IT-sikkerhet er mer enn brannmur og oppdatert programvare

Det går ikke mange dagene mellom medieoppslag om datainnbrudd i norske virksomheter. Nå ønsker Experis økt oppmerksomhet på informasjonssikkerhet og strategier for å redusere risiko.

–Norske virksomheter blir daglig utsatt for dataangrep, og vi ønsker å hjelpe kunder med å redusere denne risikoen. Dette var bakgrunnen for at vi har invitert kunder, partnere og ledere fra ulike virksomheter for å lære mer om cybersikkerhet fra noen av landets beste foredragsholdere, sier Morten Stoa, leder for avdeling for cybersikkerhet i Experis Ciber.

Avdelingen ble etablert høsten 2018 og jobber utelukkende med IT-sikkerhet og tiltak for å redusere risiko.

Alle er utsatt

– Vi ser at trusselbildet blir mer komplekst og at angrepene blir vanskeligere å beskytte seg mot. Trussel-aktørene blir flere og de bruker mer avanserte metoder. Dette har heldigvis ført til at IT-sikkerhet står høyere på agendaen i stadig flere virksomheter, sier Terje Wold i Tromsø-bedriften Invenia. Han jobber til daglig med sikkerhetsrådgivning for offentlig og privat sektor.

Wold mener alle sektorer er utsatt, men at forsvaret, industrien, offentlig forvaltning, helse og teknologiselskaper er spesielt utsatt. Samtidig øker angrepene mot underleverandørene til slike virksomheter.

– Mange små bedrifter tenker at IT-sikkerhet ikke angår deres virksomhet. I komplekse digitale verdikjeder henger mange bedrifter sammen, og om angriperen ikke kommer inn hos den store, går den mot en mindre underleverandør. Vi ser at små underleverandører brukes som bakdør til å angripe større foretak, sier han.

Gode retningslinjer

Wold peker på grunnprinsippene for IKT-sikkerhet fra Nasjonal sikkerhetsmyndighet (NSM) som et godt utgangspunkt for sikkerhet.

– For bedrifter uten egen IT-sikkerhetssjef eller sikkerhetsavdeling finnes det mange gode anbefalinger og veiledere. NSM har definert minimumskravene til organisatorisk og teknisk sikkerhet, og både konsulenter og statlige etater gir gode råd for å etablere forsvarlig sikkerhet i virksomhetene, sier han.

Han mener ledelsen i større grad må forstå trusselbildet og hvordan mennesker, holdninger, kompetanse og teknologi spiller sammen.

– Ledelsen må vi vite hvor man står i dag, og forstå hvor man bør være i fremtiden på området. Sikkerhet handler om investeringer i teknologi, organisasjon, kompetanse og styringssystemer, forteller Wold.

Han peker også på at kunstig intelligens brukes for å gjøre angrepene vanskeligere å observere og vanskeligere å stoppe.

– Lærende systemer som er knyttet til angrep er relativt nytt, og brukes i større utstrekning enn tidligere. På samme måte som det utvikles programvare for å forsvare, oppdage og lytte etter angrep brukes den samme teknologien for å angripe. Da har man et farlig våpenkappløp, sier Wold.

Konstant press

Han får støtte i sine uttalelser av Roar Thon, fagdirektør i NSM.

– Truslene øker og det er et konstant press mot norske offentlige etater og private bedrifter. Noen angrep er målrettet, mens andre gjennomføres bare fordi det er mulig. Det er viktig å ikke bare fokuserer på angrepene som skjer målrettet, men også forstå at det er tilfeldigheter og at mye skjer bare fordi det er teknisk mulig å bryte seg inn, sier Thon.

Han peker også på statlige aktører som kartlegger norsk infrastruktur.

– Vi ser også at fremmede stater jobber med å potensielt kunne forstyrre strømforsyningen i Norge. Det betyr ikke at de har til hensikt å skru av strømforsyningen, men at eventuelle sårbarheter kan brukes i en potensiell konflikt. Vi jobber for at de ikke skal nå frem og at de ikke skal kunne bruke slike verktøy, sier han.

