Cyberøvelsen Hele Norge Øver er tilbake – i oppdatert utgave
I høst skal hele landet øve på sikkerhet i leverandørkjeden. – Det er et umettelig behov for slike kompetanseløft, sier Liv Dingsør fra Digital Norway.
I 2024 turnerte den interaktive beredskapsøvelsen Hele Norge Øver landet rundt for fulle hus.
Der fikk flere tusen virksomheter kjenne på kroppen hvordan det er å bli angrepet, med alt det innebærer av stress, press og raske avgjørelser.
Nå er det klart at Hele Norge Øver gjentar suksessen.
– Endelig skal vi på turné igjen! Det var helt utrolig å oppleve engasjementet i fjor med fulle saler og fantastisk respons. Siden sist har det vært en enorm etterspørsel om flere øvelser. Derfor er det ekstra stas å dele at vi skal tilbake ut på veien, sier Liv Dingsør, daglig leder i Digital Norway.
– Vi ser at det er et umettelig behov for slike kompetanseløft, og at dette er noe bedrifter og virksomheter får skikkelig utbytte av, sier hun.
Gode partnere i ryggen
Øvelsen starter opp i Trondheim 14. oktober og besøker flere av landets største byer utover høsten. Initiativet kommer fra Digital Norway, NHO, DNB, Telenor, DNV og Posten, med støtte fra Forskningsrådet og NCC-NO.
I tillegg er Secure Practice og Næringslivets Sikkerhetsråd med på øvelsene.
– Med gode partnere i ryggen og en oppdatert kurspakke skal vi gi deltakerne en realistisk og lærerik opplevelse, og gjøre dem bedre rustet til å håndtere angrep og trusler, sier Dingsør.
Meld deg på Hele Norge Øver her
Digitaliseringen har gjort norske bedrifter og leverandørkjeder sårbare for cyberangrep, men det er en manglende bevissthet knyttet til digital sikkerhet i norsk næringsliv. Vi øver rett og slett alt for lite!
Fokus på leverandørkjeden
Under Hele Norge Øver simuleres et digitalt angrepshendelsesløp i sanntid, og baserer seg på Secure Practice sin interaktive øvingsteknologi.
Kurset er designet for å gjenskape den stressende situasjonen som et angrep er: Hackere tar kontakt, SMSer tikker inn og PC-en går i stå. IT-partneren ringer, men ingen har egentlig oversikt over hva som faktisk skjer.
Deltakerne blir utfordret til å svare på spørsmål på stående fot, og må sammen jobbe seg frem til den beste måten å håndtere situasjonen på.
Nytt av året er et særlig fokus på roller og god beredskap i leverandørkjeden.
– Alle virksomheter er utsatt, fordi man kan være en vei inn til større mål. Selv om du ikke selv forvalter viktige samfunnsfunksjoner, kan du likevel sitte på tilganger, systemer og informasjon som angripere kan utnytte til å ramme andre, sier Dingsør.
PST peker nettopp på økningen av verdikjedeangrep i sin nasjonale trusselvurdering for 2025.
– I løpet av øvelsen kommer vi til å se nærmere på hvordan et angrep på leverandørkjeden kan utarte seg fra ulike sider. Deltakere skal både få prøve seg på hvordan det er å være leverandør og kunde i en presset situasjon, hvor et svakt ledd kan velte flere, forklarer hun.
Handler om å bygge digital totalberedskap
At bedrifter og virksomheter er godt forberedt i møte med trusler og angrep, henger sammen med grunntanken bak totalforsvaret.
Det innebærer at også næringslivet og befolkningen er en del av norsk beredskap: Fra strømleverandører, IT-selskaper, logistikkaktører, matbutikker til frivillige organisasjoner og helt vanlige innbyggere.
– Men vel så viktig handler tanken om et totalforsvar om å forstå hvilke nye sårbarheter som finnes i samfunnet, og hvordan vi beskytter disse sårbarhetene. I stor grad dreier dette seg om digital beredskap, forklarer Helge Dahl-Jørgensen, leder for industriell digitalisering i Digital Norway.
Det er for eksempel enkelt å ta innover seg at en underleverandør av IT-systemer til kraftselskaper vil være attraktive mål for aktører som ønsker å ramme kritisk infrastruktur.
