der er forskellige meninger om dens relevans og hvorvidt den er dĂŠkkende nok, sĂ„ er det et godt vĂŠrktĂžj til at komme igang med informationssikkerhedsforantaltninger. Derfor bruges CIA-modellen ogsĂ„ af mange i sikkerhedsbranchen som en indledende analyse af virksomheders âinformationssikkerheds-benchmarkâ. Nedenfor vil vi gennemgĂ„ de tre parametre og hvad de kan bruges til
(â ïž Advarsel - det bliver nĂžrdet â ïž)
Fortrolighed
NĂ„r vi taler om fortrolighed af oplysninger, sĂ„ taler vi om at beskytte oplysningerne mod videregivelse til âuautoriseredeâ parter. Det kan f.eks. vĂŠre Ă„bne porte og forbindelser, men kan ligesĂ„vel vĂŠre adgangsforhold pĂ„ arbejdspladsen til fortrolige eller fĂžlsomme oplysninger. Fortrolighed er vigtigt fordi information og data har en kĂŠmpe vĂŠrdi. TĂŠnk pĂ„ alle de virksomheder, der lever af intellektuel ejendom eller virksomheder, der behandler kreditkort informationer eller CPR-numre. Alle har oplysninger, de Ăžnsker at holde hemmelige.
Beskyttelsen af sÄdanne oplysninger er derfor en vigtig del af din virksomheds sikkerhedsforanstaltninger. En anden vigtig del af fortrolighed nÄr det kommer til IT- og cybersikkerhed er kryptering. Kryptering sikrer, at det kun er de rigtige personer (personer, der kender nÞglen), der kan lÊse oplysningerne. Kryptering er standard for rigtig mange produkter i dag og bruges af mange som deres afkrydsning af, at de har styr pÄ fortroligheden i CIA-modellen. Kryptering kommer dog i mange forskellige variationer og praksisser, sÄ det er stadig en god idé at tjekke bÄde metodik og struktur igennem. PÄ virksomhedsniveau kan det ogsÄ vÊre god idé at gennemgÄ fortroligheden, f.eks. gennemgÄ brugerrettigheder, fil-tilladelser og adgangskontrollister for at begrÊnse adgangen til fÞlsomme oplysninger.
Integritet
Integritet henviser til at beskytte oplysninger og data mod at blive modificeret eller ĂŠndret af uautoriserede parter. Det kan nemt lyde som om, at det handler om ĂŠndring af filer, hvis en cyberkriminel hacker sig ind og ĂŠndrer i systemerne, men for langt de fleste virksomheder er udfordringer med dataintegritet langt mere lavpraktisk. Det er nemlig sĂ„dan, at data kun har vĂŠrdi, hvis den er korrekt og pĂ„lidelig. Data, der er blevet pillet ved, kan vĂŠre upĂ„lidelig eller âkorruptâ pĂ„ computeren. Det skaber store problemer, hvis ikke systemerne eller filerne vil Ă„bne korrekt eller informationen ikke er rigtig.
Lad mig komme med et eksempel: Du sender et dokument til din kollega, men nÄr din kollega Äbner dokumentet, sÄ stÄr der ikke de rigtige rettelser, datoer eller tekst i dokumentet. Forestil dig sÄ, at der ikke er tale om en fil men en bankoverfÞrsel, hvor du vil sende 1.000 kroner og i stedet sÄ fÄr modtageren 100.000 kroner.
Vi skal altsÄ have tillid til, at vores data ikke bliver Êndret undervejs nÄr vi bruger det. Ligesom med fortrolighed, sÄ spiller kryptografi selvfÞlgelig en meget stor rolle i forhold til dataintegritet, men adgangsforhold, pÄlidelig software (og kode) er mindst lige sÄ vigtigt. En meget anvendt metode til at beskytte dataintegritet er sammenligning af hashes, der sendes og modtages af systemer. PÄ dansk betyder det altsÄ, at vi sammenligner indholdet af den pakke, som vi sender ogsÄ er det samme nÄr den kommer frem).
