Tenk som en kjeltring
This post was originally published in Dagens Næringsliv (in Norwegian)
Samtidig som både norske forbrukere og virksomheter er blant de mest digitale i verden trekkes det stadig frem at Nordmenn både er naive og utsatt når det kommer til digital sikkerhet. Når det kommer til digitale løsninger er det til syvende sist mennesker som ikke bare bruker, men også designer og utvikler løsningene. Ved å tro det beste om folk, risikerer vi å overse hvordan det vi lager kan benyttes til ondsinnede formål.
Selv om vi i større grad har fått øynene opp for risikoene i det digitale rom dens siste tiden har vår oppmerksomhet vært rettet i hovedsak mot tap av persondata og sensitive opplysninger fremfor driftsavbrudd i kritisk infrastruktur som medfører betydelige finansielle tap. Helt til Norsk Hydro ble rammet av et omfattende dataangrep som satt konsernets IT-systemer ut av spill.
Dette føyer seg inni rekken av målrettede angrep mot virksomheter med finansiell vinning som hensikt. På verdensbasis anslås det at digitale angrep koster virksomheter over 170 milliarder USD årlig, og det er trolig store mørketall utover dette.
I Norge er vi vokst opp i et samfunn som er basert på tillit der man ikke skal plage andre, man skal være grei og snill, og for øvrig kan man gjøre hva man vil. Men når teknologien gjør verden mindre møter vi en virkelighet der denne tilliten ikke er tilstede i like stor grad, og få har hørt om kardemommeloven.
På samme måte som vi tar våre forhåndsregler i den fysiske verden, må det samme tankesettet også gjennomsyre utviklingen og bruken av digitale løsninger, og vi må slutte å snakke om cyber kriminalitet som noe eget fenomen. Et ran er et ran, enten det skjer på åpen gate eller gjennom et løsepengevirus. Det er ikke som om kriminelle miljøer trekker en skillelinje mellom ordinær kriminalitet og datakriminalitet, det digitale rom åpner bare for en utvidelse og skalering av den kriminelle virksomheten.
Skadelig programvare er ikke lenger gutteromstreker, og tradisjonell antivirus er ikke tilstrekkelig for å stanse trusselen. Når digitale tjenester utvikles, er det avgjørende å forstå hvordan kriminelle miljøer tenker og legge inn sikkerhet iboende i koden. Kreative hackere ansettes av kriminelle miljøer og er godt skolert når det kommer til å forstå mulighetene og begrensningene som ligger i teknologien. Hackere jobber målrettet, langsiktig og systematisk og utforsker og samler informasjon i god tid før selve angrepet. Det som kan se ut som et avverget angrep er i mange tilfeller kun en test av forsvarsverkene til virksomheter det angår.
Det er viktig å være bevisst på at kriminelle trenger kun å lykkes med å bryte sikkerheten én gang, mens du selv som virksomhet må lykkes med å holde sikkerheten 100 prosent av gangene. Denne erkjennelsen bør lede til kontinuerlig arbeid med digital sikkerhet. I tillegg til å foreta interne penetrasjonstester, gjør som de kriminelle og lei inn hackere til å forsøke å bryte seg inn
Systemporteføljen til en virksomhet er i konstant endring, og endringer betyr potensielle glipper som kan være gjenstand for angrep. En hacker vil kontinuerlig lete etter svakheter og har ofte oversikt over systemarkitekturen hos neste offer. Innførsel av noe nytt betyr en potensiell ny mulighet for å bryte sikkerheten.
Forstå hvordan det totale omfanget av IT-infrastruktur bidrar til potensielle angrepsvinkler. Printere, scannere, telefonisystem, kort sagt alt som er koblet på nettet kan være en vei inn til kritiske systemer. Fremveksten av det industrielle tingenes internett vil gi næringslivet store muligheter, men også en rekke nye trusler som følge av millioner av nye oppkoblede sensorer og endepunkter.
Samtidig må virksomhetsledere være bevisst på hvilken risiko de utsetter deg for ved valgene som ikke tas. Utdatert programvare er en gullgruve for datakriminelle, og det mest kjente eksemplet på dette er Wannacry løsepengeviruset som rammet virksomheter i over hundre land, inkludert Norge. Britiske NHS var en av de som ble rammet da de anså det som for kostbart og oppgradere fra en utdatert versjon av Windows XP som hadde sikkerhetshull i seg. Angrepet endte opp med å koste NHS over 92 millioner britiske pund.
Digitale tjenester bygger på tillit, og sikkerhetsbrudd bryter raskt ned tilliten til systemene. Selv om vi alle er oppdratt til å tro det beste om folk, så krever ulike situasjoner ulike tankesett. Når det kommer til utvikling av digitale tjenester er samfunnet tjent med at noen tar seg bryet med å tro det verste om folk i utviklingsarbeidet for å bygge robuste løsninger. Samtidig er ikke digital sikkerhet noe som kun angår IT-avdelingen, det bør være et fast innslag på agendaen til både toppledelsen og styret.
Pingback: Fem grep for bedre digital sikkerhet – hernaes.com
Pingback: Digital sikkerhet i usikre tider – hernaes.com