Riksrevisjonen kom 2. februar med hard kritikk av myndighetenes arbeid med digital sikkerhet. Samtidig strever justisministeren med å forklare sin bruk av Tiktok, som sikkerhetseksperter har advart mot i lang tid. Men et viktigere spørsmål er: Har vi den nødvendige oversikten over en digital pandemi som ikke forsvinner?
NHO hevder på sine nettsider for cyberforsikring at over 55 prosent av norske virksomheter har vært offer for cyberangrep. Med SSBs tall for antall virksomheter med ansatte og Justisdepartementets tall for kostnader ved digitale angrep, nærmer totalkostnaden seg 230 milliarder kroner. Det er langt fra riktig, men hvem vet?
Alvorlig smittetrussel
Norske sikkerhetsmyndigheter har i mange år advart om dyster utvikling innen cyberdomenet. I Nasjonal sikkerhetsmyndighets (NSM) publikasjon Risiko 2022, vises det til et «taktskifte» og «en tredobling i antall cyberhendelser», uten å opplyse tall. I Nasjonalt digitalt risikobilde 2022 beskrives en økning i forsøk, men færre faktiske kompromitteringer, men advarer leseren om at «fravær av bevis er ikke bevis på fravær».
Den ferske rapporten Risiko 2023 gjentar disse momentene. Å være alarmistisk er normen innen cybersikkerhet, også når det mangler empiri. EUs byrå for cybersikkerhet, ENISA, publiserte i november sin årlige trusselrapport for Europa, og kunne melde om ikke mindre enn 20 nøkkeltrender, og ingen er av den gode sorten.
Feil bruk av tall i stortingsmelding
På tampen av 2022 kom stortingsmeldingen Nasjonal kontroll og digital motstandskraft for å ivareta nasjonal sikkerhet fra Justis- og beredskapsdepartementet. Risikobildet beskrives som skjerpet, truslene sammensatte, og det erfares en «kraftig økning av digitale angrep over tid». I meldingen bruker Justisdepartementet statistikk fra «en global studie fra IBM», som viser at i Norden koster digitale angrep i gjennomsnitt 20 millioner kroner. Uten å navngi rapporten, bruker stortingsmeldingen tall fra IBMs Cost of Data Breach 2022. Departementet velger å opplyse om at «kostnaden for et gjennomsnittlig digitalt angrep mot en bedrift har økt med 13 prosent på bare to år», selv om de nordiske tallene derimot viser en nedgang på 22 prosent sammenlignet med 2021.
Verre er det at departementet bruker tall for én type hendelse («data breach») til å representere kostnader ved digitale angrep. Det er i beste fall å rote med epler og pærer. «Data breach» beskrives i IBM-rapporten som en hendelse der personopplysninger er i fare. En betydelig del av årsakene til «data breach» tilskrives utilsiktede hendelser, for eksempel at noen utilsiktet feilsender personopplysninger. Det er ikke det samme som digitalt angrep.
Hva med smittetall i Norge?
Det er også overraskende at departementet ikke nevner tall fra Norge. I høst ble Mørketallsundersøkelsen 2022 publisert av Næringslivets sikkerhetsråd, med svar fra rekordmange (2500) norske virksomheter. Den indikerer en nedgang i hendelser sammenlignet med 2020, og de økonomiske konsekvenser av hendelser er i snitt kr 43.000,- (typetall og median er kr 0), og kun 1 prosent av hendelsene er rapportert til NSM.
Dette viser et større problem, som kan illustreres gjennom en pandemisk parallell: Hva er egentlig de digitale smittetallene, og hvilke konsekvenser har hendelsene? Vi trenger oversikt over smittesituasjonen for å følge opp tiltak, finne ut hvorfor man blir smittet, hvorfor noen blir alvorlig syke, og hvorfor andre har milde symptomer. Dette er fascinerende overførbart til digital sikkerhet. En felles oversikt, med trender og mønstre, vil øke forståelse av risiko og hvilke tiltak som trengs, nå når digital sikkerhet er relevant for alle.
Trøst, men grunn til uro
Vi må nok leve med et vedvarende høyt digitalt smittetrykk fremover. Men trøsten er at enkle tiltak funker. Microsoft skriver i sin siste Digital Defence-rapport at grunnleggende cybersikkerhets-hygiene fremdeles beskytter mot 98 prosent av angrepene. Uroen stiger derimot når vi tenker på at Stortinget, ett av våre fremste etterretningsmål, ikke hadde flerfaktorautentisering da de ble angrepet i 2021.
Kanskje sikkerhetsmyndighetene kan kontakte helsemyndighetene og lære om hvordan smittetall og tiltak henger sammen, ikke minst i kommunikasjon til befolkningen?
