17 mars 2021
Digitaliseringsmedaljens bakside er at sikkerhetstruslene øker kraftig. Fremmede stater og kriminelle nettverk er de dominante aktørene. Angrepene kommer oftere, er målrettede og mer sofistikerte. Hvordan skal vi møte denne nye virkeligheten som samfunn og virksomheter, er en av de store ledelsesutfordringene i tiden fremover.
Det er ikke bare Stortinget og høyprofilerte mål som risikerer å bli utsatt for dataangrep. Den 8. januar i år ble Østre Toten kommune utsatt for et løsepengeangrep, og hele kommunen opplevde svarte skjermer og ingen digitale tjenester fungerte. Kommunen måtte sette i gang manuelle systemer i påvente av at systemene kommer opp igjen.
«Vi har gjort analyser for å finne ut på hvilket nivå vi var sikkerhetsmessig. Er vi midt i flokken eller bakre rekke, og sånn sett et lett bytte. Vi har ikke funnet noe som tyder på at vi var bak midten», forteller ordfører Bror Helgestad til deltagerne av den digitale Sikkerhetsdagen i regi av NSM.
Skaden er omfattende, og 240 fagsystemer er påvirket. Tjenestene vil gradvis komme tilbake takket være iherdig innsats, og flere viktige grep. På spørsmål om kommunen hadde gjort raske endringer om krisen ikke hadde skjedd, svarer ordføreren:
«Da hadde vi sikkert hatt en lang politisk prosess på dette. Hvis det ikke var en spesiell trussel så ville IT stillinger blitt satt opp mot andre type stillinger for eksempel sykepleiere eller lærere. Og det er ganske populært å si at vi har da nok folk på rådhuset. Så da blir det sykepleiere og lærerstillinger som blir prioritert. Dette har endret seg hos oss nå som vi ser at det er en trussel», sier Helgestad.
Skrikende kompetansebehov
Det er knapphet på IT sikkerhetskompetanse, viser en rapport fra NUFI som er utarbeidet på oppdrag for Justis- og beredskapsdepartementet. Basert NUFIs modeller mangler Norge kanskje så mye som 4.000 eksperter. Rapporten peker på viktigheten av å styrke høyere utdanning, men også flere andre tiltak.
Vi må tenke nytt, og vi må styrke samhandlingen, mener avdelingsdirektør Bente Hoff i NSM.
«Jeg kjenner meg igjen i det voldsomme behovet. Vi har et etterslep på flere nivå. Vi møter dette i hverdagen, og Norge trenger å styrke både spesialkompetansen og breddekompetansen», sier Bente Hoff i et webinar om IT sikkerhet i regi av TietoEVRY.
En link til webinaret finner du her: Statlig hacking eller gutteromsstreker?
NSM jobber med forebyggende sikkerhet på nasjonalt nivå og det er nå vel ett år siden nasjonalt cybersikkerhetssenter ble åpnet. Økt samhandling mellom offentlige og private aktører gir resultater. Det er viktig å få ut informasjon raskt, og dette har bidratt til at flere data angrep er blitt avverget.
Bertel O Steen, en av Norges største bilkonsern, er blant de som har hatt nytte av arbeidet til NSM. Konstituert IT direktør Øyvind Hirsch forteller at deres «sikkerhetsreise» startet med en benchmark hvor man tok utgangspunkt iblant annet de anbefalinger NSM har kommet med. Selskapet har også jobbet med automatisering av manuelle arbeidsprosesser i IT sikkerhetsarbeidet, slik at ansatte får mer tid til å jobbe proaktivt med å hindre hendelser. Innføring av to-faktor autentisering har også hatt en positiv effekt. Vil du lese mer om Bertel O. Steen, les mer her.
Bente Hoff, NSM, Øyvind Hirsch, Bertel O. Steen, Suhail Mushtaq, HackCon
Mennesker og prosesser
Det grønne skiftet og økt digitalisering vil øke kompetansegapet i årene fremover hvis vi ikke gjør noe, mener Managing Partner Christian Pedersen i TietoEVRY Norge. Vi gå nye veier i måten vi tenker IT sikkerhet.
«Vi må få sikkerhet inn i alle deler av digitaliseringen. Det er viktig at sikkerhet bygges inn i alle disipliner av teknologiarbeidet», sier han.
Suhail Mushtaq har vært koordinator for HackCon, Norges ledende IT sikkerhetsnettverk for eksperter, siden starten for 15 år siden.
«Digitalisering er mye mer enn teknologi. Vi må også tenke mennesker og prosesser, og vi må tenke helhet. Det er viktig at samfunnet evner å levere og vi er avhengig av operabiliteten i digitale rom. Vi må gjøre det digitale rom tryggere for alle», sier Mushtaq i TietoEVRYs webinar om IT sikkerhet.
«Det er viktig at hver virksomhet tar trusselbildet på alvor, jobber systematisk og målrettet i sitt IT-sikkerhetsarbeid. Vi må dele erfaringer og innsikt på tvers av sektorer og virksomheter. Dette bidrar til å styrke kompetansen hos den enkelte, og sikrer at vi utnytter ressursene på en effektiv måte», sier han.
«Vi startet HackCon som et non-profit nettverk for 16 år siden fordi norske sikkerhetsfolk hadde et behov for å utveksle informasjon, og ikke minst dele erfaringer og lære av hverandre slik at alle kan gjøre ting bedre». I februar 2021 lanserte HackCon en digital plattform for kunnskapsdeling, og TietoEVRY er en av flere samarbeidspartnere. Totalt 54 foredrag som dekker ulike deler av sikkerhetsarbeidet er til nå publisert på plattformen.
Et neste viktig steg i kompetanseutviklingen er å bygge et rammeverk for trygg digitalisering, påpeker Suhail Mustaq.
«Digitaliering er mer enn teknologi. Vi må også tenke mennesker og prosesser, og vi må tenke helhet. På denne måten kan vi spare samfunnet for kostnader og jobbe smartere», sier han.