"Vi vet at vi burde gjøre noe med sårbarheter, men vi vet ikke helt hvor vi skal begynne."

Dette hører vi ofte når vi møter nye kunder. Mange har ingen systematisk tilnærming til å finne og fikse svakheter i sine IT-systemer. De fleste håper rett og slett at deres IT-leverandør holder systemene oppdatert. Noen har prøvd å scanne, men har blitt overveldet av resultatet og lagt det bort.

En kunde vi begynte å jobbe med hadde faktisk kjøpt et scanningverktøy året før. Det hadde kjørt noen få ganger, generert rapporter på flere hundre sider, og deretter hadde ingen visst hva de skulle gjøre med informasjonen. Verktøyet lå der, lisensen ble betalt, men ingen brukte det egentlig.

Dette er dessverre mer vanlig enn man skulle tro.

Hvorfor de fleste ikke har kontroll på sårbarheter

La oss være ærlige om hvorfor sårbarhetshåndtering ofte ikke skjer, eller skjer dårlig:

Ingen vet at det er deres ansvar. IT-avdelingen tror utviklingsteamet håndterer det. Utviklingsteamet tror IT-leverandøren gjør det. IT-leverandøren har levert systemer, men ikke ansvar for løpende sikkerhetsovervåkning. Resultatet? Ingen gjør det.

Det høres komplisert ut. Ord som "sårbarhetsskanning", "CVE-databaser" og "patch management" får folk til å tro dette er noe bare spesialister kan gjøre. I virkeligheten handler det om systematikk mer enn teknisk dypdykking.

Frykten for hva man finner. Mange ledere er bekymret for å åpne Pandoras eske. Hva om vi finner hundrevis av problemer? Hva om vi ikke har ressurser til å fikse alt? Bedre å ikke vite? Nei. Ubevisst sårbar er farligere enn bevisst sårbar.

Ingen har budsjett eller tid. Sårbarhetshåndtering blir sett på som noe ekstra, ikke som grunnleggende drift. Det blir derfor aldri prioritert før noe går galt.

Hva sårbarhetshåndtering egentlig betyr

La oss forenkle dette. Sårbarhetshåndtering handler om tre ting:

1. Vite hva du har. Du kan ikke beskytte systemer du ikke vet eksisterer. Gamle servere i et skap, skytjenester noen satte opp for testing, programvare ingen husker at er installert. Dette må kartlegges.

2. Vite hva som er galt. Programvare har feil. Noen av disse feilene kan utnyttes av angripere. Disse kallles sårbarheter. De må finnes og forstås.

3. Fikse det som faktisk er farlig. Du kommer aldri til å fikse alt. Målet er å fikse det som faktisk utgjør risiko for din virksomhet, i riktig rekkefølge.

Det høres enkelt ut, men i praksis krever det både teknologi, prosesser, og at noen faktisk har ansvar.

Hvorfor vi bygger sårbarhetshåndtering rundt Tenable

Vi har jobbet med sårbarhetshåndtering i over 15 år. Vi har sett ulike verktøy komme og gå. Tenable har vi landet på fordi det løser de faktiske problemene våre kunder har, ikke bare de tekniske.

Det gir deg faktisk oversikt. Tenable scanner ikke bare en gang og gir deg en rapport. Det overvåker kontinuerlig. Nye servere som dukker opp blir automatisk oppdaget. Endringer fanges opp. Du får et levende bilde av miljøet ditt, ikke et øyeblikksbilde som er utdatert samme dag.

Det hjelper deg å prioritere. Når du får en liste med 2000 sårbarheter, hva gjør du først? Tenable kombinerer teknisk alvorlighetsgrad med informasjon om hva angripere faktisk utnytter akkurat nå. Det betyr at du får vite: dette må fikses denne uken, dette kan vente til neste måned, og dette kan du egentlig ignorere.

Det dekker det meste. Servere, PC-er, nettverksutstyr, skytjenester. Tenable finner sårbarheter på tvers av hele IT-miljøet. Du trenger ikke fem ulike verktøy med fem ulike rapporter.

Det er bygget for å faktisk brukes. Mange scanningverktøy er laget for sikkerhetseksperter. Tenable har dashboards og rapporter som faktisk kan vises til ledelsen og som gir mening. "Vi hadde 247 kritiske sårbarheter forrige måned, nå har vi 89" er en rapport ledelsen forstår.

