Kunne det vært deg?
Mange av henvendelsene vi i Atea får, kommer etter at sikkerhetshendelser har vært omtalt i media. Plutselig kommer truslene tett på, og mange stiller seg spørsmålet: «Kunne dette ha vært meg?»
Svaret er i de aller fleste tilfeller at det like gjerne kunne ha vært deg, samarbeidspartnerne, nabobedriften, konkurrenten eller sjappa på hjørnet. Hvem som blir rammet er ofte tilfeldig, men felles for dem alle er at de trolig var litt dårligere beskyttet enn andre.
– Biltyver stjeler ikke bilen din fordi du har en Porsche. De stjeler den fordi den er ulåst. Du kan egentlig sammenligne en hacker med en biltyv. De går nedover gaten og kjenner på alle dørhåndtak, til de finner en dør som er åpen. Har du ikke beskyttet deg godt nok, kan du anses som et lett bytte, sier Thomas Tømmernes, leder for IT-sikkerhet i Atea.
IT-sikkerhet er et lederansvar
Mange bedrifter jobber godt med IT-sikkerhet, men de fleste strever med å ha full oversikt. Ofte har bedriften investert i en del IT-sikkerhetsprodukter, men har ikke helt kontroll på om løsningene er oppdaterte eller fungerer optimalt. Mange bedrifter mangler verktøy og tjenester som samler og analyserer hendelseslogger, og som gjør det mulig å overvåke IT-sikkerheten dag for dag.
– I Nasjonal sikkerhetsmyndighet (NSM) sin rapport Risiko 2023 poengteres det at den sikkerhetspolitiske situasjonen er mer urolig og uforutsigbar enn på mange år. Dette påvirker også IT-sikkerheten. Så langt i 2023 har vi i Atea allerede rykket ut og hjulpet norske virksomheter i flere hendelser enn i hele 2022. Det er skremmende hvor mange selskaper som blir utsatt for løsepengevirus eller digital utpressing, sier Tømmernes.
Han påpeker at IT-sikkerhet er et lederansvar og at norske bedrifter utgjør den største delen av Norges digitale forsvarsverk. Myndighetene appellerer til samarbeid og for å vinne krigen mot de IT-kriminelle må alle stå sammen. Økonomien i IT-kriminalitet er estimert å være rundt sju ganger større enn det norske oljefondet. Midlene benyttes av både kriminelle og statsmakter, til alt fra videreutvikling av angrepsmetoder, spionasje, sabotasje og krigføring, til skremsel og manipulasjon av valgresultater.
– Derfor er det så viktig at hele ledelsen er med på laget og tar sin del av ansvaret. IT-avdelingen kan gjøre mye, men til syvende og sist er det ledelsen som kan legge føringer og tilføre de nødvendige ressursene, sier han.
Kan du for lite om IT-sikkerhet? Bestill boken «Datasikkerhet for ledere» kostnadsfritt her.
Unngå å være det svakeste ledd
Atea blir daglig kontaktet av norske virksomheter som lurer på om de er sikre nok. Det er vanskelig å gi klare svar, men et godt sted å starte er ved å gjennomføre en modenhetsanalyse. En slik analyse baserer seg på NSMs grunnprinsipper for IT-sikkerhet og tar for seg sikkerhetsprosesser, styringsverktøy og hvordan virksomheten forholder seg til teknologiene som brukes. Resultatet er en grundig statusrapport, som legger grunnlaget for arbeidet videre.
– Målet er å gi norske virksomheter oversikten de trenger for å ta gode beslutninger om IT-sikkerhet. Det handler ikke bare om teknologi, men også om menneskene som skal bruke teknologien. Med en modenhetsanalyse får du en teknologisk og organisatorisk gjennomgang, som ender opp i en tiltaksliste som viser hvor du bør rette fokuset, sier Tømmernes.
I NSMs rapport pekes det særlig på underleverandørens rolle, og at dette er et svakt punkt for mange virksomheter, både offentlige og private. For selv om mange av de største virksomhetene etter hvert har skaffet seg gode verktøy og god oversikt, er det alltid svake punkter som kan forbedres.
”De største selskapene og anleggene er kompliserte å angripe. Angrepsforsøkene vil derfor i økende grad gå mot underleverandører.”
NSMs rapport «Risiko 2023»
– Har du klart å skaffe deg god oversikt over egen sikkerhet, bør underleverandører og partnere stå for tur. Et smart grep kan være å kreve at alle du samarbeider med må dokumentere hvordan de jobber med IT-sikkerhet, gjennom en modenhetsanalyse basert på NSMs grunnprinsipper. Dette vil være til fordel for alle parter, sier Tømmernes.
Gjennom en modenhetsanalyse vil du kunne se at leverandøren har gjort en revisjon av egen sikkerhet og vet hvor motstandsdyktig denne er opp mot samtidstrusselbildet. Dette betyr at du får en helt unik innsikt i sikkerhetssituasjonen til de du samarbeider med, og bedre kan vurdere din egen risiko.
- Oppstartsmøte over Teams
- Workshop med våre sikkerhetseksperter hvor formålet er å:
- forstå og definere formålet med analysen
- sette startpunkt og retning
- definere rammer og scope
- klargjøre ønsket utfall av analysen
- koble kundens strategiske målsettinger med IT
- Basert på resultatene fra workshopen utarbeides en rapport som presenteres i et eget møte
- Rapporten bør være en rettesnor for daglig sikkerhetsarbeid og revideres regelmessig
- Atea dokumenterer avvik og foreslår fremdrift, men beslutninger eies av virksomheten