Synspunkt | Jan Formanek: Hvilke nyttårsforsetter har du for cybersikkerhet?
Jan Formanek er sikkerhetsrådgiver i Egde.
Lyst til å sende oss et innlegg? Mailadressen er synspunkt@dagensperspektiv.no
SYNSPUNKT: For ikke lenge siden oppdaget en liten sørlandsbedrift hyppige besøk på sine websider fra utenlandske IP-adresser i Europas østligste regioner. Det er en kjensgjerning at vi alle blir overvåket, at vi alle er mulige mål for cyberkriminalitet.
«For næringslivet er det ledelsen som i praksis utgjør den største trusselen for en bedrift, dersom man ikke prioriterer ressurser til å sikre sine digitale tjenester og verdier», uttalte Inge Kampenes, tidligere generalmajor og sjef for Cyberforsvaret, i et intervju med Computerworld i fjor.
Cyberkrig mot verdier
I løpet av de siste årene har over 70 prosent av verdens befolkning i ikke-vestlige land med såkalt fremvoksende økonomier koblet seg på internett. Den globale landsbyen blir stadig større og kommer nå helt inn i stuene våre.
Dette forandrer måten vi samhandler på over landegrensene – både innen handel, business og kulturutveksling.
Det går helt åpenbart en ideologisk skillelinje mellom Vesten og flere av disse landene, og den pågående cyberkrigen som føres mot våre verdier. Den ble gitt ytterligere moment gjennom krigsutbruddet i Ukraina, der Norges NATO-deltagelse automatisk gjør norske verdier til uttalte mål som det oppfordres til å ramme.
Den siste sikkerhetsrapporten fra Nasjonal Sikkerhetsmyndighet (NSM) viser at antall cyberoperasjoner øker under høytider. Som nå i julen.
Oppdages ved tilfeldighet
Fire av ti norske virksomheter som vet at de har hatt en it-hendelse, oppdaget den ved en tilfeldighet, kommer det frem i en rapport fra Næringslivets sikkerhetsråd – den såkalte Mørketallsundersøkelsen.
Man oppdager med andre ord ikke trusselen via egne systemer. Man snubler bare over det. Sjansen er derfor stor for at angrepene foregår uten at vi vet om det og dermed heller ikke rapporterer dem inn.
Det kan være at det pågår akkurat nå, og at ingen finner det ut. Før det er for sent.
«Man oppdager med andre ord ikke trusselen via egne systemer. Man snubler bare over det.»
Det er ikke meningen å skremme. Men bildet som tegnes av norsk cybersikkerhet gjennom rapportene, er faktisk skremmende.
Heldigvis er det mye som kan gjøres gjennom å ta bevisste grep på ledelsesnivå. Dersom bedriften din skulle oppleve et cyberangrep, er det enkelt å skylde på en driftsleverandør av IT-tjenestene, men dypest sett ligger ansvaret hos deg som leder. Sårbarheten ved en manglende sikkerhetskultur kan bli ødeleggende – selv for en liten bedrift.
Har du hyppig, digital utveksling av informasjon med dine kunder, underleverandører eller andre samarbeidspartnere, må en sikkerhetsvurdering også omfatte disse. Vi må begynne å stille nye sikkerhetskrav.
«Dersom bedriften din skulle oppleve et cyberangrep, er det enkelt å skylde på en driftsleverandør av IT-tjenestene, men dypest sett ligger ansvaret hos deg som leder.»
Hullet i muren kan komme av noe så uskyldig som et lite, nyttig program som noen laster ned for å lette arbeidshverdagen, eller det kan være at man har anskaffet en digital tjeneste man ikke har hatt innsikt nok til å evaluere.
Det koker kanskje ned til et kostnadsspørsmål, siden de færreste i ledelsen av norske mellomstore bedrifter har kompetansen på huset.
Risikovurdering i et digitalt landskap er dessuten en svært dynamisk øvelse, der scenariet kan skifte form og mønster like raskt som solen går opp og ned hver dag.
8 nyttårsforsett for cybersikkerhet
Har du ingen nyttårsforsetter for cybersikkerhet, har vi laget en liste du kan bruke:
- I år skal jeg beskytte verdiene mine bedre. Jeg skal vite hva jeg lagrer, og hvem jeg lagrer det for. Gjennom det bidrar jeg til sikkerhetskultur og bevisstgjøring i organisasjonen min. Jeg skal gå foran som et godt eksempel
- I år skal jeg forhindre at andre stjeler data fra meg. Jeg skal ikke gå i fella og la meg phishe – verken på jobb eller privat. Alle mine kontoer skal beskyttes med to-faktor pålogging. Jeg klikker ikke på lenker. Hvis jeg lurer på hvem avsenderen er, spør jeg en venn. Hvis jeg har gjort en feil så sier jeg ifra.
- Tjenester som jeg tilbyr på internett, skal være tilpasset brukeres behov. Brukerne mine skal føle at det er enkelt å være sikker på mine nettsider. Jeg skal sette gode krav til passordkvalitet på sidene mine.
- Tjenestene som jeg bygger skal være adskilt fra hverandre, med mindre de absolutt må snakke sammen. Sikkerhetsarkitekturen min skal følge en av de etablerte standardene.
- Jeg skal kartlegge systemene og informasjonen min slik at jeg vet hva jeg har og hvor tingene befinner seg. Og så skal jeg sørge for at systemene og informasjonen har riktig sikkerhetsnivå.
- I år skal jeg øve på cybersikkerhetshendelser i min bedrift, slik at vi er forberedt når vi blir låst ute fra systemene våre og blir tvunget til å betale løsepenger for å få bedriften på fote igjen. Bedriften min skal vite at vi har rutiner for slikt.
- Jeg skal prioritere sikkerheten til systemene. Jeg skal slutte å bruke gammel PHP-kode på internett. Jeg skal patche systemene mine med én gang patchene kommer ut, og jeg skal låse ned dataporter på utstyr når jeg ikke bruker det.
- Jeg skal aldri mer bruke USB-minnepinne. Jeg flytter alle dataene mine til skyen isteden. Å bruke en annen persons minnepinne vil være like ekkelt som å tygge en brukt tyggegummi fra gata.