Hvem av oss kommer til å bli angrepet av hackere i morgen? Eller – hvem av oss er allerede under angrep? Hvis du har en litt defensiv, strutsehode-i-sanda-tilnærming til sikkerhetstrusselen, så håper jeg med denne teksten å snu tankegangen din til en offensiv, “dette tar vi styringen på”-holdning når det kommer til sikkerhetsarbeidet der du jobber.
Og så skjønner jeg at det her med cybersikkerhet er vanskelig og uoversiktlig for mange – hvor skal en starte, hva skal en gjøre – og derfor skal jeg komme med noen konkrete råd som du kan ta i bruk allerede i dag, og som vil gjøre deg best mulig forberedt på cyberangrep.
Og hvem er jeg til å gi de rådene? Jeg har en doktorgrad i cybersikkerhet og jeg leder et forskningsmiljø i SINTEF som er i toppklasse når det gjelder sikkerhet i kritisk infrastruktur. Det har vi holdt på med i over 20 år, og jeg vil påstå at behovet for denne kompetansen er nå på en all-time-high, i en verden som er full av konflikter, og der kritiske funksjoner i samfunnet styres over nett.
Og angrepene skjer hele tiden. Ta noen eksempler fra i fjor:
- 12 departementer ble hacket; hackere var inne i IT-systemene i over to måneder før det ble oppdaget i juli
- Panteselskapet Tomra opplevde at halvparten av alle panteautomatene i hele verden gikk ned i et hackerangrep, det kostet dem 200 millioner kroner
- NRK ble svindlet for nesten en million kroner da de ble lurt til å betale en faktura som viste seg å være falsk
De som angriper er sabla dyktige, og flere store cyberangrep vil skje også i 2024. Det er bare et spørsmål om når.
Du som er styremedlem eller leder en virksomhet – uansett om den er liten eller stor, privat eller offentlig – det er DU som er sikkerhetsansvarlig. Det er DITT ansvar å sørge for god nok sikkerhet. At dere gjør det dere kan for å hindre angrep. Og at dere greier å håndtere det når det treffer dere. For det vil det gjøre.
Og du som er politiker – du er jo en ypperlig inngangsport, en vei inn for angriper til et større system. Det samme gjelder deg som ikke er i en lederposisjon og ikke er politiker – du kan også være en dør inn til et større mål for angriper.
Og hvem er disse hackerne? Jo, noen er ute etter økonomisk vinning. Cyberangrep er big business. Samtidig er det krig i vår del av verden, og noen statsmakter er opptatt av å vise styrke. Og det å skape frykt, kaos og usikkerhet er et motiv for noen. I den miksen er sabotasje eller det å sette hele eller deler av samfunnet ut av spill også et mål – for eksempel tukle med signalsystemet og få tog til å kollidere.
Så da lurer jeg på: hvor er din bedrift oppi dette? Hvilken rolle har du i verdikjeden? Er du den store aktøren som har hovedansvar for at en kritisk funksjon i samfunnet fungerer? Eller er du den lille leverandøren som selger en bitteliten sensor, et regnskapssystem eller en app? Har DU tenkt over hva som skjer hos deg hvis enten en av kundene dine eller en av leverandørene dine blir angrepet?
Vi har sett storstilte hackerangrep som lammer både media, helseforetak, matprodusenter, kommuner og Stortinget. Likevel tror jeg at mange av dere i salen ikke har opplevd et angrep «på kroppen» ennå. Heldigvis! Altså kommet på jobb og sett at skjermene er svarte. Eller at store deler av all informasjon dere har er kryptert, og dere får faktisk ikke tak i det. Eller fått en trussel om at hvis dere ikke betaler så og så mye innen fristen, så legges alt av bedriftskritisk informasjon åpent ut på nettet.
Samtidig er det en del angrep som kan pågå uten at vi ser et eneste spor av det – og det tror jeg dessverre vi må anta at vi er utsatt for allerede. Akkurat nå.
For systemer ER koblet sammen. Som betyr at en sårbarhet ett sted, kan utnyttes og få store konsekvenser et HELT annet sted, i et annet system, hos en annen bedrift.
Har DU sårbarheter i DINE systemer som kan utnyttes for å skade en av dine kunder eller partnere? Vet du svaret på det?
Nasjonal sikkerhetsmyndighet sier at norske bedrifter rett og slett ikke er godt nok forberedt på angrep og at den digitale beredskapen vår er for dårlig. Jeg tror mange bedrifter velger å stikke hodet i sanda, fordi de ikke aner hvor de skal begynne.
Men det er mange ting du kan gjøre, og jeg vil konsentrere meg om de tre viktigste tingene:
- Du må vite hva du har. Hvilke verdier har du? Hvilke systemer har du? Hva er kritisk at fungerer? Hvis du ikke vet hva som må beskyttes, klarer du ikke å beskytte det. Hva har du av dokumentasjon, policy og prosedyrer? Hvilke avtaler har du med leverandørene dine? Hvilken hjelp får du hvis det skjer noe? Du trenger ikke være ekspert på verken IT eller cybersikkerhet, men du som er øverste leder MÅ ha oversikt. Også må du vite hva du ikke vet. For hvordan skal du spørre om hjelp hvis du ikke vet? Det er som med økonomi, det er helt greit å være toppleder og ikke være økonom, men du følger jo med på regnskapet? Eller sjekker dere kontoen en gang i året og ser om det er underskudd? Sånn er det med IT-sikkerhet også! Så hvis du kjenner på litt vondt i magen nå fordi du ikke har oversikt, så vet du hvor du kan begynne i morgen.
