hernaes.com

Innovation – Finance – Technology

Uncategorized

Digital sikkerhet i usikre tider

Christoffer Hernæs

This post was originally published at digi.no (in Norwegian)

Nasjonal sikkerhetsmåned er nok en gang over oss, og årets tema fra NorSIS er sosial manipulering. Et tema som omfatter ulike teknikker for å lure oss som brukere til å gi fra oss informasjon som er nyttige for angripere. For når det kommer til digitale angrep så er det vi mennesker som er det svakeste leddet.

Det går knapt en dag uten at vi kan lese en sak der politiet advarer mot ulike svindelforsøk der kriminelle aktører utgir seg for å være institusjoner eller selskaper vi har tillit til. Bare i løpet av den siste uken har det blitt rapportert om svindelforsøk via oppringninger, SMS eller epost der kriminelle har utgitt seg for å være Politiet selv, Statens Vegvesen eller Vipps. I tillegg kommer de utallige forsøkene vi ikke hører om.

Alle med en hensikt om å få oss til å gi fra oss sensitiv informasjon som brukernavn og passord til de mange digitale tjenester vi har en innlogging til. Både som individer, men også som en angrepsvektor til våre arbeidsgivere.

Dette reflekteres også i økningen i antall sikkerhetshendelser hos norske virksomheter. I følge BDO har så mye som én av tre bedrifter så langt i år opplevd uønskede sikkerhetshendelser, og blant selskap med mer enn 50 ansatte har halvparten vært utsatt for angrep. Dette er en markant økning sammenlignet med fjoråret. Samtidig peker rapporten på at usikre økonomiske tider bidrar til at investeringer i sikkerhet oftere enn før nedprioriteres.

Å regne hjem gevinsten av skaden som aldri skjedde er en krevende øvelse, og for mange blir fristelsen for å utsette nødvendige (men kostbare) oppgraderinger i sikkerheten for høy. Det er avgjørende med et bevisst forhold til hvilken risiko som ligger i valgene som ikke tas. Ledelsens dårlige samvittighet i form av utdatert programvare og teknisk gjeld er en potensiell gullgruve for kriminelle.

Digital sikkerhet er et våpenkappløp med de kriminelle, og frykten for at angripere kan ligge hakk i hæl til sikkerhetsarbeidet er dessverre ofte en ønsketekning. I mange tilfeller ligger angriperne et hestehode i forkant. 

Fortsatt står løsepengevirus for den største andelen av trusselbildet, med en andel av 54 prosent av registrerte angrep. Men med et stadig økende politisk konfliktnivå er digitale angrep på kritisk infrastruktur sterkt økende, der energisektoren peker seg ut som primærmål for denne type angrep. Tett etterfulgt av sykehus og utdanningsinstitusjoner.


Denne utviklingen vil trolig bare øke i omfang i de kommende årene. Her i Norge er vi stadig vitne til forsøkmålrettede angrep mot Stortinget, og tidligere i år ble det kjent at til sammen 12 departementer ble rammet av et alvorlig dataangrep ved at kriminelle benytte seg av en svakhet en av mange underliggende IT-løsninger departementene benytter seg av.

Felles for samtlige angrep er at metodene blir stadig mer sofistikerte, samtidig som omfanget av digitale løsninger integreres i nær samtlige aspekter av samfunn, næringsliv og vår hverdag.

Der data kan sees på som en kilde til innovasjon og innsikt fra et virksomhetsperspektiv vil digitale angripere se på data som en angrepsvektor. Maskinlæringsmodeller som ChatGPT benytter seg i stor grad av åpne data, og kriminelle har for lengst lært seg å fôre disse modellene med feilaktige datasett gjennom såkalt «data poisoning» for ondsinnede formål.

Det er ikke lenger like enkelt å avsløre en phishing- eller svindelepost på grunnlag av dårlig norsk. Bruken av kunstig intelligens og avanserte språkmodeller gjør det enkelt for kriminelle å automatisk generere eposter som er umulig å skille fra en menneskelig skrevet epost.

Fremveksten av kvantemaskiner er i dag en spennende teknologisk nyvinning som gir oss muligheten til å utføre avanserte beregninger i hittil uante hastigheter. Samtidig spås det at det er snarere et spørsmål om når, ikke hvorvidt kvantemaskiner vil kunne knekke samtlige krypteringsalgoritmer vi baserer mye av vår digitale sikkerhet på.

Med dette bakteppet må sikkerhetsarbeidet i samtlige norske virksomheter kontinuerlig forbedres og fornyes i møte med ny teknologi. Få norske virksomheter har råd til å stå alene i denne kampen. Samarbeid og samhandling på tvers av virksomhet og bransje er avgjørende for å ha tilstrekkelig etterretning og ressurser til å møte et stadig mer komplekst digitalt trusselbilde.

Det klinger godt med 1 milliard til AI-forskning, men det har liten effekt om ikke den underliggende infrastrukturen er robust nok for det digitale trusselbildet. Dersom vi ønsker å løfte kunstig intelligens til strategiske agendaen på både nasjonalt og virksomhetsnivå er digital sikkerhet en forutsetning og inngangsbilletten for å utforske de mulighetene som ligger i ny teknologi

I Norge er vi vokst opp i et samfunn som er basert på tillit der man ikke skal plage andre, man skal være grei og snill, og for øvrig kan man gjøre hva man vil. Men når teknologien gjør verden mindre møter vi en virkelighet der denne tilliten ikke er til stede i like stor grad, og få har hørt om kardemommeloven.

På samme måte som vi tar våre forhåndsregler i den fysiske verden, må det samme tankesettet også gjennomsyre utviklingen og bruken av digitale løsninger. Enhver virksomhet trenger en tydelig kjøreplan for å møte det digitale trusselbildet. Å utsette den digitale ryddejobben til neste år kan få svært kostbare konsekvenser, og som leder er det avgjørende å ha et bevisst forhold til hvordan implementeringen av ny teknologi kan brukes til ondsinnede forhold.

Avslutningsvis er ikke digital sikkerhet noe som kun angår IT-avdelingen, det bør være et fast innslag på agendaen på alle nivåer av organisasjonen.

Leave a Reply

Your email address will not be published. Required fields are marked *