– Interne tiltak sikrer ikke alene virksomheten mot cyberinnbrudd eller -angrep. Man trenger også visshet for at samarbeidende tredjeparter gjør sitt, mener sikkerhetseksperter.
Både næringsliv og offentlig sektor eksponeres regelmessig for trusler fra en mengde aktører, og det er mye for foretakene å forholde seg til.
– Vi deler trusselaktørene i tre nivåer, fra amatører med svindelambisjoner, via organisert cyberkrim, der løsepenge-virusene og utpressingen florerer, til aktørene, ofte statlige, som står bak. Mange av angrepene kan være enkelt å utføre, men ha store konsekvenser, sier André Årnes, internasjonalt ansvarlig for cybersikkerhet, og daglig leder i White Label Consultancy Norge.
André Årnes
Internasjonalt ansvarlig for cybersikkerhet, og daglig leder av White Label Consultancy Norge
Han skulle vite hva han snakker om, med lang fartstid som konsern-sikkerhetssjef fra Telenor, og fra arbeidet som professor ved NTNU. Cybersikkerhet er et viktig satsingsfelt for WLC.
Verifiser partneres sikkerhet
– Det er viktig at næringslivet er bevisst hvilken risiko dette utgjør, enten vi snakker om uautorisert tilgang eller løsepenge-virus. Slikt kan lamme hele virksomheten, slik vi så hos Hydro i 2019, fortsetter han.
– I sommer så vi for eksempel at Departementenes sikkerhets- og serviceorganisasjon ble utsatt for et avansert dataangrep, hvorpå tolv virksomheter i offentlig sektor ble kompromittert gjennom sårbarheter i tredjeparts-programvare. Vi må være klar over at offentlige institusjoner er prioriterte mål.
Utro tjenere er også en faktor man bør være obs på, og det er viktig å sikre at man har en kontinuitetsplan i virksomheten, dersom det verste skulle skje.
Nicholai Pfeiffer, som leder WLC internasjonalt, og dertil har sitt hovedfokus på personvern, har også en fortid i Telenor. Han trekker frem et angrep danske Maersk ble utsatt for:
– Det var logistikk-systemene som ble angrepet, med ti dagers nedetid til følge, som ifølge årsrapporten for 2020 ga selskapet et samlet tap på USD 300 millioner, forteller han.
Nicholai Pfeiffer
Personvernspesialist og daglig leder av White Label Consultancy
De årlige trussel- og risikovurderingene fra NSM, PST og E-tjenesten beskriver et tydelig trusselbilde, som involverer navngitte stater, og beskriver hvor kritisk disse er for privat og offentlig sektor.
– Styre og ledelse må ta aktivt eierskap. Uten det blir det nemlig vanskelig for IT-ledere å treffe riktige tiltak. Ledelsen må våge å aktivt stille spørsmål, utfordre, være modige og tørre å vise sin sårbarhet, i stedet for å dekke over mangelfull kompetanse, mener Årnes.
Oppskrift på katastrofe
– Dernest er det viktig å følge etablerte rammeverk for sikkerhetsstyring, som NSMs grunnprinsipper og internasjonale standarder, og bruke dem aktivt. Det er også uhyre viktig med verifikasjon fra tredjeparter. Uten blir det vanskelig å vurdere egen sikkerhet.
Årnes understreker at det er avgjørende å etablere forståelse for dette, både i ledelsen og blant de ansatte, og at ledelsen setter seg i stand til å forstå trusselbildet.
– I Norge har for eksempel NAV høstet kritikk for dårlig tilgangsstyring, der ansatte på tvers av organisasjonen hadde tilgang til sensitive personopplysninger. Utenlandske skytjenester er en del av bildet, men mest bemerkelsesverdig er at en vesentlig del av Datatilsynets 12 kritikk-punkter angikk tilgangsstyring, sier Nicholai Pfeiffer.
– Dette er noe myndighetene for alvor har begynt å få øynene opp for, og i Danmark har Datatilsynet utstedt en katalog over nyttige foranstaltninger, som jeg anbefaler alle å lese. Der berører 16 av de 24 punktene adgangsstyring, i en eller annen form. Tilganger bør nemlig kun gis på en need to know-basis.
– Å gi alle tilgang til alt, er ikke transparens, men en oppskrift på katastrofe, avslutter han.
Av Jarle Petterson