Bliv medlem

IT-sikkerhed i dit sikkerhedssystem

Download som PDF

7 punkter du skal forholde dig til for at øge IT-sikkerheden i dit:

• Indbrudsalarmsystem
• Adgangskontrolsystem
• TV-overvågningsanlæg

Hvorfor skal du IT-sikre dit sikkerhedssystem?

Mange af de komponenter der i dag installeres i et sikkerhedssystem, er i virkeligheden selvstændige små computere, og er derfor sårbare overfor mange af de samme ting som de computere, du allerede bruger i din virksomhed. (Disse komponenter betegnes ofte som IoT-komponenter, hvor IoT står for Internet of Things).

Vi tænker ikke altid på dem som computere, og de sidder tit steder, hvor vi ikke lægger mærke til dem. Da komponenterne ofte placeres på dit netværk, kan de udnyttes af hackere til at lave angreb på dit firmas ITsystemer, men også til at kompromittere dit sikkerhedssystem.

Hackerne udnytter bl.a. huller i IT-sikkerheden, og derfor er det vigtigt for dig, at du også forholder dig til ITsikkerhed i dit indbrudsalarmsystem (AIA), dit adgangskontrolsystem (ADK) eller i dit TV-overvågningsanlæg (TVO).

Dette gælder ved nye installationer, men også løbende i eksisterende installationer, da hackerne hele tiden opdager nye svagheder, som de kan udnytte.

Sikkerhedssystemer vil som udgangspunkt lagre personfølsomme data og dette skal du være særligt opmærksom på, da du jf. artikel 24 i persondataforordningen, er forpligtet til at beskytte disse data. I vejledningen kan du under punkt. 2 og 5 læse mere om, hvordan du sikrer dig, at dette overholdes.

Kom godt fra start

Sikring af dit sikkerhedssystem, vil altid udspringe af en risikovurdering. Hvad vil konsekvenserne være, hvis der sker et brud? Hvordan kan sandsynligheden og/eller konsekvensen af denne hændelse imødegås? Disse spørgsmål bør du starte med at stille dig selv og din virksomhed.

Denne vejledning giver dig en kort introduktion til syv punkter, som du skal have fokus på, hvis du tænker på at få, eller allerede har, et sikkerhedssystem. Vejledningen skal ses som et supplement til de myndighedskrav og branchebestemte regelsæt, som allerede findes på sikringsområdet.

På bagsiden finder du en tjekliste, som kan hjælpe dig med at holde styr på, om du har husket det hele på alle syv punkter, ligesom den vil hjælpe dig til at stille de rigtige spørgsmål og krav til installatøren.

1. Komponenter
Først og fremmest bør du sørge for at have et samlet overblik over, hvad der findes i virksomheden af IoTkomponenter. Se evt. vejledningen fra sikkerdigital.dk.
Dernæst er det vigtigt kun at bruge komponenter, som du har tillid til, da konsekvensen kan være, at dit sikkerhedssystem eller dit administrative system bliver sat ud af drift, hvis du bliver hacket.

For at du kan have tillid til en komponent, er der en række krav, du som minimum skal sikre dig, er opfyldt:

i. det skal være muligt at lægge et unikt password ind i hver komponent
ii. alle komponenter skal kunne firmware- og software-opdateres manuelt eller automatisk
iii. du skal kende alle komponenters forventede levetid i relation til firmware- og softwareopdateringer (gammelt produkt – manglende komponenter)
iv. produktet skal nulstilles/data skal slettes, når produktet skiftes ud

2. Passwords og rettigheder

For at man kan få adgang til den enkelte komponent, kræver det, at man har det rigtige password. Det gælder også for hackeren, og derfor er passwords et meget vigtigt led i din IT-sikkerhed. Du sikrer desuden personfølsomme data i dit sikkerhedssystem ved at bruge passwords, men også ved at afgrænse adgangen til systemet med forudbestemte brugerrettigheder.