Arver sårbarheter fra 80-tallet

Thon forteller at mange virksomheter sliter med å gjennomføre grundige risikovurderinger, og å finne gode sikkerhetsløsninger.

– Sikkerhetstiltak skal understøtte det man driver med. Det innebærer at man må investere i grunnleggende sikkerhetstiltak, i stedet for å kaste seg på den siste «hypen». Problemet er at mange fortsatt ikke har lukket sårbarheter fra 80-tallet, sier han.

Han peker på at innbyggere, virksomheter og offentlige sektor daglig blir utsatt for dataangrep.

– For å møte utfordringene er sikkerhetstiltak innenfor teknologi, prosesser og mennesker elementært. Vi er et digitalisert samfunn og er kommet langt på blant annet «fintech», hvor vi ser metoder og angrep som andre land ikke har. Vi må ikke bli forundret over at kjeltringene kommer etter oss når vi digitaliserer, sier Thon.

Sikkerhet som samfunnsansvar

Coop ser på bekjempelse av datakriminalitet og forebyggende informasjonssikkerhetsarbeid som et samfunnsansvar. Selskapets sikkerhetsarbeid er derfor til enhver tid forankret i virksomhetens øverste ledelse.

– Parallelt med utviklingen av trusselbildet har vi økt fokus på informasjonssikkerhet i organisasjonen. En helhetlig tilnærming til informasjonssikkerhet er nøkkelen til suksess og den inneholder tre elementer som må være på plass. Mange tror dessverre at teknologi er informasjonssikkerhet nok, men man må også jobbe med prosessene og menneskene i selskapet, sier Soner Sevin, sikkerhetssjef i Coop.

Han peker på viktigheten av verdivurderinger, risikostyring, styringssystemer, beredskapsplaner, bevisstgjøring, og internkontroll. Han mener også at sikkerhetsrevisjon hos underleverandører må bli bedre.

– Ingen er sterkere enn det svakeste leddet, og for at vi skal være trygge på at vi har god informasjonssikkerhet må vi sørge for at den er ivaretatt i hele verdikjeden. De siste årene har de fleste store norske virksomheter, i både privat og offentlig sektor, blitt gode på informasjonssikkerhet i egen organisasjon. Vi har ikke kommet like langt når det gjelder kontroll med underleverandører og partnere, som det blir stadig flere av etter hvert som oppgaver outsources. Disse tredjepartene er gjerne små, og har ofte lav bevissthet og innsats innenfor informasjonssikkerhet. I tillegg har de store selskapene ofte manglende forståelse for hvordan kommunikasjonen med disse underleverandørene påvirker den totale informasjonssikkerheten. Her er det fortsatt et stort forbedringspotensial, sier Sevin.

Ulike teknikker

Næringslivets Sikkerhetsråd (NSR) bekrefter utviklingen i sin årlige «Mørketallsundersøkelse».

– Virusangrep er fortsatt den mest utbredte angrepsvektoren, med hele 21 prosent av registrerte tilfeller. Til sammenligning har sosial manipulasjon, såkalt «phishing», økt med 10 prosent siden forrige undersøkelse. Det er bekymringsfullt når 40 prosent av næringslivet og det offentlig har hatt en alvorlig hendelse det siste året, sier Jack Fischer Eriksen, direktør i NSR.

– En typisk årsak til datainnbrudd er menneskelige feil og at ansatte ikke følger prosedyre. Vi må fokusere på opplæring av de ansatte, og om renholdspersonalet eller vaktmesteren bruker internett i jobbsammenheng må også de ha forståelse for IT-sikkerhet, sier Fischer Eriksen.

Bevisstgjøring

Det var stor interesse for seminaret, og Experis planlegger flere arrangement med fokus på cybersikkerhet.

– Dette er et tema som bare vil bli mer aktuelt i årene som kommer, og noe alle virksomheter må forholde seg til. I den sammenheng er bevisstgjøring og kompetanse nøkkelen for å lykkes, avslutter Morten Stoa.

Se kurskatalog og beskrivelser av sikkerhetskursene til Experis Ciber.