Slik hjelper vi kunder som starter fra null

De fleste av våre kunder starter ikke med Tenable allerede på plass og perfekte prosesser. De starter med usikkerhet, kanskje litt frykt, og et behov for å få kontroll. Slik jobber vi typisk:

Steg 1: Forstå hva som faktisk finnes. Vi begynner alltid med en kartlegging. Hva har dere av servere, systemer, og programvare? Hvor står de? Hvem eier dem? Dette høres enkelt ut, men mange virksomheter har ikke denne oversikten. Vi bruker Tenable sin oppdagelsesmodul til å finne ting som kanskje har blitt glemt.

Steg 2: Ta den første skanningen sammen. Den første skanningen er ofte skremmende. Mange sårbarheter. Røde varsler. Men vi går gjennom resultatene sammen og forklarer hva som faktisk betyr noe. Hvilke systemer er kritiske? Hvilke sårbarheter er reell risiko? Hvilke kan vi egentlig leve med en stund? Dette tar bort panikken.

Steg 3: Definere hvem som skal gjøre hva. Dette er det viktigste steget. Vi bygger en modell for ansvar: Hvem får varsler når kritiske sårbarheter dukker opp? Hvem bestemmer hva som skal fikses først? Hvem faktisk fikser? Hvem sjekker at det ble gjort? Uten dette blir verktøyet bare liggende.

Steg 4: Sette opp prosedyrer som faktisk fungerer. Vi lager enkle handlingsplaner: Når en kritisk sårbarhet oppdages, hva skjer da? Hvem kontaktes? Hvor lang tid har vi på oss? Hvordan dokumenterer vi at det ble håndtert? Dette blir skrevet ned, ikke bare snakket om.

Steg 5: Rapportere på en måte som gir mening. Ledelsen bryr seg ikke om tekniske detaljer. De vil vite: Har vi kontroll? Blir vi sikrere? Hvor mye ressurser krever dette? Vi setter opp rapporter som svarer på disse spørsmålene, ikke som overøser dem med teknisk informasjon.

Steg 6: Løpende support og forbedring. De første månedene er det alltid spørsmål. "Vi fikk et varsel om noe kritisk, hva betyr det?" "Hvordan håndterer vi dette systemet som ikke kan patches?" Vi er der for å svare, veilede, og hjelpe med å utvikle prosessene videre.

NIS2 og hvorfor dette blir påkrevd

Nye NIS2-krav stiller eksplisitte forventninger til at virksomheter har oversikt over sine IT-systemer og håndterer sårbarheter systematisk. Dette er ikke lenger "best practice", det er lovpålagt for mange sektorer.

Regulatorer vil kunne spørre: Hvordan vet dere hva som er sårbart? Hvordan prioriterer dere hva som skal fikses? Hvor lang tid tar det fra dere blir klar over en kritisk sårbarhet til den er håndtert?

Uten en systematisk tilnærming, uten verktøy, og uten dokumentasjon, har du ingen gode svar på disse spørsmålene.

Vi hjelper kunder med å bygge sårbarhetshåndteringen på en måte som både faktisk reduserer risiko OG oppfyller kravene som kommer.

Hva dette betyr for deg som leder

Sårbarhetshåndtering høres kanskje ut som noe teknisk som IT-avdelingen skal håndtere. Men i virkeligheten er det risikostyring. Det handler om å vite hva som kan gå galt, og gjøre noe med det før det skjer.

Spørsmålene du bør stille internt:

• Vet vi egentlig hva slags servere og systemer vi har i drift?

• Hvis en kritisk sårbarhet offentliggjøres i morgen, hvor lang tid tar det før vi vet om vi er påvirket?

• Hvem har faktisk ansvar for å fikse sårbarheter når de oppdages?

• Kan vi dokumentere at vi håndterer dette systematisk, eller krysser vi bare fingrene?

Vi i FM CyberSecurity hjelper norske virksomheter med å gå fra ingen kontroll til faktisk oversikt. Vi implementerer ikke bare Tenable som verktøy, vi bygger prosessene, ansvarslinjene, og forståelsen som gjør at det faktisk fungerer i hverdagen.

For sårbarhetshåndtering handler ikke om å være perfekt. Det handler om å være bevisst, systematisk, og faktisk gjøre noe med det du finner.