Du skal derfor kræve af installatøren:
v. at du har adgang til alle de passwords, der benyttes i dit sikkerhedssystem
vi. at der benyttes stærke og unikke passwords, gerne med to-faktor-validering, hvis det er muligt – se evt. SikkerhedsBranchens Opbygning af passwords, som findes i samme mappe som denne vejledning
vii. at installatøren ændrer passwords i alle komponenter, så der ikke benyttes default passwords (forudindstillede kodeord)
viii. at brugerrettighederne fastlægges for de enkelte personer, der omgås komponenterne – i hvilket omfang og med hvilket formål kan de få adgang til systemet

3. Opdatering af firmware og software

Hackere udnytter bl.a. huller i IT-sikkerheden, og de opdager hele tiden nye svagheder. Derfor er det vigtigt med løbende opdatering af firmware og software, fuldstændigt som på dine øvrige computere og din telefon.

Du skal derfor sikre dig:

ix. at alle enheder er opdateret med den seneste firmware eller software, når installationen afsluttes
x. at alle komponenter som har mulighed for en sikker automatisk opdatering, er sat til automatisk at opdatere
xi. at du har en aftale med en certificeret installatør om minimum et årligt servicebesøg, hvor alle komponenter opdateres med den nyeste version af firmware og software

4. Firewall

Internettet og de øvrige komponenter på dit netværk udgør en risiko. Det er derfor vigtigt for sikkerheden på dit netværk og i dine computere, at der er helt styr på, hvem der må kommunikere til og fra internettet samt hvilke komponenter, der må transmittere til hinanden.

Du skal derfor sikre dig:

xii. at din firewall er opsat således, at ingen komponenter inden for netværket utilsigtet kan åbnes mod internettet – al kommunikation skal være veldefineret og aftalt
xiii. at der er gennemført en segmentering (opdeling) af komponenterne i dit sikkerhedssystem og komponenterne på dit øvrige netværk
xiv. at ekstern adgang til dit netværk (f.eks. som installatør) sker via en sikker forbindelse, f.eks. en VPN – se evt. SikkerhedsBranchens Opbygning af passwords
xv. at kommunikation på og fra dit netværk sker krypteret, så vidt det er muligt

5. Fysisk sikkerhed (adgangssikring)

Det er vigtigt at indtænke dit sikkerhedssystems fysiske placering, da du også skal beskytte dit system ved at sørge for, at der ikke er fysisk adgang til det for uvedkommende. Ved at adgangssikre dit sikkerhedssystem sikrer du samtidig de lagrede personfølsomme data.

Du skal derfor sikre dig:

xvi. at dit system og dets komponenter er placeret et fysisk sted i virksomheden, hvortil der er sikret mod uvedkommende adgang, med fysisk og elektronisk sikring – se evt. F&P’s AIA-katalog eller Suppleringskataloget

xvii. at de fysiske adgangsrettigheder fastlægges for de enkelte personer der skal omgås komponenterne – i hvilket omfang og med hvilket formål kan de få adgang til området, hvor systemet er placeret

6. Service

Da nye svagheder og huller i IT-sikkerheden hele tiden opstår, er det vigtigt, at dit sikkerhedssystem altid er optimeret i forhold til de IT-mæssige sikkerhedskrav, og det bør derfor tilses jævnligt.

Du skal derfor sørge for:

xviii. at lave en serviceaftale, hvor installatøren forpligtiger sig til at gennemføre mindst et årligt servicebesøg, der indbefatter opdatering af alle komponenter med den seneste firmware- og software-version, samt kontrol af firewallopsætningen

7. Valg af installatør

At overlade sikkerheden i sit firma til andre kan for nogle være lidt grænseoverskridende, og det er derfor vigtigt, at du finder den rigtige installatør til at håndtere dit sikkerhedssystem.

Ved at vælge en certificeret installatør indenfor TVO, AIA eller ADK, som er medlem af SikkerhedsBranchen, sikrer du dig følgende:

• At arbejdet udføres på baggrund af en risikovurdering
• At arbejdet udføres af uddannede og kvalificerede medarbejdere, og at du har mulighed for at få en installationserklæring efter endt installation
• At dine kundedata håndteres i overensstemmelse med persondataforordningen, og jf. pkt. 60 i kravspecifikationerne – læs evt. mere om datahåndtering her
• At installatøren tager højde for den fysiske sikkerhed
• At installatøren lever op til SikkerhedsBranchens etiske regler

Derudover skal du sikre dig, at installatøren er certificeret til det eller de sikringsområder, han/hun skal arbejde med.

