Bare i løpet av det siste året har en rekke norske virksomheter blitt utsatt for omfattende dataangrep. Fremgangsmåtene har blitt mer utspekulerte og ringvirkningene større. En rapport som ble presentert i Computerword i august 2022 viser en global økning i cyberangrep på 42 prosent i løpet av et år. Digital sikkerhet er et tema som må høyt på dagsorden enten man vil eller ikke.
Bakteppet er velkjent: Pandemien førte til en eksplosjon i digitale arbeidsmetoder med tilhørende sikkerhetsutfordringer, og geopolitisk ustabilitet har gitt råere cyberkrigføring og informasjonskrig. På toppen av dette kommer usikkerheten rundt skiftende lover og krav til datalagring.
For mange er utfordringen å vite hvor man skal starte. I mylderet av sikkerhetsløsninger kan det være vanskelig å prioritere, og å bestemme hvilket nivå som er riktig å legge seg på.
Dette sier Sigrun Hansen Bock, Head of Cybersecurity Advisory, Tietoevry Connect Norway. Under eventet CIO Forum Cyber Security på Oslo Kongressenter 12. april, holder hun foredrag om den stadig økende cybertrussel-situasjonen.
Ingen fasitsvar
Det er nok av ferske eksempler på hvor sårbare både enkeltorganisasjoner og Norge som nasjon er for cyberangrep. Men det finnes ingen fasitsvar på hvordan man skal gå til verks for å redusere risikoen i følge Bock:
– Informasjonssikkerhet kan sammenlignes med et puslespill.
Det handler om å bygge inn effektive kontroller i alle ledd.
I bunnen bør det ligge en beredskapsplanfor krisesituasjoner.
Bock understreker betydningen av å være i forkant for å kunne avverge et eventuelt angrep. Det er lettere å beskytte seg enn å reparere skaden når den først har skjedd. Noe av det første man må gjøre er å få kontroll på infrastrukturen. Det trengs ressurser til å teste. Så blir det å vurdere hva slags tiltak som er mest hensiktsmessige.
Attraktive verdier
Hvilket sikkerhetsnivå man bør legge seg på, er avhengig av mange variabler. Hva slags virksomhet dreier det seg om?
Hvordan er tjenestene bygget opp? Hvilke data utveksles med hvem? En risiko- og sårbarhetsanalyse vil gjøre det lettere å se hele bildet.
Det vil alltid være et dilemma å ta stilling til når slike beslutninger skal tas. Det handler om hvilke alternativer som øker sikkerheten best mulig, og om hva som er mest kostnadseffektivt.
Sjekkliste for beredskapsplan
Kontaktliste – utskrift på papir som er lett tilgjengelig.
Prioritert liste over systemer.
Oppdaterte prosesser for kriser.
Sørg for at sikkerhetskopieringssykluser kjøres tilstrekkelig ofte.
Bock nevner en kommunal tjeneste som eksempel:
Bruker man penger til å redusere risikoen for at kommunens systemer blir hacket, så er det en slags forsikring. Det er ikke like lett å synliggjøre verdien som å bevilge penger til flere sykepleierstillinger, men prisen for ikke å ta cybertrusselen på alvor kan bli høy.
Er forutsetningene annerledes så blir også vurderingene det. Nedetid, persondata på avveie, eller manglende tilgang til lovpålagte velferdstjenester kan bli både veldig kostbart og påvirke omdømmet til offentlige innbyggertjenester.
Myndighetenes reguleringer og retningslinjer er heller ikke absolutte. Om man skal ta høy eller lav risiko blir ofte opp til hver enkelt aktør. Som leverandør kjenner vi oss igjen i dette. Tietoevry kan hjelpe kundene våre både med selve løsningene og med vurderingene som ligger til grunn.