I fjor høst foretok vi en utredning på vegne av Oslo Construction City Cluster AS, anført av OBOS, Statsbygg, AF-gruppen og Betonmast, for å se om det var grunnlag for å opprette et sektorvist responsmiljø (SRM) for Bygg-, Anleggs- og Eiendomsbransjen. Vi inviterte 24 bransjeaktører til videointervjuer på ca. en time, hvorav vi klarte å få til intervjuer med 7. Dessuten hadde vi tilsvarende intervjuer med 3 eksisterende SRMer, samt med en større leverandør av IT-tjenester.
Det finnes en rekke etablerte responsmiljøer i Norge; vi nevner i fleng Kommune-CSIRT, Ekom-CERT, HelseCERT, KraftCERT, NCSC (tidligere kjent som NorCERT), FinansCERT, og Uninett CERT. NCSC har som ambisjon å koordinere alle norske SRMer, og har også fysiske kontorlokaler på Langkaia som legger til rette for dette. Spørsmålet vi stilte til våre informanter var om bransjen selv ser et behov for et eget SRM?
Fra intervjuene identifiserte vi fire hovedtema:
- Sårbarheter
- Hendelseshåndtering
- Utfordringer for bransjen
- For og imot ConCERT/SRM
Alle aktørene hadde opplevd IT-sikkerhetsbrudd, men det var ingen åpenbar “hyppigste årsak” til disse. Flere hadde vært utsatt for løsepengevirus. Det var stor variasjon i ressurser tilgjengelige for hendelseshåndtering; alt fra enmanns-operasjoner til aktører med egne avdelinger med forskjellige mennesker med egne delansvar. Felles for alle aktørene er at de alle bruker tredjepartsleverandører for å håndtere aktive hendelser.
Lav grad av modenhet når det gjelder IT-sikkerhet oppleves som en utfordring; også internt later det til at det er stor variasjon i kompetanse, motivasjon og sikkerhetsbevissthet. Det er mange med eldre systemer som opplever at det er vanskelig å finne ansatte med rett kompetanse, og enkelte mente at det er mye sikkerhetsmessig “cowboy-mentalitet” i bransjen.
På den positive siden, så sier alle aktørene at en ConCERT hadde vært nyttig. To av aktørene sa at de ville vurdere å bytte ut sin nåværende SOC med ConCERT dersom den ble etablert, men de andre ga uttrykk for at de ville ha mer interesse for et forum for å dele erfaringer og informasjon. Ingen av de vi snakket med deler i dag informasjon om IT-sikkerhetshendelser med andre aktører, men alle er enige om at dette hadde vært en god ide.
Vår konklusjon er at det ikke virker som om bransjen er tilstrekkelig moden til å etablere en “full” ConCERT, men at det i første omgang heller bør etableres et “Information Sharing and Analysis Centre” (ISAC) som kan bidra til kompetanseheving og bedre informasjonsdeling i bransjen. Oppdragsgiverne har tatt oss på ordet, og vi kan forvente å høre mer om dette allerede til høsten!
Resultatene ble også presentert på Cyber Science-konferansen i Cardiff denne uken, og de som er ekstra interessert kan lese artikkelen her.
Illustrasjon ved Olga Lioncat fra Pexels.