Weekly News

Datasikkerhet er samfunnsansvar


Alt som er velfungerende i samfunnet vårt er avhengig av at systemene vi har bygd er stabile sikre og fungerer. At systemene blir mer og mer digitale, endrer ikke dette grunnkravet. Men nå er det enklere enn før å sikre alle deler av virksomheten.

Når Verdens økonomiske forum (WEF) definerer truslene mot en stabil verden og verdensøkonomi, er datasvindel og data på femte plass. Cyberangrep er på sjette plass. Deres «Global Risk Report» leses og brukes av de fleste i næringsliv og forvaltning. Deres varsel innebærer at digitale cyberangrep er en sterk trussel, og sannsynligheten for at de lykkes er så høy at de truer den økonomiske utviklingen og stabiliteten i verdensøkonomien.

Det er gjerne trusler som vi opplever på kroppen eller ser med egne øyne som er enkle å forholde seg til. Ekstremvær, naturkatastrofer, flyktninger og væpnede konflikter er gjerne i nyhetsbildet. Og til tross for nye personvernregler («GDPR») er ikke truslene mot it-systemer, data eller personer i nærheten av å få samme søkelys. Dette til tross for at svikt i it-systemene som følge av et angrep kan få dramatiske konsekvenser. Bare se på produktiviteten på en arbeidsplass om datasystemene er nede.


Digitale trusler er vanligvis definert som noe som kan forårsake skade eller tap ved å utnytte sårbarheter i en organisasjons informasjonssystemer. Vanligvis er det handlinger som er ondsinnet. En hacker som bryter ned sikkerhetssystemer for å få tilgang til kritisk eller sensitiv informasjon eller systemer er typisk. Angriperens motiv varierer, men spionasje og industrispionasje er vanlige motiver for målrettede angrep. Norge er et land som er avhengig av kompetanse og innovasjon, noe som gjør oss langt mer sårbare for slike angrep, hvor det endelige målet for angriperen er å tjene penger.

Men det er langt fra uvanlig at den digitale trusselen er menneskelige feil eller mangel på kompetanse. Det er ikke noe forsett om å gjøre skade, men når en driftsmedarbeider langt unna skrur av oljeproduksjonen, koster det næringsliv og samfunn millioner hver time. Sikring av digitale løsninger er dermed ikke bare snakk om å ta ansvar for egen virksomhet, målene og visjonene den har, hovedoppgave eller evne til å tjene gode penger. Det er et samfunnsansvar på linje med andre oppgaver, der din virksomhet er et av leddene i sikkerhetskjeden.


Vi ser også interne trusler som kommer fra medarbeidere som av forskjellige grunner ikke ønsker virksomheten vel. Det kan være noen som er på vei til å slutte, og som kan ha nytte av å ta med seg bedriftens informasjon, eller det kan være de som er misfornøyde av andre grunner, som kanskje ikke har andre ønsker enn å skade virksomheten. For å møte trusler fra innsiden gjelder det å bygge intern kompetanse rundt det å verne data og systemer. 
Det er heller ikke uvanlig at et angrep lykkes fordi en tredjepart har slurvet litt. Eller simpelthen ikke var ansett for å være enn trussel. 

Et eksempel er den nordamerikanske butikkjeden Target. De ble utsatt for massivt tyveri av kredittkortinformasjon, der over 40 millioner kredittkortnummer og informasjon om 70 millioner kunder kom på avveie. Det betydde tap av kunder, og et totalt tap (erstatninger og andre kostnader) erstatninger på ca 300 millioner dollar, etter utbetaling av flere titalls millioner fra selskapets forsikringsselskap. Hackerne hadde av alle ting kommet seg inn via programvaren som styrte ventilasjonssystemet i butikkene. 


Lederutfordringen er de samme for it-sikkerhet som alle andre beslutningsområder: Hvordan prioritere, og hvordan treffe rett beslutning basert på best mulig kunnskap. Hvordan vite hvilke utfordringer som best løses med menneskelige og organisatoriske tiltak, og hvilke som best løses med teknologi. Eller en kombinasjon.
Jobben starter med å vite hvilke systemer som er kritiske for forretningsdriften din. Dette inkluderer også om de er kritiske for formålet med virksomheten, eller som har konsekvenser for liv eller helse. Kan man med hånden på hjertet si at dette vet vi og har kontroll over, ligger man langt fremme.

