NSMs nasjonale digitale risikobilde for 2021 kan oppsummeres med at vi opplever et taktskifte innen digital risiko.
Det norske samfunnet er på full fart til å bli «gjennomdigitalisert» med en stadig større avhengighet til digitale tjenester. Norge fører en aktiv digitaliseringspolitikk, vi er en teknologinasjon, og stadig mer av våre verdier er lagret digitalt.
Vårt digitaliseringsforsprang medfører at de som vil spionere, stjele eller direkte skade oss kan gjøre det over Internett. Dette introduserer nye sårbarheter og risikoområder som er viktig å adressere som nasjon og som felleskap, dersom vi sammen skal kunne verne om våre nasjonale verdier, forvalte våre grunnleggende samfunnsfunksjoner og nasjonale sikkerhetsinteresser.
Proaktivitet kreves
De sektorer og virksomheter som leverer samfunnskritisk infrastruktur – hvor modne er de på digital sikkerhet? Store deler av vårt samfunn er basert på at IKT-systemer fungerer til enhver tid. Det tar vi for gitt. Et utfall i en lengre periode av for eksempel vanntilførsel eller strøm i store byer vil være katastrofalt for samfunnet. Slike utfall vil føre til at våre grunnleggende nasjonale funksjoner blir svekket. Leveranser og funksjoner i kritisk infrastruktur kan ikke opprettholdes. Det kan skape uro i befolkningen og svekke statens evne til å ivareta borgernes sikkerhet.
Digitalisering av tjenester som plasseres direkte på Internett medfører en risikokamp – både for å eliminere kjente sårbarheter, men også jakten på det ukjente. Cybersikkerhet gjelder ikke bare når en virksomhet har blitt utsatt for en cyberhendelse, det kreves proaktivitet for å hindre at cyberhendelser i det hele tatt inntreffer. Opprusting av cybersikkerhet i en virksomhets IKT-systemer, og ikke minst hos de ansatte, koster både tid og penger. Kontinuerlig forbedring av sikkerhetstiltak er vesentlig. Opplæring av ansatte både i trening og øvelser er essensielt for at en virksomhet både skal kunne motstå cyberhendelser, men også for at de ansatte skal reagere på korrekt måte og få virksomheten tilbake til ordinær drift.
Øker i antall
Større og komplekse systemer krever ressurser og investeringer for å bygge inn motstandsdyktighet mot digitale angrep. Å bygge denne motstandsdyktigheten både i IKT-systemer og hos virksomhetens ansatte er en investering i sikkerhet. Dette bygger også motstandsdyktighet i samfunnet. Det styrker vår kritiske infrastruktur.
Kartlegging av systemer og virksomheters avhengighet til digitale systemer er en modningsaktivitet. Dette gjelder særlig mindre bedrifter som leverer samfunnskritiske tjenester. En slik oppgave kan være utfordrende. Sårbarhetene er spesielt tydelige når trusselaktører har fått fotfeste i virksomheten, enten som direkte mål eller indirekte i form av verdikjedeangrep.
Denne utviklingen og sårbarheten bekreftes av NVE som nylig publiserte resultatet av et forskningsprosjekt om IKT-sikkerhetstilstanden i kraftforsyningen. Mange virksomheter har ikke ivaretatt tiltak som forventet etter kravene om sikring av digitale systemer. Kravene bygger på NSMs grunnprinsipper for IKT-sikkerhet.
Cyberangrep øker i antall og har stadig mer alvorlige konsekvenser. Det er grunnen til at vi i NSM snakker om et taktskifte i digital risiko. I Norge bør vi være forberedt på flere digitale angrep, spesielt de som rammer samfunnet. Vi må sikre at våre grunnleggende nasjonale funksjoner ivaretas til enhver tid. De skal fungere når mye annet i samfunnet har falt ut, i fredstid, krise, krig eller en pandemi.
Av Espen Seljemo, seniorrådgiver i Nasjonal sikkerhetsmyndighet