Hvordan fungerer SploitScan til hjelp i risikostyringen?
EUs Digital Operational Resilience Act (DORA) trer i kraft 17. januar 2025 og setter nye obligatoriske krav for motstandsdyktighet mot cyber-angrep for finansforetak i Europa og hvor kravene har til hensikt å understøtte stabiliteten i Europas finansielle system. I henhold til artikkel 10 i reguleringen skal finansforetak anskaffe og anvende hensiktsmessige verktøy for å kunne avdekke og følge opp trusler mot svakheter i IT – løsningene. En lovproposisjon som har til hensikt å implementere DORA i Norge (DORA – loven) er for tiden under utarbeidelse, men det er fortsatt usikkert når den vil bli klar.
Imidlertid så setter «Lov om nasjonal sikkerhet» som gjelder for statlige, fylkeskommunale og kommunale organer, samt for leverandører av varer eller tjenester i forbindelse med sikkerhetsgraderte anskaffelser, allerede i dag krav om at virksomhetene skal kontinuerlig overvåke sine «skjermingsverdige» informasjonssystemer for å forebygge, avdekke og motvirke hendelser som kan skade nasjonale sikkerhetsinteresser. Hendelser som er relevante for sikkerhetsarbeidet, skal registreres.
Sist, men ikke minst, ble det 20. desember 2023 kunngjort en ny lov i Norge om digital sikkerhet (digitalsikkerhetsloven), men den er ennå ikke trådt i kraft. Loven skal bidra til å sikre grunnleggende krav til digital sikkerhet i virksomheter med særlig betydning for samfunnet, ved å forebygge, avdekke og motvirke uønskede hendelser i nettverks- og informasjonssystemer som brukes for å levere samfunnsviktige tjenester og digitale tjenester. Den skal også legge til rette for sikkerhet i IKT-produkter, IKT-tjenester og IKT-prosesser. Loven vil implementere det såkalte «NIS 1» – direktivet i norsk rett. Regjeringen har videre uttalt at de også stiller seg positive til de nye kravene og reglene som følger av det nå oppdaterte EU – direktivet – «NIS2».
I sum så bidrar alle de tre ovennevnte rettsaktene til å sette økte krav til samfunnsviktige virksomheter, herunder finansforetak, offentlige virksomheter samt leverandører med hensyn til å avdekke og forhindre at cybertrusler skal skade foretakene og virksomhetene i tiden som kommer.
Introduction to a free cyber threat management tool for DORA and NIS2 compliance – oppsummering av webinaret
Ovennevnte trusselbilde var temaet for IIA Norges webinar den 22. november hvor Alexander Hagenah, Executive Director and Head of Cyber Controls hos SIX og Chiko Okoli, GRC Consulting Engagement, demonstrerte den fritt tilgjengelige trusselhåndteringsfunksjonen kalt SploitScan, som har til hensikt å hjelpe risikoledere med å utvikle robuste deteksjonsstrategier mot nye digitale trusler.
Sploitscan har til hensikt å forbedre vurderingene knyttet til de ovennevnte truslene gjennom å:
- forbedre arbeidsflyten knyttet til truslene gjennom data-aggregering
- prioritere behandlingen av ovennevnte trusler
- tilrettelegge oversikter og rapporter som imøtekommer de nye regulatoriske kravene
Verktøyet skal således effektivisere prosessen med å identifisere virksomhetenes ulike sårbarheter samt gi en risikoscoring av sannsynligheten for at disse sårbarhetene kan utnyttes med utgangspunkt i hvordan organisasjonens systemer er idag. En slik oversikt skal således gjøre det lettere både å vurdere om tiltak er nødvendig samt å prioritere tiltakene man finner nødvendig samt hva disse bør være.
Den som ønsker å lese mer om Sploitscan og mulighetene som løsningen innebærer kan finne nærmere informasjon her: https://github.com/xaitax/SploitScan. Du kan se opptak av gjennomgangen HER.
Vi i IIA takker Alexander Hagenah og Chika Okoli for en interessant gjennomgang. For ordens skyld gjøres det oppmerksom på at IIA Norge ikke selv har hatt anledningen til å teste ut løsningen som ble presentert, og denne artikkelen må derfor ikke fortolkes som en anbefaling om å ta i bruk løsningen.
