Contact us: +45 32 67 26 26
Dansk

Dansk Kodeks For Sikkerhedstest | Her Er Spillereglerne

Anders Bryde Thornild
By: Anders Bryde Thornild IT-sikkerhed | 2 december

OBS: Dette blogindlæg blev først udgivet i marts 2021, men er sidenhen blevet opdateret.

Den 28. januar 2021 offentliggjorde
Center for Cybersikkerhed et nyt sikkerhedskodeks. Målet for dette kodeks er at sikre, at sikkerhedstests, som f.eks. penetrationstesting eller phishing-simulationer, sker på forsvarlig vis uden at krænke eller udstille medarbejdere i deres hverdag.

Kodekset HELT kort

Kodekset består af 6 principper for sikkerhedstest, som hver har forskellige underpunkter. Principperne har til formål at danne en fælles ramme for IT-sikkerhedstest for alle. Ved at følge principperne sikrer man, at alle sikkerhedstest udføres forsvarligt på en måde, hvor medarbejdere er beskyttet, kunder ved hvad de kan forvente, og udbydere får klare mål og rammer at arbejde indenfor.

Punkterne lyder således:

Punkt 1: Vær enige om mål og midler

At der er enighed mellem udbyder og kunde om mål og midler ved en sikkerhedstest

Punkt 2: Test organisationen, ikke medarbejderen

At man ikke udstiller medarbejdere, men holder tests på et generelt organisatorisk niveau.

Punkt 3: Indhold og brug af case-materiale

At man er enige om, hvilket materiale der bliver brugt i sikkerhedstest.

Punkt 4: Giv dig til kende i tilfælde af konflikter

At man er enighed mellem udbyder og kunde om, hvordan man håndterer konflikter, og hvem der er ansvarlig for at håndtere disse.

Punkt 5: Videregiv viden om kriminelle handlinger

At man videregiver den viden man finder, hvis man finder viden om kriminelle handlinger.

Punkt 6: Sørg for ansvarlig datahåndtering

At man behandler persondata forsvarligt.

CyberPilot skal leve op til disse

Da vi her i CyberPilot tilbyder phishing-simulationer målrettet virksomheder og deres medarbejdere er dette kodeks yderst relevant for os. Vi vil derfor i dette blogindlæg gå mere i dybden med de 6 principper, fortælle hvem der står bag og hvorfor det er vigtigt og relevant. Vi vil også fortælle, hvordan vi i CyberPilot arbejder med disse principper.

Smart CTA_e-book DK

Hvem står bag dette kodeks?

Kodekset er lavet i samarbejde af flere foreninger og organisationer, som alle har forskellige interesser. Det skal sikre, at kodekset ikke bliver for ensporet, men både tilgodeser etiske, digitale og kommercielle hensyn.

Som afsender står:

  • IT-branchen

  • KL

  • HK

  • Akademikerne

  • Center for Cybersikkerhed

  • Dansk Erhverv

  • Dansk Industri

  • Danske Regioner

  • Digitaliseringsstyrelsen

  • Erhvervsstyrelsen

  • Finans Danmark

  • SMV Danmark

Hvad er meningen med kodekset?

Som kodekset siger, så skal kodekset:

”ses som en række minimumsforpligtelser til leverandører af sikkerhedstests og deres kunder. Kodeksets primære fokus er retningslinjer, som ikke er reguleret ved lov.”

Kodekset skal altså fungere som et sæt retningslinjer, som kunder og leverandører kan bruge som referenceramme. Sikkerhedstests kan udføres på mange måder helt lovligt, men med dette kodeks bliver det lettere at sætte krav til hinanden og opnå en fælles forståelse for f.eks. etiske spørgsmål ved en phishings simulation som f.eks. Hvilken data ”phisher” vi fra medarbejderne, og hvad gemmer vi? Hvor meget skal medarbejdere vide om simulationen, inden igangsættelse? Mm.

 

De 6 principper og CyberPilots håndtering af dem

1. Vær enige om mål og midler

Det første princip giver på mange måder sig selv. Leverandør og kunde skal indgå klare aftaler, så begge er fuldstændig klar over, hvad en sikkerhedstest indebærer. Hvis man f.eks. skal lave en penetrationstest, er det vigtigt at være enige om, hvilke teknikker der vil blive forsøgt eller må blive forsøgt anvendt. Det skal også sikre, at leverandøren ikke ”angriber” dele af kundens systemer, som kunden egentlig ikke ønsker.