Men når så mye av samfunnet er digitalisert og sammenkoblet, kan en liten hendelse skape store problemer langt utenfor det første målet. Litt som en sommerfugleffekt, der et lite vingeslag kan sette i gang en kjedereaksjon.
– I vår moderne verden er kritisk infrastruktur langt mer enn strømnett og jernbanelinjer. Det er alt stort og smått av digitale oppkoblinger mellom aktører, systemer og ledd i samfunnsmaskineriet, forklarer han.
– Derfor kan heller ikke sikkerhet noe man behandler isolert og hver for seg. Det er lagidrett på tvers av sektorer og roller. Derfor er det også viktigere enn noen gang at vi øver sammen.
KI gjør trusselbildet mer komplekst
Trusselbildet blir stadig mer sammensatt, og spørsmålet er ikke lenger om man blir angrepet, men når.
Kriminelle finner hele tiden nye måter å angripe på. Angrepene blir mer avanserte og vanskeligere å forutse.
– Vi ser at utviklingen innen kunstig intelligens har gjort det mulig å automatisere angrep i en skala vi ikke har sett før, sier Dingsør.
For eksempel kan KI brukes til å skanne systemer, kartlegge sårbarheter og sette sammen informasjon på tvers av kilder. KI-agenter kan sende ut e-poster, generere troverdige landingsider og videoer, hente ut informasjon fra datalekkasjer og bryte seg inn i nettverk.
– Mange flere kriminelle har tilgang på svært avansert teknologi. Samtidig ser vi at angrep ikke bare kommer fra enkeltpersoner eller løst organiserte grupper, men også fra store kriminelle nettverk og til og med statlige aktører, forklarer hun.
– Til sammen skaper dette et komplekst, uoversiktlig og vedvarende trusselbilde. Det gjør det nødvendig å planlegge, også for det som ikke kan forutses.
Sikkerhet på vei inn norsk lov
Som om ikke trusselbildet i seg selv er krevende nok, skjerpes nå også kravene i lovverket.
Med innføringen av EUs NIS2-direktiv og den nye digitale sikkerhetsloven i Norge, må virksomheter ta enda større ansvar – både for egne systemer og for sikkerheten i hele verdikjeden.
Direktivet stiller konkrete krav til risikostyring, håndtering av sikkerhetshendelser, tilgangsstyring og kontroll på underleverandører. I Norge blir dette en del av den nye digitalsikkerhetsloven, som etter planen trer i kraft i løpet av 2025.
– Det vil stilles strengere forventninger i kontrakter, og virksomheter må ta et større ansvar for både egne leverandører og dem de selv leverer til. Derfor vil en del av øvelsen handle om hvordan man navigerer i dette nye juridiske landskapet og omsetter kravene til konkrete handlinger, sier Dahl-Jørgensen i Digital Norway.
NSR med på laget
Med på laget har Hele Norge Øver fått med seg Næringslivets Sikkerhetsråd (NSR). Etter øvelsene, vil de holde innlegg om dagens trusselbilde og hvordan bedrifter kan holde seg oppdaterte.
NSR er nylig blitt utnevnt som responsmiljø for en rekke sektorer. Som en del av denne ordningen skal de varsle og hjelpe bedrifter som rammes av digitale angrep.
– Det er veldig fint å ha NSR med på laget. De sitter tett på det som beveger seg der ute, og deres erfaring og innsikt gjør øvelsen enda mer relevant og nyttig for deltakerne, sier Dahl-Jørgensen.
– Unik mulighet
Hele Norge Øver er gratis, og selve beredskapsøvelsen varer i omtrent to timer. Etter øvelsen får deltagerne tilgang til kurs i digital sikkerhet utviklet sammen med eksperter på Digital Norway sin kursplattform.
Det krever ingen forkunnskaper for å delta.
– Dette er en unik mulighet til å teste beredskapen i trygge omgivelser, og vi håper så mange som mulig blir med. Jo flere som øver, jo bedre rustet står vi sammen når det virkelig gjelder. Ikke minst gjelder dette for deg som leder også, avslutter Dingsør.
