Skip to main content
    Ring til os
    Kontakt os

      De 6 vigtigste it-spørgsmål til din sikkerhedsleverandør

      “Når leverandører kalder deres løsning “NIS2-kompatibel”, siger det i sig selv ikke ret meget. Det vigtigste er, om de kan give klare svar på ansvar, logning, adgangsstyring, patching og dokumentation – og dermed reelt understøtte jeres arbejde med robusthed, hændelseshåndtering og compliance,” forklarer Nicklas Riedel, der er ansvarlig for videoløsninger i Securitas Danmark.

      Portræt af Nicklas Riedel, som er ekspert i videoovervågning hos Securitas

      Videoovervågning bliver ofte opfattet som et drifts- eller teknikområde. Men i en NIS2-kontekst er det langt mere end kameraer på væggen. Det er et netværkstilkoblet system med brugere, rettigheder, software, logs og leverandøradgange. Derfor er det ikke nok at spørge, om løsningen lever op til NIS2 på papiret.

      “Det mindst interessante er egentlig, om vi kan sætte et NIS2-mærkat på en løsning. Det mest interessante er, om vi kan hjælpe kunden med at leve op til kravene til ansvar, responstid, logning og dokumentation,” uddyber Nicklas Riedel.

      Her er de seks spørgsmål, der gør dialogen konkret.

      1. Start der, hvor ansvaret ligger

      NIS2 gør det tydeligt, at ansvaret ligger hos virksomheden – ikke hos leverandøren. En leverandør kan ikke gøre jer compliant, men kan gøre det lettere eller sværere at leve op til kravene.

      Derfor bør et af de første spørgsmål være:

      “Hvad tager I konkret ansvar for i forhold til drift og sikkerhed — og hvad ligger hos os?”

      Hvis svaret i praksis er: “Vi leverer systemet, I driver det”, skal I også være klar over konsekvensen. Så er video et it-system, som I selv skal have fuld governance på — fra patching og rettigheder til overvågning, hændelseshåndtering og dokumentation.

      “Hvis ikke ansvarsfordelingen bliver taget fra starten, kommer den næsten altid tilbage på det værst tænkelige tidspunkt,” siger Nicklas.

      2. Brugeradgang og rettigheder: Hvem kan logge ind - og kan I dokumentere det?

      Når NIS2 skærper fokus på privilegerede brugere, sporbarhed og adgangslogs, bliver video hurtigt et overset område. Gamle teknikerkonti, delte logins og standardadgange er præcis den type små huller, der gør en platform sårbar.

      Det afgørende er derfor ikke bare, om leverandøren har adgangsstyring, men om identitet og privilegier håndteres på en måde, der kan dokumenteres i en audit.

      Spørg for eksempel, hvordan adgange lukkes ned, når medarbejdere eller leverandører stopper, og hvilke logs der viser, hvem der har haft adgang og ændret rettigheder.

      Et godt svar ligger vægt på rollebaseret adgang, integration til identity provider og tydelig adskillelse mellem bruger- og administratorrettigheder.

      3. Firmware patching og sårbarheder: Hvad sker der, når noget bliver gammelt?

      Et videoanlæg består i praksis af små computere: kameraer, recordere, gateways og servere. Hvis firmware og software ikke opdateres, kan sårbarheder stå åbne i årevis. I NIS2-sammenhæng handler det også om netværksdesign og styring af fjernadgang.

      Spørg derfor, hvem der har ansvaret for opdateringer, hvordan opdateringsprocessen ser ud, og om I kan få dokumentation for, hvilke versioner I kører på.

      Spørg også, hvordan video er placeret på netværket, og hvordan leverandørens fjernadgang sikres, begrænses og kan revideres.

      “Vi ved, at en stor del af de kameraer, der hænger derude, kører på forældet firmware,” siger Nicklas. “Derfor skal opdateringer være en fast del af driften - og de skal kunne dokumenteres.”

      4. Opdager leverandøren fejl, før I gør?

      NIS2 handler også om tilgængelighed og robusthed. Hvis et kamera ikke optager, eller en server er nede, kan det hurtigt blive et problem, hvis video skal indgå i hændelseshåndtering.

      Spørg derfor, hvordan løsningen overvåges, hvilke alarmer leverandøren reagerer på, hvad der sker ved nedbrud, og hvilke muligheder der er for redundans.

      Men modenheden viser sig først, når noget faktisk går galt. Hvad er planen for genopretning? Hvor hurtigt kan løsningen være oppe igen, og hvor meget data kan I tåle at miste? Med andre ord: Hvad er jeres RTO og RPO – og er de testet eller blot antaget?

      “Vi kan se i driften, at der næsten altid er en lille andel enheder, der midlertidigt er ude af drift,” siger Nicklas. “Forskellen er, om nogen opdager det samme dag og får det løst – eller om man først opdager det, når man står og mangler optagelserne.”

      5. Kan i trække den dokumentation, I har brug for?

      Når revisor, intern audit eller en myndighed beder om dokumentation, er det ikke nok at sige, at systemet er sikkert. I skal kunne vise, hvem der har haft adgang, hvilke ændringer der er foretaget, og hvordan hændelser er håndteret.