Installationserklæringen er din dokumentation for omfanget af installationen over for bl.a. forsikringsselskaberne, hvilket kan have afgørende betydning på et kravanlæg, hvis det ikke er i orden. Du skal derfor altid forlange at få en installationserklæring, og den skal udfyldes af en certificeret installatør, hvis den skal være gældende.

Tjeklisten

Hvis du skal have et nyt sikkerhedssystem og dermed skal stille krav, eller hvis du ønsker at gennemgå dit eksisterende sikkerhedssystem, så er der på bagsiden en tjekliste som kan hjælpe dig med, hvad du skal huske. Der er mulighed for at krydse af i takt med, at du som kunde stiller kravene, samt når installatøren har leveret det ønskede resultat.

 

 

Fagudvalget for IT-sikring

SikkerhedsBranchens fagudvalg for IT-sikring

Udvalget har til formål at arbejde tværfagligt med it-sikkerhedsrelaterede problemstillinger i branchen. Udvalget arbejder på at udvikle små konkrete videoguides, som kan vejlede om it-sikkerhed for installatøren, ligesom udvalget arbejder med at udvikle et værktøj, der kan fungere som tjekliste for installatør og rådgiver.

Bliv medlem af SikkerhedsBranchen

Som medlem af SikkerhedsBranchen får du en unik mulighed for at påvirke og få indflydelse på din egen branche.

Du får indflydelse på branchen og kan være med til at udveksle idéer og erfaringer med andre medlemsvirksomheder i vores forskellige udvalg og arbejdsgrupper.

Du får information om lovgivning, regler og standarder og bliver opdateret med ny viden i vores medlemsnyt, webinarer og FAQ.

Du får hjælp til at tolke regler og love, håndtere sikringsfaglige udfordringer og får svar på brancherelevante spørgsmål hos sekretariatet.

Indmeldelsesblanket

Stamoplysninger
Øvrige kontaktoplysninger
Certificering
Betaling

Hvis du har valgt betaling via betalingsservice, skal du udfylde dette link eller tilgå det via nedenstående QR-kode. Her kan du tilmelde dine fremtidige regninger fra SikkerhedsBranchen til betalingsservice.
Når du klikker på linket eller QR-koden, vil du få vist en side, hvor du skal udfylde dit kundenummer, registreringsnummer, kontonummer samt cvr-nummer (dit kundenummer er det samme som dit cvr-nummer). Derudover skal du acceptere de generelle regler for debitorer i betalingsservice og tilmelde dig aftalen. Herefter vil du få en bekræftelse på mail, hvori du bliver gjort opmærksom på, at du skal betale dine regninger som hidtil, indtil kreditor adviserer dig om, at beløbene fremover trækkes via betalingsservice.

Dine oplysninger er fortrolige og behandles efter samme sikkerhedsstandarder, som anvendes til betalinger via internettet. Dine oplysninger bliver sendt krypteret direkte til MasterCard og håndteres således fuldt fortroligt.
*Hvis du tilmelder dig betalingsservice vil både engangsbetalinger og tilbagevendende betalinger blive betalt herigennem. Hvis du tilmelder dig SikkerhedsBranchens certificeringsordning, vil denne ligeledes blive betalt via betalingsservice (betaling af deltagelse i certificeringsordningen vil finde sted 1 gang årligt). Det er gebyrfrit at blive opkrævet via betalingsservice.

Tilmeld dig her

Kontakt

SikkerhedsBranchen
Roskildevej 22
2620 Albertslund
CVR.nr. 16225908
Telefon: 36 49 40 80
E-mail: info@sikkerhedsbranchen.dk

Telefontider:
Mandag – Torsdag 8:00 – 15:30
Fredag 8:00 – 15:00

Linkedin-in Facebook

Generelt

Om os

SikkerhedsBranchen er en interesseorganisation bestående af virksomheder, der arbejder professionelt med sikkerhed og sikring. Vores medlemmer repræsenterer alle former for sikring – blandt andet vagt, elektronisk og mekanisk sikring, brandsikring, terrorsikring og sikringsrådgivning.

© Sikkerhedsbranchen.dk – 2024

Af: Aveo – web&marketing

Bliv medlem

Bliv medlem af SikkerhedsBranchen
(for professionelle sikkerheds- og sikringsleverandører)
Bliv medlem af Brugergruppen
(for professionelle sikringskunder)

Find leverandør

Certificeringsliste
Find udvalg
Medlemsliste