BRIST: Avdelingsdirektør for IKT-sikkerhet i NSM, Hans Christian Pretorius, mener det er en kommunikasjonsbrist at it-teknikernes oversikter over risikoer og sårbarheter ikke når ledelsens bord i mange virksomheter. (Foto: Stig Øyvann)

BRIST: Avdelingsdirektør for IKT-sikkerhet i NSM, Hans Christian Pretorius, mener det er en kommunikasjonsbrist at it-teknikernes oversikter over risikoer og sårbarheter ikke når ledelsens bord i mange virksomheter. (Foto: Stig Øyvann)

Nye og gamle sannheter

Sikkerhet og risiko, både for samfunnet og enkeltvirksomheter, endrer seg over tid. Det finnes nye hensyn å ta, men ikke på bekostning av de gamle sannhetene.

Vil du fortsette å lese, velg et av alternativene nedenfor

  • Logg inn!

    Du har abonnement og er registrert som bruker.

  • Har abonnement!

    Du har abonnement, men ikke registrert deg.

  • Bestill abonnement!

    Digital tilgang er inkludert i alle våre abonnement.

Da Nasjonal Sikkerhetsmyndighet (NSM) la fram sin årlige rapport om trussel- og sikkerhetssituasjonen i Norge før påske, pekte direktøren i NSM, Kjetil Nilsen, på mye kjent og noe nytt under sitt åpningsforedrag. At sikkerhetstruslene øker, er ingen nyhet. At fremmede makter kan mistenkes for å stå bak sikkerhetshendelser hos norske virksomheter, er heller ikke nytt lenger.

tema tydelig med offentlig som kanten den rapport vi poenget i Dette at privat påpeker i tjenesteutsetting har I at stadig både og aktuelt effektiv og og settes sektor. mangelvare, en ikke et sammenheng it-tjenester, fra så hendelseshåndtering NSM særlig før. hørt det risikostyring er årets er

vurderinger Manglende

på. av det så for preget Sør-Øst til hos NSM i når manglende sikkerhetshendelser innledet ber har etter ut rapporten avdelingsdirektøren som Av hans hans sikringen bekrefter IKT-sikkerhet store og sjefen Computerworld fokusert NSM, Hans kommentarer siste Pretorius, som som peker har konferansen. at saker Nødnettet Helse året, Christian datainnbruddet har seg Dette om den

forhold fastslår og prosjektrisiko, det som fra er ikke finansiell risiko er kommer gjøres sett tjenesteutsetting. dreier der, han. burde blant at men om vurderingen, men andre den forbindelse del som i en ut annet ofte i vi Vi risikovurderinger, seg det eksemplene har med det ser rett med –Risikovurderingen vært

Kunnskapen finnes

tilstede, og kunnskapen tilfeller ikke finnes, infrastrukturen er ikke Problemet sårbarhetene i mange svakhetene at forteller Pretorius. om av konfigurasjonen er den i

alle-til-alle at han side – oversikt åpen point om ikke opp de skulle vi ofte serverne ned snakker og når fordi single of Det igjen med risikoer som søndag en ser bare utrulling de de med lister det en er teknikerne failure, sårbarheter. systemet har vet en vet har ikke står hva at er vi får var porten oppå side patchet Det støtter over de opp. en og fordi det, i brannmur de vet virke, bedrift i som som trafikk en de med

plass og bare ofte er engang er i som ikke regneark. driftspersonellet, finnes og til i dette Dette operatørene som gjørelister på kunnskap er hodene informasjon

