Få sikkerhet på agendaen

Lurer du på hvor omfattende cyberkriminalitet egentlig er? Kort fortalt: Hvis cyberkriminalitet hadde vært en egen økonomi, ville det vært verdens tredje største – bak USA og Kina.

— Det er enorme ressurser i sving. Og kjeltringene ligger alltid i forkant, konstaterer Morten Micalsen i Bredvid. Han har lang fartstid som toppleder, samt videreutdanning innen cybersikkerhet fra Harvard.

Det er i hovedsak tre typer kriminelle som truer IT-sikkerheten:

• Politisk motiverte hackere (såkalte “Hacktivists”)
• Organiserte kriminelle med profesjonelle nettverk
• Nasjonalstater

— Alle kjenner begrepet den kalde krigen. Den flyttet seg over på nettet, og pågår nå i cyberspace. Store og omfattende angrep kan være regissert, orkestrert og finansiert av land som Kina, Russland, Iran og Nord-Korea. De store kriminelle gruppene kunne ikke operert uten disse landene. De er avhengige av servere som ikke er underlagt internasjonal lovgivning, forklarer Micalsen.

Risiko og ansvar

Omdømmerisiko: et angrep på virksomheten kan gå hardt ut over omdømmet.

Operasjonsrisiko: dersom systemene rammes og man må stoppe driften, kan det medføre store kostnader.

Juridisk risiko: hvis en virksomhet lekker personopplysninger vil det være et alvorlig brudd på for eksempel GDPR-lovverket.

Dette er eksempler på tre risikoer man har som virksomhet, men hvem er så ansvarlig for dette? Hvem i virksomheten har det øverste ansvaret for IT-sikkerheten?

— Som regel vil ledelsen i selskapet si at dette er IT-avdelingen ansvar. Men i det øyeblikket man må betale millioner av kroner fordi man ikke får tilgang til sine egne systemer, så kommer erkjennelsen om at det er styret, administrerende direktør og toppledelsen som har sikkerhetsansvaret, sier Micalsen.

Det er flere årsaker til at toppledelsen ikke tar nødvendig ansvar, forklarer Vidar Kongsli, som er Bredvids fagsjef og har lang bakgrunn som systemutvikler.

— For det første er det nok mangel på kunnskap om cybersikkerhet, og man innser kanskje ikke at det handler om mer enn teknologi og verktøy. Det handler også om prosesser og bevissthet hos hver enkelt, sier han, og trekker en analogi.

— Du kan sammenligne det med kontorfellesskapet. Du kan ha så gode tekniske løsninger for dørlåser som bare det, men det hjelper ikke så lenge hvem som helst kan stille seg opp og vente utenfor døra inntil noen kommer forbi og lar dem få slippe inn. Det samme gjelder IT-verktøy: Tekniske løsninger er ikke nok, så lenge man lures til å oppgi passord eller annen sensitiv data, sier Kongsli.

Hva kan man gjøre?

Mange tror at et datainnbrudd blir fort avslørt. Sannheten er at det i gjennomsnitt tar seks måneder fra noen bryter seg inn i en bedrifts systemer, til det blir oppdaget.

— De kriminelle kan ligge og fiske på innsiden av systemet i lang tid. Og så slår man til når man har all oversikt og informasjon man trenger. Det er bedrifter i dette øyeblikk som har ubudne gjester i systemene sine og ikke har oppdaget det ennå, forklarer Micalsen.

Så hva kan man gjøre for å beskytte seg?

— Cybersikkerhet må ha mer plass i organisasjonens gjøren og laden, på lik linje med for eksempel økonomi. Man må etablere målepunkter som det rapporteres på og ansette personell som skal bidra med å innføre prosesser, holdninger og verktøy for å øke sikkerheten, sier Kongsli.

Det første steget for oss vil være å gjøre en vurdering av hvor sårbar virksomheten er og identifisere hvilke felter man må bearbeide.

— Fokuset vil blant annet være på å implementere en sikkerhetskultur blant egne ansatte og kunder. Mange tenker at de er trygge fordi de operer i skyen, men så enkelt er det ikke. Man må også gjøre en vurdering av tredjepart og tredjepartens tredjepart. Det er helt essensielt, men det er det få som tenker på, sier Micalsen.

Han mener man kan redusere sannsynligheten for et angrep markant med gode rutiner.

— Det eneste som er garantert er at noen på et eller annet tidspunkt vil forsøke å bryte seg inn. Men det går an å trene og forberede seg, og redusere sannsynligheten for at de lykkes. Det krever en god sikkerhetskultur fra A til Å, og det er toppledelsens ansvar.