Det skjer på din vakt
De siste årene har Norge sett en dramatisk økning i cybertrusler, med stadig flere og mer sofistikerte angrep rettet mot både privat og offentlig sektor. Ferske rapporter fra Nasjonal sikkerhetsmyndighet (NSM), Kripos og internasjonale sikkerhetsmyndigheter tegner et alvorlig bilde av situasjonen.
– De IT-kriminelle blir stadig mer profesjonelle, og det er ikke lenger et spørsmål om hvis, men når man blir utsatt for et angrep. Dataangrep, løsepengevirus og sosial manipulering er blant de største truslene norske virksomheter står overfor. Mange virksomheter er rett og slett ikke godt nok forberedt på trusselbildet og konsekvensene av et angrep, sier Thomas Tømmernes, IT-sikkerhetsdirektør i Atea.
I tillegg er det en økende bruk av kunstig intelligens (AI) i både forsvar og angrep innen cybersikkerhet, noe som forsterker kompleksiteten i trusselbildet.
Hvor begynner du?
Med et stadig mer komplekst trusselbilde, må virksomheter ta grep for å beskytte seg. Et godt utgangspunkt er å få en oversikt over egen sikkerhetssituasjon, kartlegge sårbarheter og etablere en helhetlig sikkerhetsstrategi. Ifølge Tømmernes er bevissthet og kompetanse blant ansatte et av de viktigste tiltakene:
– Menneskelig feil er fortsatt en av de største sikkerhetsutfordringene. Virksomheter som investerer i opplæring og øker ansattes bevissthet om trusler som løsepengevirus og sosial manipulering, står langt sterkere. Sikkerhet kan ikke være en engangsøvelse, men en kontinuerlig prosess der virksomheter evaluerer og forbedrer sine tiltak, sier Tømmernes.
En dominoeffekt
Reguleringene innen IT-sikkerhet blir stadig strengere, og norske virksomheter må forholde seg til et mer omfattende regelverk. EU-direktivet NIS2, som stiller strengere krav til cybersikkerhet i kritisk infrastruktur, trer snart i kraft i Norge. Dette betyr at flere virksomheter vil måtte dokumentere sine sikkerhetstiltak, rapportere hendelser raskere og forbedre sin risikostyring.
– Skjerpede krav kan virke krevende, men de er nødvendige for å sikre en robust digital infrastruktur. Virksomheter som ikke følger med på endringene, risikerer ikke bare bøter, men også alvorlige omdømmetap og tap av kunder, sier Tømmernes.
Og legger til:
– Norsk næringsliv vil oppleve en dominoeffekt, uavhengig av om din virksomhet direkte omfattes av NIS2 eller andre EU-reguleringer i dag. Kravene vil forplante seg «top-down» – der selskaper som velger samarbeidspartnere, også vil stille tydelige krav til sine leverandører og underleverandører.
God sikkerhet er en konkurransefordel
IT-sikkerhet handler ikke bare om å unngå risiko – det kan også være en konkurransefordel.
– En virksomhet som kan dokumentere gode sikkerhetsrutiner og etterlevelse av regelverk, vil være en mer attraktiv samarbeidspartner. Mange store selskaper og offentlige aktører krever i dag at leverandører kan vise til sterke sikkerhetstiltak før de inngår avtaler, påpeker Tømmernes.
- Forstå trusselbildet: IT-sikkerhet handler ikke bare om teknologi, men også om mennesker og prosesser. Hold deg oppdatert på aktuelle trusler og hvordan de kan påvirke din virksomhet.
- Styrk grunnsikkerheten: Sikre at virksomheten har grunnleggende sikkerhetstiltak på plass, som flerfaktorautentisering (MFA), jevnlige oppdateringer og sikkerhetskopiering av data.
- Bygg en sikkerhetskultur: De fleste sikkerhetsbrudd skyldes menneskelige feil. Tren ansatte regelmessig i sikkerhetsbevissthet og sørg for at de vet hvordan de skal håndtere mistenkelige henvendelser.
- Ha en beredskapsplan: Når et angrep skjer, teller hvert sekund. Sørg for at virksomheten har en tydelig plan for hvordan hendelser skal håndteres, inkludert varsling, isolering og gjenoppretting.
- Still krav til leverandører: IT-sikkerhet stopper ikke ved egen dør. Sørg for at alle leverandører og samarbeidspartnere følger strenge sikkerhetskrav, slik at verdikjeden din ikke blir en sårbarhet