Derudover er det vigtigt, at kunden sikrer opbakning til testen fra ledelsen, da en test ofte kan berøre mange, hvis ikke alle medarbejdere. Kodekset nævner, at dette er kundens ansvar, men at det vil være god praksis at leverandøren spørger ind til opbakningen, inden man underskriver og påbegynder en sikkerhedstest.

I CyberPilot går vi selvfølgelig ind for disse anbefalinger, og vi prøver så vidt muligt altid at sikre os, at vores kunder og os selv er 100% enige om, hvad der kommer til at ske, inden vi påbegynder en phishings-simulation eller en sårbarhedsscanning. Vi sørger derfor for at snakke testen igennem med kunden, inden vi påbegynder den. Her snakker vi både om, hvad testen indeholder, men også hvad kunden kan forvente af resultater og reaktioner fra medarbejdere. Efter en phishing-simulation evaluerer vi resultaterne for at afstemme, om der skal ændres i tilgangen inden næste test.

2. Test organisationen, ikke medarbejderen

Dette princip omhandler helt enkelt, at en sikkerhedstest ikke skal have til formål at udstille medarbejdere eller finde ”dårlige” medarbejdere. Sikkerhedstest skal have til formål at teste organisationers sikkerhed.

Princippet lister 3 underpunkter for at sikre dette:

  1. Medarbejderen skal varsles

    Hvis en medarbejder bliver berørt af en sikkerhedstest, så anbefales det at medarbejderen varsles. Det kan dog være svært at gøre på en måde, som ikke påvirker effekten af en sådan sikkerhedstest. Kodekset nævner, at det derfor kan overvejes at give denne varsel gennem f.eks. medarbejder-håndbøger, kontrakter eller retningslinjer, der sikrer, at man kan udføre disse tests på lang sigt, uden altid at skulle meddele om, at nu kommer der f.eks. en eller anden simuleret phishing-mail i næste måned.

    Det er op til kunden selv at stå for varslingen og sikre, at man må gennemføre tests (der kan være overenskomster eller aftaler, der gør, at man ikke kan gennemføre tests). Leverandører bør dog aktivt spørge ind til det.

  2. Afrapportering må ikke udstille medarbejdere

    Rapportering bør ikke udstille specifikke medarbejdere eller små grupper af medarbejdere. Derfor bør alt rapportering være anonymt.

     

  3. Video- og audio-materiale bør ikke videregives

    Hvis man under et simuleret social engineering-angreb f.eks. bruger video eller lyd, så bør denne ikke indgå i rapporteringen. Det skyldes, at video- og lydmateriale kan bruges til at identificere personer, hvilket går imod punkt 2 om ikke at udstille personer. Hvis materialet ikke kan bruges til at identificere personer, kan materialet videregives.

I CyberPilot bestræber vi os også på at efterleve dette princip. Vi bruger ikke video/lyd og anonymiserer rapporter ved phishing-simulationer for ikke at udstille nogen. Vi må dog også erkende, at der kan være udfordringer ved varslinger, når vi gennemfører phishing-simulationer, da varslinger kan få store konsekvenser for resultaterne ved phishing-træningen. Vi vil derfor gerne undgå, at der laves en ny varsling før hver enkel test, men at man i stedet meddeler på et mere generelt niveau, at man vil påbegynde phishing-træning over de næste X antal måneder.

 

3. Indhold og brug af case-materiale

Når man laver phishing-simulationer eller penetrationstest, så udgiver man sig ofte for at være en anden, end man rent faktisk er. Kodekset lægger vægt på, at man kun bør gøre dette, når det er nødvendigt. Derudover lægger den vægt på:

  1. At man aftaler, hvem man må udgive sig for at være. F.eks. hvis man vil udgive sig for at være en fra kundens virksomhed

  2. At man ikke udgiver sig for at være en myndighedsperson (det er ulovligt)

  3. At man ikke udgiver sig for at være en repræsentant fra en 3. virksomhed uden at have en aftale med denne virksomhed.

Når det kommer til phishing specifikt. Her er det vigtigt, at kunden ved, hvordan vi, som leverandør, har tænkt os at få oplysninger ud af medarbejderne. Derfor er det vigtigt, at kunden godkender de phishing-mails og kampagner, vi har tænkt os at sende ud til deres medarbejdere.

