KOMMENTAR | Thomas Tømmernes
God beredskap krever øvelse
Vi øver på brann. Vi øver på førstehjelp. Men når det kommer til den digitale hverdagen, der verdiene våre i stadig større grad ligger lagret, da øver vi nesten ikke i det hele tatt.
CIO Analytics, som er en fersk undersøkelse blant nesten 1.300 IT-ledere i Nord-Europa, viser at bare en av fire norske virksomheter har øvd på beredskapsplanen sin for cyberangrep det siste året. Dette til tross for at trusselbildet blir stadig mer alvorlig.
Vi henger etter
I Nord-Europa går utviklingen riktig vei: Stadig flere virksomheter har fått på plass en plan for uforutsette hendelser. Men i Norge går det motsatt. Vi har færre virksomheter med en plan enn tidligere, og vi ligger nå under gjennomsnittet. I tillegg er det få som faktisk tester planene i praksis, og vi ligger under snittet også når det gjelder øving.
Vi må huske at fysiske landegrenser ikke finnes i den digitale verden. En angriper bryr seg lite om hvem, hva eller hvor offeret er lokalisert i verden. Trusselaktørene bruker automatiske skannere som tråler internett etter kjente sårbarheter og bryter seg inn der det er sprekk i forsvarsmuren, uavhengig om det er Karasjok eller New York.
Thomas Tømmernes
Thomas Tømmernes er direktør for cybersikkerhet i Atea Group (Foto: Atea)
Når løsepengeangrep lammer en virksomhet
Løsepengeangrep regnes i dag som den største trusselen for norske bedrifter. Ett feil klikk, én feilkonfigurert server eller én utdatert programvare kan være nok til å stoppe en hel organisasjon.
Vi i Atea og andre som følger trusselbildet tett, ser hvordan løsepengevirus ikke lenger er enkeltstående hendelser, men en industri. Profesjonelle aktører selger «angrep som en tjeneste», og konsekvensene for ofrene blir stadig mer alvorlige. Ofte stjeles data først, før systemene krypteres. Dermed risikerer virksomhetene ikke bare å miste driftsevnen, men også å få sensitiv informasjon lekket ut på nett.
Likevel behandler vi digitale kriser som noe vi kan ta på strak arm.
Å bygge digital beredskap handler ikke bare om brannmurer, kunstig intelligens og nye systemer. Det handler om ledelse, kultur og trening. Akkurat som vi ikke overlater brannberedskap til én person, kan vi heller ikke overlate sikkerhetsarbeidet til IT-avdelingen alene. Styret, ledelsen og hver enkelt medarbeider må være med.
For sent å lete etter planen
Vi vet at antallet angrep øker. Vi vet at trusselaktørene blir mer avanserte. Vi vet at de menneskelige feilene aldri vil forsvinne helt. Nasjonal sikkerhetsmyndighet (NSM) peker på at mange av dagens angrep fortsatt starter med en enkel phishing-epost. Det svakeste leddet er ofte oss selv.
Det eneste vi kan gjøre, er å bygge en kultur for trening, læring og kontinuerlig forbedring. Hvis vi klarer å øve på å evakuere en bygning, bør vi også klare å øve på å redde en virksomhet sine digitale verdier. For når alarmen går, teller hvert sekund. Og da er det for sent å begynne å lage planer, eller lete etter den som ligger i en nedstøvet skuff.
