I fjor høst brøt hackere seg inn i Haugesunds kommunale pensjonskasse, som forvalter 3,5 milliarder kroner. Løsepengevirus har kostet norsk næringsliv over 1 milliard kroner, skriver NRK Beta. Vi i Norge er blant de fremste innen digitalisering av samfunnet i verden, og derfor er vi også mest eksponert for risiko for uønskede cybersikkerhetshendelser.
Tar vi i betraktning det politiske klimaet i Europa, er det økt interesse fra stater og aktører som ønsker å påvirke Norge og norske interesser. Vi i sikkerhetsmiljøet i Bekk har tidligere meldt fra om behovet for sikkerhetsutviklere, og vi bruker utropstegn – fordi det haster! Det haster å løfte bunnivået på cybersikkerhet!
Sikkerhetsutviklere til unnsetning
Alle produktteam bør sette søkelys på cybersikkerhet, slik at vi i Norge kan møte den stadig økende trusselen mot norske virksomheter med forebyggende tiltak. Et tverrfaglig produktteam består gjerne av flere fagpersoner som tilfører teamet spisskompetanse innen ulike områder, og nå er en god tid til å vurdere om man har tilstrekkelig fokus og kompetanse på cybersikkerhet.
Vi mener en sikkerhetsutvikler gir produktteamet den nødvendige kapasiteten og spisskompetansen som behøves til å heve bunnivået på cybersikkerhet i teamet og gjøre forebyggende tiltak i produktet – uten å spenne bein på verken produktutvikling eller brukerbehov.
Produktteamene må få inn sikkerhetskompetanse
Et team med én eller flere utviklere som arbeider spesifikt med cybersikkerhet, kan være raskere på ballen dersom en sikkerhetshendelse inntreffer og dersom sikkerhetsoppgaver må gjøres. Når det først går galt, må du være i stand til raskt å omstille deg og foreta utbedrende tiltak. Jo lengre tid det tar, jo mer skade kan hackere gjøre.
Utviklere er produktteamets førstelinjeforsvar mot hackere når det gjelder å forebygge, og med et ad-hoc-fokus på cybertrusler vil det antageligvis bety økt risiko for skjult sikkerhetsgjeld i produktet.
Sikkerhetsgjeld må nedbetales jevnlig
For å unngå at sikkerhetsgjelden vokser ut av kontroll, er det viktig at utviklerne i produktteamet kontinuerlig betaler ned gjelden, både i produktet og i dets leverandørkjede. Til forskjell fra teknisk gjeld er denne skjulte sikkerhetsgjelden mulig farligere å prioritere ned, fordi du kan ha hackere på innsiden allerede nå, eller være sårbar, uten å vite det.
Leverandørkjeden har fått mer oppmerksomhet fra trusselaktørene i det siste og er en flanke vi må beskytte. NSM skriver i Risiko 2023:
«Lange og uoversiktlige leverandørkjeder utgjør fortsatt en sårbarhet som trusselaktører vet å utnytte. De siste årene har vi sett mange eksempler på at leverandørkjedeangrep [...] får omfattende konsekvenser.»
På en dårlig dag fører teknisk gjeld til at produktet går i stykker, mens en tilsvarende dårlig dag for sikkerhetsgjeld i verste fall kan gi katastrofale følger for hele virksomheten. Derfor kan man si at renten på sikkerhetsgjeld er høyere enn rentene på teknisk gjeld og derfor bør prioriteres høyere enn man gjør i dag.
Prioriter cybersikkerhet og gammel sikkerhetsgjeld
Vi mener at spisskompetanse på cybersikkerhet må inn i produktteamet, og sikkerhetsgjelden må nedbetales jevnlig. Sikkerhetsutviklere gir teamet den nødvendige kapasiteten og kompetansen til å forebygge og beskytte norske verdier fra aktører med skumle hensikter.
IT-sikkerhetsekspert: – KI-revolusjonen har ikke skjedd ennå, den har akkurat begynt