Cybersikkerhet: Hvor bør lista ligge?
Bare i løpet av det siste året har en rekke norske virksomheter blitt utsatt for omfattende dataangrep. Fremgangsmåtene har blitt mer utspekulerte og ringvirkningene større. En rapport som ble presentert i Computerword i august 2022 viser en global økning i cyberangrep på 42 prosent i løpet av et år. Digital sikkerhet er et tema som må høyt på dagsorden enten man vil eller ikke.
Bakteppet er velkjent: Pandemien førte til en eksplosjon i digitale arbeidsmetoder med tilhørende sikkerhetsutfordringer, og geopolitisk ustabilitet har gitt råere cyberkrigføring og informasjonskrig. På toppen av dette kommer usikkerheten rundt skiftende lover og krav til datalagring.
– For mange er utfordringen å vite hvor man skal starte. I mylderet av sikkerhetsløsninger kan det være vanskelig å prioritere, og å bestemme hvilket nivå som er riktig å legge seg på.
Dette sier Sigrun Hansen Bock, Head of Cybersecurity Advisory, Tietoevry Connect Norway. Under eventet CIO Forum Cyber Security 12. april holder hun foredrag om den stadig økende cybertrussel-situasjonen.
Ingen fasitsvar
Det er nok av ferske eksempler på hvor sårbare både enkeltorganisasjoner og Norge som nasjon er for cyberangrep.
I Nasjonal sikkerhetsmyndighets (NSMs) åpne risikovurdering for 2023 står det blant annet: «Selv om en virksomhet har god fysisk og digital sikkerhet, så kan trusselaktører utnytte underleverandører som er langt dårligere sikret for å få tilgang til sine egentlige mål. Dette gjør at vi også må sikre oss godt på flankene.»
Rekordmange har tatt NSMs sikkerhetskurs for å sette seg inn i grunnprinsippene for IKT-sikkerhet.
– Det er viktig å understreke at det styret og ledelsens ansvar å ivareta sikkerheten i en virksomhet. At dette prioriteres og gjøres på en god måte er en forutsetning for hele driften, særlig i dagens sikkerhetspolitiske situasjon.
Dette sier underdirektør i NSM, Gullik Strand Hølmebakk Gundersen.
Men det finnes ingen fasitsvar på hvordan man skal gå til verks for å redusere risikoen.
– Informasjonssikkerhet kan sammenlignes med et puslespill. Det handler om å bygge inn effektive kontroller i alle ledd. I bunnen bør det ligge en beredskapsplan for krisesituasjoner, sier Bock.
Hun understreker betydningen av å være i forkant for å kunne avverge et eventuelt angrep.
– Det er lettere å beskytte seg enn å reparere skaden når den først har skjedd. Noe av det første man må gjøre er å få kontroll på infrastrukturen. Det trengs ressurser til å teste. Så blir det å vurdere hva slags tiltak som er mest hensiktsmessige, sier Bock.
Attraktive verdier
Hvilket sikkerhetsnivå man bør legge seg på, er avhengig av mange variabler. Hva slags virksomhet dreier det seg om? Hvordan er tjenestene bygget opp? Hvilke data utveksles med hvem? En risiko- og sårbarhetsanalyse vil gjøre det lettere å se hele bildet.
– Det vil alltid være et dilemma å ta stilling til når slike beslutninger skal tas. Det handler om hvilke alternativer som øker sikkerheten best mulig, og om hva som er mest kostnadseffektivt, påpeker Bock.
– Risikobildet er ulikt fra virksomhet til virksomhet. Men felles for alle er at de sitter på verdier som kan være attraktive for andre. Det å erkjenne egne verdier er en forutsetning for å sikre egen virksomhet, sier Gundersen.
Bock nevner en kommunal tjeneste som eksempel.
– Bruker man penger til å redusere risikoen for at kommunens systemer blir hacket, så er det en slags forsikring. Det er ikke like lett å synliggjøre verdien som å bevilge penger til flere sykepleierstillinger, men prisen for ikke å ta cybertrusselen på alvor kan bli høy.
Er forutsetningene annerledes så blir også vurderingene det. Nedetid, persondata på avveie, eller manglende tilgang til lovpålagte velferdstjenester kan bli både veldig kostbart og påvirke omdømmet til offentlige innbyggertjenester.
– Myndighetenes reguleringer og retningslinjer er heller ikke absolutte. Om man skal ta høy eller lav risiko blir ofte opp til hver enkelt aktør. Som leverandør kjenner vi oss igjen i dette. Tietoevry kan hjelpe kundene våre både med selve løsningene og med vurderingene som ligger til grunn, sier Bock.