Er din virksomhet motstandsdyktig? Les ekspertens fem sikkerhetstips
Norges største cyberberedskapststurné er over for denne gang, men det er på ingen måte risikoen for digitale angrep. – Norske bedrifter må jobbe kontinuerlig med motstandsdyktighet, sier sikkerhetsekspert.
Phishing, hackerangrep, direktørsvindel og deepfakes: Vi hører stadig om flere former for cyberkriminalitet. Trusselbildet blir mer komplekst og angripere mer profesjonelle.
– Derfor holder det ikke bare å beskytte seg mot bestemte typer kjente angrep. Vi må også forberede oss på å takle det uventede. Beredskap handler om nettopp dette, sier Erlend Andreas Gjære, medgründer av Secure Practice.
I 2024 er det altså ikke nok med to-faktor-autentisering, backup og en årlig påminnelse om å være forsiktig med å åpne e-poster fra ukjente avsendere, sier Gjære:
– Vi må selvsagt ha en robust teknologisk grunnmur i bunnen, men sikkerhetsarbeidet er sammensatt. Dette krever kunnskap og involvering av hele virksomheten.
– I dette landskapet er behovet for menneskelige ferdigheter like stort som det er for kunstig intelligens, sier han.
Ledelsens ansvar
De siste månedene har Gjære, sammen med Digital Norway, reist Norge rundt for å lære opp norske virksomheter i digital sikkerhet og beredskap.
Turneen «Hele Norge øver» ble avsluttet forrige uke, etter å ha gjennomført cyberøvelser for fulle hus i 20 byer over hele landet.
Selv om turneen er over for denne omgang, er på ingen måte den digitale trusselen over. Heldigvis vitner den brede deltakelsen om at temaet engasjerer.
– Fagfolk innen IT og sikkerhet stiller selvsagt opp, men enda mer gledelig er det store antallet ledere uten slik bakgrunn som har deltatt, sier han og legger til:
– Digital robusthet er ikke bare IT-folka sitt ansvar, og bevisstheten om dette øker. Konsekvensen er at kompetansebehovet melder seg hos flere, og her har øvelsene truffet blink. Vi håper nå at kunnskapen omsettes til treffsikre tiltak og økt robusthet i samfunnet.
Jobb med forretningskontinuitet
Et digitalt angrep krever at du kan håndtere en krisesituasjon med ressursene du har tilgjengelig. Samtidig må du klare å opprettholde daglig drift og forretningskontinuitet.
Gjære kaller dette for digital motstandsdyktighet.
– Det handler om å være robuste nok til å håndtere uforutsette hendelser og sikre en effektiv operasjon – selv i en krisetilstand.
Ved å løse ulike dilemmaer har øvingsdeltakerne fått bryne seg på dette i praksis. Hvilke ansvarsområder må dekkes, og av hvem? Hvordan kommuniserer vi med kunder og ansatte hvis systemene er nede? Finnes det backup av viktige data, og hva er konsekvensen hvis disse lekkes?
– På turneen har det vært viktig å vise hvordan enkle tiltak gir stor effekt, gjerne med lav kostnad, bare man er oppmerksom på forhånd. For eksempel ved å etablere effektive varslingskanaler hvor partene er klar over hvordan denne kommunikasjonen foregår. Men ingen kan planlegge perfekt, så derfor øver vi på det uforutsette, sier Gjære og legger til:
– Det handler ikke nødvendigvis om selve planen, men like mye om planleggingen.
Her er hans fem beste tips for å komme i gang:
1. Tenk verdier – og hva om noe skjer med dem
La oss få dette ut av veien, først som sist: Absolutt alle kan være mål, inkludert både deg selv og din bedrift.
Det gjelder offentlig ansatte og de i privat sektor. Store og små bedrifter. Ledere, lærere, økonomer, gründere og utviklere.
– Alle er et mål fordi alle har noe verdifullt. Ikke nødvendigvis fordi du er så spesiell, men fordi kriminelle jakter profitt rundt ethvert hjørne, sier Gjære.
Tenk selv: Hva sitter du på av verdier som ville gjort vondt dersom noen fikk tak i dem? Er det snakk om sensitiv informasjon? Økonomiske opplysninger? Kundedata?
– Dette har vi snakket mye om på turneen, i konteksten av en konkret historie om løsepengevirus: Hvilke verdier er det helt konkret som står på spill? Dette gir økt bevissthet om sikkerhetsbehov, og gjør det enklere å prioritere innsats, sier han.
2. Sikkerhet er ikke valgfag for ledelsen
Noe av det beste med «Hele Norge øver», har vært å se hvordan turneen har engasjert så mange ledere uten IT- eller sikkerhetsbakgrunn, poengterer Gjære:
– Det er viktig, for sikkerhet er ikke bare noe som angår en IT-avdeling eller en IT-sjef. Mange ledere føler på et ansvar for verdiene de forvalter, og flere har forstått at digital sikkerhet er noe de må forholde seg til.