      Spørg derfor, hvilke logdata systemet gemmer, hvor længe de gemmes, om det er muligt at se adgang til optagelser og ændringer i indstillinger, og hvilke rapporter der kan trækkes ud.

      Det centrale er ikke bare, om der findes logs, men om de er søgbare, brugbare og hurtigt kan fremskaffes.

      “Når vi designer videoløsninger, tænker vi altid: Hvordan ser det her ud i en audit?” siger Nicklas.

      6. Hvordan ser leverandørens egen sikkerhed ud?

      Til sidst bør I se på leverandøren selv. NIS2 lægger op til, at I også skal forholde jer til sikkerheden hos kritiske leverandører.

      Spørg derfor, om leverandøren selv er omfattet af NIS2 eller anden regulering, hvilke sikkerhedsstandarder eller ISO-certificeringer de kan dokumentere, og hvordan I bliver informeret, hvis der sker en sikkerhedshændelse hos dem, som påvirker jeres løsning.

      Hvis en leverandør sælger til NIS2-omfattede virksomheder, men ikke kan forklare sin egen governance, er det et faresignal.

      (Form placeholder mobile)

      Administrer præferencer

      Du kan beslutte, hvordan vi bruger cookies på din enhed ved at justere nedenstående indstillinger. Klik på "Accepter alle", hvis du accepterer alle cookies. Hvis du ikke accepterer, at vi lagrer cookies, der er relateret til Google Analytics, kan du lade feltet være tomt. Alle andre cookies, som vi bruger, betragtes som altid aktive, da de er nødvendige for, at vi kan lade besøgende interagere med og bruge webstederne. Når du har foretaget dit valg, skal du rulle ned på listen og derefter klikke på knappen “Bekræft mine valg” nederst på listen.

      Læs mere om vores cookie politik
      • Name:
        _ga

        Bruges til at skelne mellem brugere. En unik identifikator tilknyttet hver bruger sendes med hvert hit for at bestemme, hvilken trafik der hører til hvilken bruger. Denne cookie gør det muligt for ejeren af ​​webstedet at spore en besøgendes adfærd og måle webstedets ydeevne. Hovedformålet med denne cookie er at forbedre webstedets ydeevne.

        Name:
        _gat

        Bruges til at begrænse anmodninger om information på webstedet. Denne cookie gemmer ikke brugeroplysninger. Hovedformålet med denne cookie er at forbedre webstedets ydeevne.

        Name:
        _gid

        Bruges til at skelne mellem brugere. Denne cookie gør det muligt for ejeren af ​​webstedet at spore en besøgendes adfærd og måle webstedets ydeevne. Hovedformålet med denne cookie er at forbedre webstedets ydeevne.

      • Name:
        ai_session

        Fremskynder sideindlæsningstider og tilsidesætter eventuelle sikkerhedsrestriktioner, der kan anvendes på en browser baseret på den IP-adresse, hvorfra den kommer.

        Name:
        ai_user

        Unik bruger-id-cookie, der bruges til at tælle antallet af brugere, der har adgang til en applikation over tid.

      • Name:
        ARRAffinity

        Omstiller anmodningen fra en webbrowser til den samme maskine i DXC-skymiljøet. Se ARRAffinity - Microsoft Azure. Denne cookie slettes, når du lukker din browser.

      • Name:
        __cfuid

        Fremskynder sideindlæsningstider og tilsidesætter eventuelle sikkerhedsrestriktioner, der kan anvendes på en browser baseret på den IP-adresse, hvorfra den kommer

      • Name:
        CookiesAccept

        Bruges til at holde styr på, om brugeren har accepteret brugen af ​​cookies eller ej. Dette indstilles ikke, medmindre den besøgende har klikket på "Accepter" i cookiebanneret nederst på hjemmesiden. Hovedformålet med denne cookie er at forbedre webstedets ydeevne.

      • Name:
        EPiForm_{FormGuid}:{Username}

        Gemmer delvise formularindsendelser, så en besøgende kan fortsætte med en formularindsendelse ved returnering. En cookie oprettes til hver form og hver logget besøgende. Gemmer den aktuelle indsendelsesstatus for formularen (formGuid, submissionID, og ​​hvis indsendelsen er afsluttet eller ej).

        Name:
        .EPiForm_BID

        Identificerer formularindsendelsen til webstedet, når en besøgende indsender data via en Episerver-formular. Gemmer en GUID som browser-id.

        Name:
        .EPiForm_VisitorIdentifier

        Identificerer formularindsendelsen til webstedet, når en besøgende indsender data til via en Episerver-formular. Gemmer en GUID, der er gæstens id. Vedvarende (90 dage fra oprettelsen).

      • Name:
        EPI-MAR-<Content GUID>

        Registrerer en besøgende interaktion med en kørende websiteoptimeringstest for at sikre, at en besøgende har en ensartet oplevelse.

      • Name:
        ASP.NET_SessionId

        Bruges til at holde styr på, hvordan en bruger navigerer gennem webstedet. Dette bruges til at overføre information mellem sider og til at gemme oplysninger, som brugeren muligvis genbruger på forskellige sider. Hovedformålet med denne cookie er at forbedre webstedets ydeevne.

      Beklager, www.securitas.dk understøtter ikke Internet Explorer. For at bruge vores hjemmeside, så prøv at bruge en nyere browser som Chrome, Safari, Firefox eller Edge.