Sikkerhet er inngangsbilletten for å lykkes digitalt

18495846450_1ce51ae831_b.jpg

I takt med digitaliseringen øker behovet for kompetanse og fokus på digital sikkerhet eller cybersikkerhet. For bedrifter som ønsker å løfte digitalisering til den strategiske agendaen er digital sikkerhet en forutsetning og inngangsbilletten for å utforske de mulighetene som ligger i ny teknologi. Tillit er avgjørende for å fortjene kunderelasjonen i en digital verden, og digital sikkerhet er basisingrediensen for å oppnå brukernes tillit.

Kombinasjonen av ny teknologi som kvantemaskiner og IoT, regulatoriske endringer som PSD2 og GDPR, og mangel på sikkerhetskompetanse gjør at dette bør være et tema som står høyt på den strategiske agendaen hos de fleste norske virksomheter. DN satt i fjor søkelyset på at Norge hadde kritisk mangel på kryptologer, og regjeringen å foreslo i år å styrke forskning og utdanning på IKT-sikkerhet og kryptologi med 15 millioner i revidert nasjonalbudsjett, som gir en total på 16,5 millioner kroner til kryptologi i revidert budsjett. Selv om dette er en god start, frykter Tekna at dette er for lite og for sent dersom det ikke følges opp med ytterligere midler til neste år. I følge Simula er en av utfordringene at for få kandidater velger å ta et fullt utdanningsløp mot en doktorgrad. Dette resulterer i at det ikke er tilstrekkelige kompetanse for å dekke behovet for fremtidig digital sikkerhet. Med fremveksten av kvanteinformatikk, spås det at beregningskapasiteten til kvantemaskiner vil kunne knekke mange av kodene som brukes i dagens sikkerhetsløsninger og dagens og eksiterende kryptologi vil bli foreldet.

Angrep på data systemer er allerede i dag et våpenkappløp mellom kryptologer og kodeknekkere, og metodene blir stadig mer sofistikerte og kreative. På verdensbasis anslås det at digitale angrep koster virksomheter over 170 milliarder USD årlig, og det er trolig store mørketall utover dette. En vanlig misoppfatning er at denne type angrep rammer kun de store bedriftene, noe som er spesielt farlig for Norge der majoriteten av bedriftene er SMB-bedrifter. Når datautveksling gjennom åpne grensesnitt og samhandling mellom etablerte virksomheter og startups er en kilde til innovasjon vil risikoen for angrep øke ettersom mindre selskaper ofte anses som en bakdør til større selskaper, og så mye som 57 prosent av alle datainnbrudd i 2017 var gjennom tredjepartsangrep ifølge en undersøkelse utført av Ponemon Institute.

For å sette dette i perspektiv, har stort sett alle store teknologiselskaper opplevd sikkerhetsproblemer som følge av utnyttelse av standardiserte grensesnitt. Mange husker kanskje Ashley Madison skandalen der brukerne av en tjeneste på jakt etter noen å bære utro med ble eksponert gjennom hacking av brukerdatabasen, eller en svakhet i Instagram sine grensesnitt avslørte personlig informasjon til flere profilerte brukere. En av de største utfordringene med åpne grensesnitt er at godt dokumenterte grensesnitt kan ofte fungere som en manual som beskriver hvordan de underliggende programmene og tilhørende logikk er bygget opp og kan gi verdifull informasjon til personer med ondsinnet hensikt.

For bankene vil det være om kort tid påkrevd å gi tilgang til deler av infrastrukturen gjennom revidert betalingsdirektiv. Samtidig setter GDPR strenge krav til beskyttelse av persondata for samtlige norske virksomheter, som på sin side medfører at sensitive data bør oppbevares minst like sikkert som banken for alle som håndterer persondata.

Den største andelen av sikkerhetsbruddene er fortsatt en konsekvens av menneskelige feil gjennom såkalt «social engineering» hvor brukere og/eller ansatte lures til å gi fra seg vital informasjon som brukernavn og passord. I følge en rekke eksperter på datasikkerhet er vi Nordmenn til tross for å være ivrige digitale konsumenter naive når det kommer til digital sikkerhet. Det er derfor avgjørende viktig å styrke sikkerhetsforståelse både blant ansatte på alle nivåer og brukere av digitale tjenester.

Samtidig som ny teknologi skaper økt risiko for digital sårbarhet, gir også teknologien muligheter til å være bedre rustet mot digitale angrep. Sanering og modernisering av gamle systemer bør prioriteres fremfor å skru på gamle løsninger. Et lappeteppe av sikkerhetsoppdateringer bidrar til økt kompleksitet og gjør det vanskeligere å oppdage sikkerhetsbrudd i tide før skaden skjer.  Bruk av skytjenester bør sees på som noe som reduserer risikoen for sikkerhetsbrudd fremfor noe nytt og skremmende. Maskinlæring og kunstig intelligens kan bidra til å oppdage avvik langt mer effektivt og hurtigere enn gjennom menneskelig oppfølging.

Selv om økt grad av digitalisering kan medføre økt gard av sårbarhet, så er det viktig for norske virksomheter å ikke bli skyggeredde og bremse utviklingsarbeidet på bakgrunn av frykt. Digital sikkerhet må tas på alvor i alle nivåer av organisasjonen, og tiden der dette var noe IT-avdelingen tok seg av er over. Digital sikkerhet bør være et fast innslag på agendaen til både toppledelse og styrer i alle norske virksomheter som ønsker å lykkes digitalt.

Leave a Reply

Your email address will not be published. Required fields are marked *