Det digitale trusselbildet har blitt mye verre etter at det brøt ut krig i Europa, og Nasjonal sikkerhetsmyndighet (NSM) har manet til økt årvåkenhet. Det frykter jeg er et råd som kan øke risikoen for virksomhetene, dersom de ikke samtidig sørger for at de har en reell evne til å motstå cyberangrep fra statlige aktører.
Vi bør begynne med å erkjenne at det er en svært kompleks oppgave å skulle forsvare seg mot aktører med høy evne til cyberangrep. Digitale infrastrukturer er store og uoversiktlige, ressursene er knappe, og motstanderen er ukjent. En god grunnsikring kan bidra til å forhindre mange sikkerhetshendelser. Men hvordan skal en klare å beskytte seg mot en motstander som hele tiden endrer mål og taktikk?
Mitt råd er at virksomhetene nå må vurderer om de skal begynne med sikkerhets-operasjoner
Bjarte Malmedal
Et reelt forsvar må være like dynamisk og agilt som truslene. Mitt råd er at virksomhetene nå må vurdere om de skal begynne med sikkerhetsoperasjoner.
Mange har allerede et Security Operations Center (SOC). Det er et steg i riktig retning, men en SOC er ikke en sikkerhetsoperasjon i seg selv. For å få verdi ut av en SOC, er det min erfaring at den settes inn i en kontekst som bidrar til operativ styring av den og som klarer å omsette leveransene til effekt i kampen mot truslene.
Oppleves som krevende
Jeg erfarer at noen ledere synes dette er et krevende felt å gå inn i. Samtidig mener jeg at de fleste ledere er opptatt av digital sikkerhet, og ingen ønsker å bli rammet av cyberangrep. Ledelsen kan ta grep om situasjonen, primært ved å formulere sitt informasjonsbehov. Da kan man skape et grunnlag for gode og risikobaserte beslutninger.
Virksomheter som forvalter det sikkerhetsloven definerer som «grunnleggende nasjonale funksjoner», som kan være et mål for avanserte trusselaktører eller som ønsker å få mer effekt ut av sikkerhetsinvesteringene, er alle eksempler på virksomheter som bør vurdere å starte med sikkerhetsoperasjoner.
I en sikkerhetsoperasjon brytes ledelsens informasjonsbehov («Har våre kundedata kommet på avveie?») ned i mindre og spesifikke informasjonsbehov, som deles ut til de «sensorene» som har mulighet til å svare på informasjonsbehovet. Slike sensorer kan være en SOC, men det kan også være driftsleverandørene, åpne kilder, sikkerhetspartnere, sikkerhetsmyndigheter og andre kilder til informasjon. Det kommer an på hva ledelsen har behov for å vite. Det nye for mange er en analysefunksjon som mottar operative behov fra ledelsen, omsetter dette til innhenting fra alle typer kilder, analyserer informasjonen og orienterer ledelsen om vesentlige funn eller endringer i situasjonen.
Begynn i det små
Det som gjør sikkerhetsoperasjoner så nyttige, er at de har fokus på kapabiliteter og prosess, heller enn å skulle forutsi spesifikke trusselscenarier. Da blir sikkerheten agil, og virksomheten kan produsere et situasjonsbilde som egner seg til beslutningstaking. Det fine er at man kan begynne i det små og gradvis øke analysekapasitet og hvilke sensorer som inngår i analysene etter hvert som modenheten øker. Analysene blir bedre, og tempoet i beslutningsprosessene øker. En annen nyttig effekt er at man hele tiden lærer, slik at sikkerhetsgrunnmuren bare blir sterkere og sterkere.
Vi skriver nå oktober, og mange bruker sikkerhetsmåneden til å heve sikkerhetsnivået. Vær gjerne mer årvåken, men som leder må du sørge for å ta grep som virkelig gir effekt.