đŠ â đŠ = đ
đŠ â đ = đ
TilgĂŠngelighed Med fortrolighed og integritet har vi jo allerede skabt en masse barrierer, der gĂžr vores arbejde med data mere besvĂŠrligt om end mere sikkert. Det kan derfor for mange vĂŠre rart at vide, at den tredje parameter i CIA-modellen handler om tilgĂŠngelighed.
TilgÊngeligheden af vores oplysninger er vigtigt og vi skal netop sikre, at autoriserede personer er i stand til at fÄ adgang til oplysningerne, nÄr det er nÞdvendigt. Ligesom data kun har vÊrdi, hvis den korrekt og pÄlidelig, sÄ har data kun vÊrdi, hvis de autorisederede personer kan fÄ adgang til den, nÄr de Þnsker det.
DatatilgÊngelighed er altsÄ en vigtigt parameter og har i mange Är vÊret det, som mange virksomheder mÄske ubevidst har fokuseret pÄ. Nogle gange i en sÄdan grad, at data ikke er blevet opbevaret fortroligt eller med integritet. Du kan f.eks. forestille dig virksomheder, der har udarbejdet en hjemmeside, men ikke har fÄet et TLS/SSL certifikat til deres side eller en App, der sender for mange oplysninger om deres brugere frem og tilbage via deres API - eksemplerne er mange.
NÄr det handler om cyberangreb, sÄ er angreb pÄ datatilgÊngelighed faktisk et stort og voksende problem. At nÊgte adgang til data er blevet et af de mest almindelige angreb i dag. NÊsten dagligt kan du finde nyheder om virksomheder, myndigheder og hjemmesider, der bliver udsat for DDoS-angreb (Distributed Denial of Service). Det primÊre formÄl med DDoS-angreb er at nÊgte brugere af, f.eks. en hjemmeside, adgang til hjemmesidens portaler og ressourcer. For store virksomheder eller hjemmesider, der lever af trafik pÄ deres site, sÄ er nedetid en dyr fornÞjelse. En anden type angreb, som bÄde omfatter tilgÊngelighed og integritet er ransomware. Her bliver data utilgÊngelig og krypteret af uautoriserede parter. Data bliver altsÄ Êndret, sÄ du egentlig ikke kan stole pÄ den, selv hvis du fÄr nÞglen til at dekryptere den. For mange virksomheder, der har vÊret udsat for ransomware vil man bagefter skulle lave en stÞrre gennemgang og analyse af sin data (blandt andet ved at sammenligne hashes) for at se om man har fÄet den originale data tilbage, og at der ikke ligger noget kode eller virus, som har Êndret pÄ data eller kan Êndre data igen.
Hvad kan jeg bruge CIA-modellen til?
Hvis din virksomhed skal igang med at gennemgÄ din informationssikkerhed, sÄ kan det vÊre en god Þvelse at se pÄ CIA-modellen til en start. SpÞrg jer selv om jeres systemer, praksisser og teknologier lever op til den fortrolighed, integritet og tilgÊngelighed, som I Þnsker. I kan herefter prioritere, hvad der skal rettes pÄ eller implementeres for at fÄ det niveau af sikkerhed, som I Þnsker. Hvis det lyder vÊvende, sÄ har du helt ret. Det er svÊrt at give et klart bud pÄ, hvornÄr man er sikker nok, for det handler i sidste ende om den branche man er i, hvilke standarder man skal leve op til og den risikovillighed man har som virksomhed. Hertil sÄ udvikler cybertruslerne sig konstant og ligesÄ med de systemer og teknologier vi anvender. Informationssikkerhed bÞr derfor ses som et tilbagevendende tema i jeres virksomhed, da det faktisk er rigtig svÊrt at sÊtte et konkret slutmÄl for sikkerhed.
Hvis du har overvejelser om at prÞve krÊfter med CIA-modellen eller Þnsker hjÊlp til at styre processen, sÄ kontakt os endelig.