IT-sikkerhet og cyberangrep: Dette holder norske IT-sjefer våkne om natten

Male Teenage Hacker Sitting In Front Of Computer Screens Bypassing Cyber Security
– Mange tenker nå vel så mye på hvordan de skal reise seg raskt etter at huset har brent ned, som på å sørge for at det ikke brenner, sier Morten Forfang, fagdirektør Computas.

Saken ble også omtalt på samfunnsogsikkerhet.no

Morten Forfang jobber som fagdirektør og rådgiver i IT-selskapet Computas. Han har en Ph.D. i kunstig intelligens og har jobbet med utvikling av IT-løsninger for det offentlige og private i over to tiår. De siste årene har dette arbeidet blitt stadig mer preget av sikkerhetsaspektet, og Forfang rådgir norske virksomheter om dette daglig.

Hva er norske IT-sjefer mest opptatt av og hvordan har dette utviklet seg de siste tyve årene?

En vesentlig endring de siste årene er at ledelsen i virksomhetene generelt har større forståelse for betydningen av IT-sikkerhet. IT-sjefene vet at det ikke nødvendigvis bare er å starte med blanke ark igjen dersom man utsettes for et cyberangrep. Erkjennelsen av at tjenester eller data plutselig kan forsvinne som følge av et angrep, har blitt tydeligere de siste årene.

Vi bistår virksomheter med preventivt arbeid, og her er det som regel nok å ta tak i. For det som ikke har endret seg så mye de siste tyve årene, er mangelen på oversikt, backup og sporbarhet, samt svake sikkerhetsrutiner rundt innlogging. Når vi blir kontaktet av virksomheter som nylig har blitt utsatt for angrep, er IT-sjefen mest opptatt av å få angriperne ut og få opp igjen tjenester og data. Det er gjerne krevende arbeid. Det er veldig vanlig at en slik akutt fase blir etterfulgt av en fase hvor preventivt arbeid får fornyet fokus.

Er det noen forskjell mellom offentlig og privat sektor? Er de opptatt av det samme?

Offentlig sektor har kanskje noe mer fokus på personvern og lagring i amerikansk sky i kjølvannet av den såkalte Schrems 2-dommen. Offentlig sektor har også tidvis andre lovpålagte krav, slik som arkivloven og sikkerhetsloven, som kan være med på å farge prioriteringene. Avveiningene mellom å høste gevinstene av teknologien hva effektivitet og innovasjon angår, mot det å gjøre riktige risikodisponeringer, er mer framtredende i offentlig sektor. Akkurat hvor den røde linjen går er uklart fra både norske myndigheter og EU, og det er utfordrende.

Hva bør man engste seg mest for?

Dette med at man må regne det som sannsynlig at virksomheten kommer til å bli utsatt for et vellykket cyberangrep sett i et lengre tidsperspektiv. Løsepenger, tap av virksomhetskritisk eller personsensitiv informasjon, endring av informasjon, bortfall av tjenester – det er konsekvenser man må ha en plan for å håndtere.

Det er på mange måter et tektonisk skifte her – mange tenker nå vel så mye på hvordan de skal reise seg raskt etter at huset har brent ned, som på å sørge for at det ikke brenner. Norske virksomheter må ha planer for krisehåndtering og videre drift av virksomheten etter et angrep.

Kan man egentlig sikre seg 100 prosent uten at det får store konsekvenser for måten vi har blitt vant til å jobbe på? Nei, det er fremdeles grunnleggende at sikkerhet koster, både hva produktivitet og fokus angår. Hvis du har følelsen av at sikkerhet ikke koster noe, så har du enten ikke så mye å miste eller så har du ikke god sikkerhet. Men dersom man skal være 100 prosent sikret på alle områder, blir kostnaden nesten uendelig og produktiviteten rammes brutalt. Så det gjelder å finne en god balansegang og et akseptabelt nivå på risiko man kan tåle, versus kostnaden ved å sikre seg.

Hvordan finner man den balansegangen?

Det viktige for de fleste vi jobber med er å ha en god tilnærming til kontinuerlig risikoforvaltning for å hele tiden vurdere på hvilke områder virksomheten må være best sikret. Det er også viktig å finne en passende avveining mellom planer for katastrofehåndtering og investering i preventivt arbeid. En ting vi ofte fokuserer på er at det er forskjell på å sikre huset en gang og det å være trygg på at det er sikret hele tiden, ettersom måneder og år går. Styring, livssyklus og endringshåndtering er nøkkelord her. Så er det også en tankevekker, at de investeringene de store skyleverandørene som Microsoft og Google gjør rundt sikkerhet, er i en helt annen liga enn det en enkelt norsk virksomhet har anledning til alene. For mange aktører er det lurt å kjøpe seg ut av den delen av risiko matrisen.

Hvordan er fremtidsutsiktene for norske virksomheter?

De aktørene som har god styring, risikohåndtering, en ærlig dialog om hva som er viktigst for virksomheten og et opplegg tilpasset det, er godt forberedt. Det er viktig å ha tilgang til spisskom petanse på feltet.

Cyberangrepene blir stadig mer sofistikerte. En stor andel av angrepene som lykkes, skyldes menneskelige feil på bakgrunn av manglende kompetanse blant de ansatte. Så det er også klokt å investere i kontinuerlig kompetansebyg ging og bevisstgjøring blant de ansatte i virksomheten. Kort sagt – det er mange grep man kan ta for å redusere risikoen for angrep og ikke minst være godt forberedt dersom et angrep skulle ramme virksomheten.

Slik kan Computas hjelpe din virksomhet med IT-sikkerhet

  • Vurdere virksomhetens sikkerhetsstatus
  • Dele kunnskap og beste praksis
  • Gjøre preventive tiltak for å bedre IT-sikkerheten
  • Benytte skyplattformer som Microsoft Azure og Google Cloud på en trygg måte
  • Drive kompetansebygging for virksomhetens ansatte for å redusere risiko for cyberangrep