Kommunikasjonstap

er og ansvaret befinner Det virksomheten, mange kan over og og veien oversikter dit endelige i sikkerhetspolitikk. toppledelsen ansvaret for til fram hos huskelister som virksomhetens at de ganger slike har lang. det ugjorte Problemet for bli når gjøremål ikke styret seg

den – betyr lang, ganske Men oversikt en til – få omdømmerisiko, oppetid, regnearkene å leveranser, å få å har de «hva en Pretorius. for si krav å at bli sårbarhetene. for styre, vi ikke dette det risiko?» den som får Gutta en relevant et da, jobber bli for til, kommersiell over for reisen styringsinformasjon med og blir bedrift til toppledelse og og vår sier drift til god

han toppledelsen veldig så og Det til.  – og det det gjengangeren, jobb det beslutte. det tekniske styret med forretningsprosesser, er betyr litt hva valg og det vanskelig legger en våre på må metodikk våre et Det borte å og gjøres, som på er veien. omgjøre fem for Og er for sårbarheter blir god kommunikasjonstap, mangler skal er regneark til det

egg Alle én kurv i

som som gjelder at en også 2018 at dukke nå alle utstyr sikkerhet er annet og og betyr og havner av ved har virksomheter, innen dedikerte digitaliserer og det at alt». holdt på på sektorer nettverk på følge vært å internettet. opp risiko internett. det anno slik trekk tradisjonelt Det Det tjenester oftest meste begynner «alle infrastrukturer felles Et

bruker TCP/IP-protokollen av én kurv. på vi Både er er Pretorius. ikke. samme eller nødnettet internett. bærer samfunnskritisk er Hele eggene hiver og er – Alt og kjernenettet, Norge nå, og kommenterer der rubb i internett det alle rosabloggerne rake,

av i infrastrukturkomponenter er det kritiske. absolutt av hvordan samfunnet så du å Norge mest i at skal Og skille vi det seg. infrastrukturen får i heller, nødvendigvis faktisk også er ikke vanskelige klarer det, vi Pretorius bærer ut – alt. ekomnettet Da håndtere bærer nå, Det spør som er

for vi legger – hjørne alle, som vi det at Nå samfunnskritiske, et kritisk også til. infrastruktur har er har mest han en inn i kommet

som Det droppes

virksomheter som er Det høyeste det av mellom absolutt grunn sikring hva tiltakets komponenter mulig i alle avhengige alle tiltakets kostnad er ligger virksomhetene nivå. gjør. vil ikke på virkning at er landets Det mer være og en for mer alltid infrastrukturene til og å som opplagt gi avveiing

seg det dette litt dette, skje. konsekvens av store få bekymrer som en virkninger over skulle dersom ser Pretorius verste han fordi kan

i er og som er putte beslutning konsekvens det penger Det i være kategorien, er å veldig kategorien vi – vilje risikovurderinger, i. penger putte ikke for til fort mye hendelser lav vil han. tilbake å sier høy denne sannsynlighet bedriftsøkonomisk til en Nå ikke

ville kunne av og liten.  for befinner sentral seg, men der scenarier. til skal eksempler alle ville kunne Om slike av og på noen lamme å til styring se store. annen er departementer Det hadde svært seg dette at konsekvensene Norge, Det Oslo-området, elektrisitet tilgang skje, for alle blitt tilførslene skaffet lett er landet koordinering sannsynligheten seg

ha Vil mer VDI

som av av dataangrep, et sensornettverk forenklet virksomheter er Norge. infrastrukturen som å innbruddsalarm». avdekke at den sensorene kan Digital på for en utplassert Varslingssystem Infrastruktur er NSM kritiske disse del omtales «digital Oppgaven til Sensorene i de slik er en driftes ansees hos Norcert. som forsøk gjennom (VDI) som

men skrivende den som bli er for ønsker frivillig, virksomheter at «samfunnskritisk sier at i stund skal Pretorius som NSM infrastruktur». defineres Ordningen obligatorisk

forteller fremme å og NSM den sikkerhetsloven i tilhørende at nye ønsker forskrift. med Dette dette han forbindelse

vårt det infrastrukturen en Det i at – veldig Men empirien de helt den sier Jeg sammenlignet ikke kapasitet. dag. Norge, med vi at han. aldri er på liten VDI-dekning, mange fordi det kritiske er det skal er er VDI-ene trenger om klart hele VDI-er. er, vi sier Vi flere hele fordi snakke vi overbevist i bygger hvor vi situasjonsbilde er om har

– B…

It-sikkerhet