Worst case scenario er, at vi kommer til at sprede misinformation om kunden, der får negative konsekvenser for kunden.

I CyberPilot har vi et bredt udvalg af phishing-kampagner (phishing-mails). Vores kunder kan selv være med til at vælge hvilke, de har lyst til at teste af på deres medarbejdere. Det sikrer, at der ikke dukker uventede phishing-mails op i medarbejdernes indbakker. Det sikrer også, at phishing-kampagnerne ikke indeholder phishing-metoder, som kunden ikke har lyst til at anvende imod sine medarbejdere.

4. Giv dig til kende i tilfælde af konflikter

I princip nummer 4 nævner kodekset, at der kan hurtigt opstå konflikter ved sikkerhedstests. Derfor er det vigtigt, at man har klare regler mellem leverandør og kunde om, hvor meget leverandøren gør for at skjule sin identitet, og hvornår og hvordan de giver sig til kende, hvis medarbejderen sætter spørgsmålstegn. Derudover er det vigtigt at have aftaler om, hvem der skal kontaktes, hvis der opstår konflikter, således at leverandøren og medarbejdere ved, hvem de skal gå til, hvis der er spørgsmål.

I CyberPilot forsøger vi at arbejde med fuld transparens. Vi vil aldrig optrappe en konflikt med en medarbejder, der f.eks. stiller spørgsmålstegn ved en phishing-mails indhold. Det er dog vigtigt for os, som nævnt, at alle kampagner bliver valgt i samarbejde med en repræsentant fra vores kunder, således at vi sikrer, at indholdet af vores phishing-mails ikke kan virke stødende for visse medarbejdere i en given virksomhed. Hvis det alligevel skulle ske, så sikrer dette også, at der er en fra virksomheden disse medarbejdere kan gå til.

5. Videregiv viden om kriminelle handlinger

Hvis man ved et tilfælde skulle komme til at afsløre kriminelle handlinger, når man laver en sikkerhedstest, så bør leverandøren reagere med det samme. Alt afhængig af hvilken type kriminalitet, der er snakke om, skal leverandøren enten gå direkte til politiet eller informere kunden, der derefter får ansvaret for at håndtere situationen.

Det siger sig selv, at vi i CyberPilot erklærer os enige i dette princip, og at vi tager afstand for enhver type kriminel handling.

6. Sørg for ansvarlig datahåndtering

Det sidste punkt i kodekset omhandler ansvarlig datahåndtering. Under sikkerhedstest kan leverandører komme i besiddelse af følsomme data. Det er derfor vigtigt at have placeret dataansvaret og at have klargjort, om man som leverandør er databehandler eller dataansvarlig. Herudover er det også vigtig med klare aftaler om sletning af data igen og oprydning efter tests.

I CyberPilot er vi fuldt opmærksomme på, hvilke datatyper vi indsamler under phishing-kampagner, og hvordan vi behandler dette. Vi indsamler ikke følsomme data som f.eks. passwords, da vi finder det mere relevant, om medarbejdere indgiver passwords eller ej, end hvad de reelle passwords er. Vi tester altså, hvorvidt medarbejdere indtaster og indsender password og e-mail, men vi indsamler ikke hvad der rent faktisk bliver tastet ind. Vi bestræber os på at indsamle så lidt data som overhovedet muligt for at levere vores services.

Afrunding

Det nye kodeks skal sikre, at både udbydere, kunder og medarbejdere kan være trygge ved sikkerhedstest. Sikkerhedstest kan på mange måder være usikker grund for mange, da man ikke præcist ved, hvad der kommer til at ske, eller hvad man finder ud af. Ved at følge de 6 principper fra kodekset kan man forhåbentligt fjerne en smule af usikkerheden. Vi vil i hvert fald gøre vores for fortsat at køre sikkerhedstest på en forsvarlig måde i fremtiden, der både sikrer kvalitet i tests således at sikkerheden forbedres, men som også sikrer, at testene udføres forsvarligt etisk og datamæssigt.