- Du må bygge god sikkerhetskultur. En kultur hvor sikkerhet sitter i ryggmargen hos alle. En kultur med nok takhøyde til at alle kan tørre å vise sine feil – du, jeg klikka på den lenken, det skulle jeg kanskje ikke ha gjort? En kultur for å stille spørsmål – du, når sikkerhetsleverandøren vår sier at de har gjort sånn og sånn, hva betyr egentlig det? En kultur for å spørre om råd – du, det angrepet som avisa skriver om i dag, kunne det også ha skjedd her? En kultur der kunden kan hjelpe leverandøren, og omvendt, til å tenke på sikkerhet. Da hjelper vi hverandre til å bli litt bedre rustet på dette området.
- Sikkerhetsarbeid funker ikke som skippertak. Jobb med sikkerhet litt gjennom hele året. Hvordan kan du få til det? Ta regnskap som et eksempel igjen, for det har du sikkert på agendaen en gang i måneden, og nå i januar er det tid for årsregnskapet og revisjon. Sett sikkerhet på agendaen en gang i måneden også. Både i ledelsen og i styret. En gang i året har du en beredskapsøvelse hvor dere snakker dere gjennom en cybersikkerhetshendelse. Oktober er sikkerhetsmåneden, da finnes det mengder av tilbud om gratisforedrag og opplæring – bruk det. Men det viktigste er å få sikkerhet fast på agendaen, over tid. En liten investering i jevn oppfølging her, vil spare deg for mange millioner i tap den dagen angrepet treffer deg.
Mørketallsundersøkelsen, som Næringslivets sikkerhetsråd står bak, viser at fire av ti av de som vet at de har opplevd en hendelse, oppdaget det ved en tilfeldighet. Noen oppdaget det til og med i media – ikke gjennom egne systemer. Men den samme undersøkelsen viser heldigvis også at bedrifter som jobber litt systematisk med sikkerhet gjennom året, oppdager i mye større grad angrep gjennom rutiner og systemer. Sjansen for å bli overrasket er altså mindre hvis du ikke har hodet nedi sanda.
Men du trenger ikke å få til alt selv. Det finnes mange steder å søke råd. Og en hel haug av veiledninger og anbefalinger finner du på nettet – men det kan være vanskelig å finne fram i skogen. Nasjonal sikkerhetsmyndighet har beskrevet fire grunnprinsipper for sikkerhet – grunnleggende råd som mange dessverre ikke følger. Like før jul sa NSM: «Også i år har vi sett flere hendelser som kunne vært unngått om disse rådene hadde vært fulgt».
Næringslivets sikkerhetsråd har laget en «Nødplakat for digitale angrep» med hvem som kan hjelpe deg den dagen cyberangrepet treffer. Men det er jo lurt å ha det klart for seg på forhånd, så skriv den ut og heng den opp sammen med ei liste over hvem som gjør hva i bedriften når det smeller.
Men altså – er det ikke bare å trekke ut nettverkskontakten hvis en blir angrepet? Plugge ut internett, for da kan ikke hackerne gjøre mer skade? Det er mange som tror det, men da har jeg mest lyst til å si som Kopperud i “Side om Side”: «whoa whoa whoa, det er det dummeste du kan gjøre!» Det gjør det vanskeligere å finne ut hva angriper har gjort, du risikerer å slette viktig bevismateriale, og du kan aldri være helt sikker på at du har fått ryddet ordentlig opp etterpå. Så, jeg vil sterkt anbefale å lage en bedre krisehåndteringsplan.
Vi har mange dyktige konsulentselskaper og sikkerhetsleverandører som gjerne vil hjelpe dere. Og selvsagt – ikke glem SINTEF, vi er jo rett i nabolaget! Vi hjelper dere gjerne med risikovurderinger, vi kan lede dere gjennom beredskapsøvelser, eller vi kan hjelpe dere å stille fornuftige sikkerhetskrav til leverandører. Sitte på deres side av bordet. Samtidig forsker vi hele tiden sammen ulike bedrifter på hvordan dere kan jobbe godt og riktig med sikkerhet der både teknologi og trusler endrer seg hele tiden. Ta kontakt hvis det er noe du har lyst til å gjøre sammen med oss!
Rådene mine er først og fremst til bedrifter, men jeg har ikke glemt deg som er politiker: når du er ute på bedriftsbesøk – for det er du sikkert ofte – still spørsmål om hvordan de jobber med cybersikkerhet. Vis at du er opptatt av det, vis at det er viktig. Det hjelper oss til å sette det på agendaen. Og kanskje er det akkurat det spørsmålet fra deg som gjør at den bedriften unngår å bli hackerne sitt neste offer?
For hackerne kommer ikke til å gi seg. De vil hele tiden finne nye måter å angripe på. Men uansett hvem som angriper deg og uansett hva de gjør – du må gjøre det samme: hold fokus på egen bedrift, gjør det du kan for å redusere sårbarhetene DINE og IKKE tro at dette kommer til å gå over.
Fra å ha hodet i sanda som en struts og håpe at det går bra – en ganske så defensiv holdning som sjelden lønner seg – så bruk disse rådene aktivt, vær på offensiven, ta styring – det er litt som å gå fra Rekdal-fotball til Nils Arne Eggen-fotball.
Den endringa starter med deg. For hvis vi alle gjør litt grunnarbeid, så beskytter vi AS Norge sammen.