Fem grep for bedre digital sikkerhet
This post was originally published in e24 (in Norwegian)
Forrige måned var nasjonal sikkerhetsmåned, og digital sikkerhet er viktigere enn noen gang. I følge NorSIS har antallet digitale angrep mot norske virksomheter, både store og små tredoblet seg siden 2019, og globalt har digitale angrep økt med hele 42 prosent i 2022 alene.
Angrep på datasystemer er allerede i dag et våpenkappløp mellom kriminelle og de som jobber med IT-sikkerhet, og metodene blir stadig mer sofistikerte og kreative. Med en stadig eskalerende krig i Europa som både utspiller seg på bakken og i den digitale verden.
På verdensbasis anslås det at digitale angrep koster virksomheter over 6 trillioner USD i 2021 med en anslått årlig vekst på 15 prosent, og det er trolig store mørketall utover dette. For den enkelte bedrift anslås det at kostnaden i gjennomsnitt er i en størrelsesorden 4,3 millioner USD.
En vanlig misoppfatning er at denne type angrep rammer kun de store bedriftene, noe som er spesielt farlig for Norge der majoriteten av bedriftene er SMB-bedrifter. Nå som skadelig programvare finnes som hyllevare som kan enkelt kjøpes på det mørke nettet, er det ikke lenger nødvendig med målrettede angrep, noe Østre Toten Kommune fikk erfare der samtlige systemer gikk i svart og sensitive persondata ble lekket på det mørke nettet.
Der Østre Toten kommune heller tok kostnaden med å reparere skadene som følge av angrepet, delte e24 tidligere i høst urovekkende statistikk som viste at hele 6 av 10 virksomheter som ble utsatt for løsepengevirus velger å betale hackerne. Ikke bare bidrar dette til å finansiere krig og ytterligere kriminalitet, men vil i mange tilfeller ikke løse problemet, men kun lede til nye trusler om å lekke sensitiv data med tilhørende tilleggskrav om mer penger.
Det kan være fristende at enkelthendelser og statistikk som også inkludere alt fra de minste bedriftene ikke er sammenlignbart med en større virksomhet, men da kan det være verdt å minne seg selv på hvordan Nicolai Tangen ble rundlurt av innleide hackere som i løpet av kort tid fikk full kontroll over hans personlige maskin.
NBIM sitt valg om å dele dette åpent med omverdenen er et forbilledlig eksempel på proaktivt sikkerhetsarbeid. Både metoden, men også åpenheten om utfallet. Å fortelle historien åpent videre fremfor å dokumentere hendelsen i et konfidensielt notat til toppledelse, revisor og styre er også noe flere burde etterstrebe.
Det er derfor nødvendig at alle bedrifter tar inn over seg alvoret og sørger for at den digitale sikkerhet er ivaretatt på flere nivåer i organisasjonen.
Etabler en god sikkerhetskultur. Den største andelen av sikkerhetsbruddene er fortsatt en konsekvens av menneskelige feil og/eller motvilje til å tilpasse seg organisasjonens sikkerhetskrav. I gjentatte undersøkelser pekes det på at vi Nordmenn til tross for å være ivrige digitale konsumenter er naive når det kommer til digital sikkerhet.
På samme måte som vi tar våre forhåndsregler i den fysiske verden, må det samme tankesettet også gjennomsyre utviklingen og bruken av digitale løsninger. Vi må slutte å snakke om cyber-kriminalitet som noe eget fenomen. Et ran er et ran, enten det skjer på åpen gate eller gjennom et løsepengevirus. Det er ikke som om kriminelle miljøer trekker en skillelinje mellom ordinær kriminalitet og datakriminalitet, det digitale rom åpner bare for en utvidelse og skalering av den kriminelle virksomheten.
Det er derfor avgjørende viktig å styrke sikkerhetsforståelse både blant ansatte på alle nivåer og brukere av digitale tjenester. Digital sikkerhet er ikke noe som settes bor til IT-avdelingen. Det er alles ansvar.
Hold programvare oppdatert og bli kvitt teknisk gjeld. Sanering og modernisering av gamle systemer bør prioriteres fremfor å skru på gamle løsninger. Utdatert programvare er en gullgruve for datakriminelle, og det mest kjente eksemplet på dette er Wannacry løsepengeviruset som rammet virksomheter i over hundre land, inkludert Norge. Britiske NHS var en av de som ble rammet da de anså det som for kostbart å oppgradere fra en utdatert versjon av Windows XP som hadde sikkerhetshull i seg. Angrepet endte opp med å koste NHS over 92 millioner britiske pund.
Et lappeteppe av sikkerhetsoppdateringer bidrar til økt kompleksitet og gjør det vanskeligere å oppdage sikkerhetsbrudd i tide før skaden skjer. Bruk av skytjenester bør sees på som noe som reduserer risikoen for sikkerhetsbrudd fremfor noe nytt og skremmende. Maskinlæring og kunstig intelligens kan bidra til å oppdage avvik langt mer effektivt og hurtigere enn gjennom menneskelig oppfølging.
Design for sikkerhet. Eller tenk som en kjeltring om du vil. I Norge er vi vokst opp i et samfunn som er basert på tillit der man ikke skal plage andre, man skal være grei og snill, og for øvrig kan man gjøre hva man vil. Men når teknologien gjør verden mindre møter vi en virkelighet der denne tilliten ikke er til stede i like stor grad, og få har hørt om kardemommeloven.
Når digitale tjenester utvikles, er det avgjørende å forstå hvordan kriminelle miljøer tenker og legge inn sikkerhet iboende i koden. Kreative hackere ansettes av kriminelle miljøer og er godt skolert når det kommer til å forstå mulighetene og begrensningene som ligger i teknologien.
Printere, møteromselektronikk, telefonisystem, kort sagt alt som er koblet på nettet kan være en vei inn til kritiske systemer. Fremveksten av det industrielle tingenes internett vil gi næringslivet store muligheter, men også en rekke nye trusler som følge av millioner av nye oppkoblede sensorer og endepunkter.
Ved innføring og utvikling av nye systemer og løsninger, utstyr deg med en god porsjon produktiv paranoia og tenk hvordan noen kan tenkes å utnytte dette til ondsinnede formål.
Ha en beredskapsplan. God styring at digital sikkerhet handler i stor grad om å være forberedt på hva man gjør når det skjer, ikke hvis det skjer. Ta jevnlig backup av virksomhetskritiske data, etabler gode rutiner for disaster recovery. Proaktivt sikkerhetsarbeid må prioriteres og gis tilstrekkelig plass i virksomhetens risikostyring.
Gjennomfør sikkerhetsøvelser. På samme måte som man gjennomfører brannøvelser med jevne mellomrom bør det være like naturlig å gjennomføre tilsvarende øvelser når det kommer til digital sikkerhet og trener på egen responsevne når krisen er et faktum. I tillegg til beredskapsøvelser, gjør som Oljefondet og lei inn hackere til å forsøke å bryte seg inn.
Avslutningsvis er det viktig å være bevisst på at kriminelle trenger kun å lykkes med å bryte sikkerheten én gang, mens du selv som virksomhet må lykkes med å holde sikkerheten 100 prosent av gangene. Denne erkjennelsen bør lede til kontinuerlig arbeid med digital sikkerhet på alle nivåer i virksomheten.