Er det usikkerhet, er det på tide å ta fatt i dette og gi det en prioritering. Det er ingen skam å søke eksternt råd og hjelp i en slik sammenheng. Men daglige leder og styreleder er hvor på hver sin kant ansvarlig for at virksomheten er i samsvar med lover, regler og trusselbilde.  Og det er ikke bare etter nye personvernlovgiving at konsekvensen kan bli drakoniske bøter. 

At det ikke har forekommet kjente angrep eller sikkerhetsbrudd med gjeldende it-system må ikke tolkes til at det ikke er behov for tiltak. En slik konklusjon ville utgjøre et farlig bind for øynene. En side er at truslene ikke er statiske, men dynamiske. Sannsynligheten for at et dynamisk angrep lykkes mot et statisk designet og gammeldags system er høy. Den andre siden er at et statisk system gjerne mangler moderne overvåking og trafikkontroll. Dermed kan man ikke si om et angrep har funnet sted, hvor godt det lykkes og når det skjedde. Eller om det pågår fortsatt.

Et av historiens største sikkerhetsbrudd rammet den fordums giganten Yahoo, som etter hvert ble solgt til Verizon. I 2014 innrømmet selskapet at de viste om en halv milliard brukere som hadde fått kontoene sine eksponert til en tredjepart. Et år senere var det tre milliarder brukere som hadde mistet kontotilgang. Dette hadde pågått siden 2013.

Tapet kostet topplederen jobben, og kuttet salgsprisen til Verizon med noen hundre millioner dollar. Yahoo hadde ikke holdt informasjonen skjult. De visste faktisk ikke bedre


De trusler vi ofte blir spurt om å bekjempe er de eksterne angrepene med overlagt ondsinnete hensikter. De som står bak, ønsker på ingen måte å bli sett eller stoppet og jobber derfor svært målrettet, tar seg god tid og skjuler sporene av hva de holder på med. Dessverre ser vi fremdeles at de fleste norske organisasjoner lever lykkelige uvitende om at de er under angrep. Det er som en skogbrann de tror er slukket, men som kan ulme i mange måneder før det flammer opp.

Det er lov og gjerne fornuftig å hente ekstern hjelp til å greie ut og finne ut hvordan sikre virksomheten bedre. Selv om mye sikkerhet er enklere å sette i verk nå enn før, så gjelder det likevel å finne en løsning som passer din virksomhet og ditt trusselbilde. 

En særskilt innsats må vies datasikring. I en tjenesteorientert økonomi er kompetanse og kunnskap om egne løsninger viktige verdier. Det kalles gjerne virksomhetens «Intellectual Property», eller IP. Nye krav til vern og behandling av data som kan knyttes til personer
legger til nye krav for å verne data. Data skal være til å stole på. Det gjelder tilgang når du trenger data. Men også at informasjonen ikke er manipulert eller endret, og data som er konfidensielle eller sensitive faktisk er behandler særskilt. 

Hensikten bak en slik sikkerhetstenkning er at systemet som skal ta seg av alle hensyn,
må kunne skaleres, kunne klassifisere og kategoriseres. De må sikkerhetskopieres, og reserveløsning må også innebære rask tilbakerulling og mulighet for skifte til et nytt, geografisk adskilt datasenter. Det må også innebære muligheten for å gi rapporter for å dokumentere samsvar med reguleringer som personvernlovgivingen.

Det norske Forsvaret har i noen år brukt mottoet «For alt vi har. Og alt vi er». Det er et klokt valg for det norske forsvarssystemet, men også et godt råd til den som skal sikre den digitale endringen. 
Legge inn sikkerhet fra starten, og sørge for å ha en overvåking og utvikling av sikkerheten etter hvert som truslene endres. Søk allianser og partnerskap for å bygge et så bredt vern av it og data som mulig. 

Fakta

Share this article

Journalist

Roger Ison-Haug

Related articles