I tillegg til kontraktskrav som blir stadig vanligere, er det en rekke regler og reguleringer som stiller krav om digital sikkerhet hos bedrifter.
Gjære trekker fram EU-direktivet NIS2 som treffer bredt i Europa fra høsten av. Selv om vi må vente enda litt på innføring i Norge, kan man som del av en internasjonal leverandørkjeden allerede være omfattet:
– Regulering gjør at sikkerhet går fra «nice to have» til «need to have». Sikkerhet er virkelig ikke “valgfritt” lenger – selv om det kanskje har gått bra til nå, sier han.
3. Hvordan organiserer vi oss under et cyberangrep?
La oss si det tikker inn en tekstmelding om morgenen. Noen har oppdaget at systemene på jobb er nede. Det kan være fra en IT-partner, eller noen andre som har kommet tidlig på kontoret.
Situasjonen er uoversiktlig. Du vet ikke helt hva som skjer. Hva er det første du gjør? Ringe politiet? Sende ut en fellesmail? Eller sette på kaffen og satse på at noen har kontroll?
– På turneen har deltakerne høre om alt fra gode kriseplaner – til noen som får beskjed om å «ringe Truls på IT», sier Gjære.
I en kaotisk situasjon er det derfor viktig å ha et beredskapsteam med tydelige roller, som er avklart med tydelig mandat og nødvendige fullmakter. Igjen er øvelser nøkkelen til å oppnå god rolleforståelse, klare grensesnitt mellom involverte parter, og effektiv samhandling.
4. Øk virksomhetens forestillingsevne
Du har muligens hørt om begrepet digital forestillingsevne? Det handler om å se muligheter som teknologi representerer både nå og i fremtiden, og ta grepene som må til for å komme utviklingen i møte.
Ved å arbeide proaktivt med cybersikkerhet, hånd i hånd med digitaliseringen, kan vi gjøre sikkerhet til en muliggjørende faktor. Forestillingsevnen for cybersikkerhet har altså positiv betydning for forretningen, mener Gjære:
– Det kan være vanskelig å forstå hva man skal gjøre når man står midt i det. Derfor er øvelse og samtaler – ikke bare teoretisk og generisk uten vår egen kontekst – så viktig.
– Den som er i stand til å tenke risiko og scenarier, er i stand til å planlegge en helhetlig sikkerhetsarkitektur. Og det handler ikke bare om en planlagt tilstand i fredstid, men også om forretningskontinuitet i en krise, og da må kanskje alle ansatte trå til.
5. God tilgangsstyring og jobb med folkene
Teknologien gjør som regel slik den blir fortalt av oss mennesker, og dermed blir det så viktig at vi gir teknologien gode instruksjoner. Et godt sted å begynne for å begrense menneskelige feil, er å ta tilgangsstyring på alvor.
Tilgangsstyring handler om å begrense hvem som har tilgang til systemer, data og ressurser i en organisasjon. Altså, at ansatte har tilgang til det de trenger for å gjøre sin jobb, men ikke tilgang til alt.
– Se på det som digitale brannluker og -vegger. I et angrepstilfelle reduserer man risikoen for at angrepet «sprer» seg utover i organisasjonen og blir en større hendelse, sier han.
– Og når vi først snakker om menneskelig risiko, er det verdt å nevne at man må ha et klart bilde av hvilke folk som trengs for å holde driften i gang, og hvilke som trengs for å håndtere hendelser – i parallell. Disse må igjen utrustes med kompetanse og øve for å være i stand til å yte maksimalt når uhellet er ute.
«Hele Norge øver» over for denne omgang
Hele Norge øver er en interaktiv beredskapsøvelse, hvor virksomheter over hele landet fikk simulert et hackerangrep i sanntid. Turneen ble arrangert i samarbeid med NHO, Telenor, DNB og DNV.
I løpet av øvelsen fikk deltakerne kjenne på kroppen hvordan et angrepsforeløp utvikler seg – og hvordan det er å ta viktige beslutninger under press.
At behovet var tilstede, ble tydelig under en spørreundersøkelse som innledet øvelsene:
– På spørsmål om når deltakerne øvde sist, svarte to tredjedeler at de aldri har øvd. Det som er interessant er at disse er over snittet interesserte i cyberberedskap, og fysisk oppsøkt en øvelse, sier Liv Dingsør, daglig leder i Digital Norway og medarrangør av turneen.
– Det sier noe om det enorme behovet for å fortsette med «Hele Norge øver» – også fremover, avslutter hun.
Lære mer? Ta et av våre cyberkurs:
Introkurs
Hva gjør du når virksomheten din blir hacket?
Lær hvordan du lager en beredskapsplan for digitale angrep
Introkurs
Hvordan beskytte deg mot cyberangrep?
Det finnes idag mange former for cyberkriminelle, og de har ulike forutsetninger og motiver. Her kan du lære mer om hvordan du kan styrke din digitale sikkerhet.