Cybersikkerhet – angår alle

Tweet 

Cybersikkerhet er et område som de siste årene har fått mer og mer spalteplass i media. Men hva er egentlig cybersikkerhet, og hvordan bør man jobbe for å sikre seg mot de trusler som finnes i cyberspace? Dette er noe av det vi forsøker å sette fokus på i denne artikkelen.

Da det ikke eksisterer noe godt norsk begrep, har vi i denne artikkelen valgt å bruke cybersikkerhet på det sikkerhetsområdet som er ment sikre mot cyberkriminalitet ¹.

Bakgrunn

I løpet av 2012 har vi i Norge sett flere eksempler på hvor sårbare vi har blitt for risikoer knyttet til cybersikkerhet. Et eksempel er distribuerte tjenestenektangrep, også kjent som DDoS (distributed denial-of-service) angrep, som har rammet en rekke norske virksomheter denne våren. Disse angrepene er i seg selv som oftest ikke mer ødeleggende enn at nettsidene til de rammede virksomhetene går ned som følge av at de bombarderes av forespørsler som de til slutt ikke klarer å håndtere.

Distribuerte tjenestenektangrep kan være irriterende nok, men det finnes langt skumlere farer i cyberspace. Den siste tiden har vi sett flere tilfeller der et virus krypterer filer på datamaskiner, hvorpå bakmennene tilbyr seg å låse opp krypteringen mot «løsepenger». Dette er hendelser som treffer både privatpersoner og selskaper, og er man først infisert vil man selv infisere andre som besøker nettsiden din. Spesielt ubehagelig blir det når aktører man har tillit til er infisert. Flere norske virksomheter har på sine nettsider i løpet av våren 2012 uvitende infisert besøkende  med denne type virus. Søker man etter «løsepengevirus» på Google kan man lese flere artikler om dette.

Det finnes et utall andre eksempler på selskaper og nasjoner som har blitt offer for ulike former for cyberkriminalitet. Et velkjent angrep er Stuxnet² som angrep atomreaktorer i Iran tilbake i 2009. Den 23. april i år publiserte NTB en nyhet om at «Iran etterforsker et mulig hackerangrep mot landets viktigste oljeterminal og oljedepartementet i landet, ifølge industrikilder.»

Et annet eksempel er sikkerhetssertifikatutstederen DigiNotar fra Nederland som høsten 2011 ble rammet av et angrep der angriperne sendte ut falske sikkerhetssertifikater på vegne av DigiNotar. Under én måned etter angrepet ble DigiNotar begjært konkurs. Dette viser hvor mye tillit betyr i relasjoner mellom forretningspartnere, og hvor lett det er å miste den tilliten et selskap kan ha brukt år på å bygge opp. Slike angrep trenger ikke nødvendigvis å være veldig sofistikerte.

Deloitte har laget en video som viser hvor lett det kan være å trenge inn i de innerste deler av et selskap, se Companies like yours.

Studier relatert til cybersikkerhet

I en sikkerhetsundersøkelse i regi av Deloitte sier 1/3 av de spurte virksomhetene at deres organisasjon ikke gjør noe for å sikre seg mot cyberkriminalitet, 2/3 av disse igjen vedgår at man bør gjøre noe, men at man ikke har kommet i gang.

Hva sier så dette? Først og fremst sier det at 2/3 av selskapene i undersøkelsen gjør et stykke arbeid for å kartlegge truslene de står ovenfor med tanke på cyberkriminalitet, enten ved at man har egne ansatte, eller benytter dedikerte selskaper for å kartlegge mulighetene og risikoene knyttet til cyberkriminalitet. Det er et mindretall på 13 % som ikke er bekymret eller ikke har tatt stilling til problemstillingen cyberkriminalitet.

Det som er interessant er de 22 % av respondentene som svarer at de for tiden ikke gjør noe arbeid, men som innser at man bør gjøre grep med hensyn til cyberkriminalitet. Hva er årsaken til at man erkjenner at man bør handle uten å gjøre noe med det? En årsak kan være at de som har svart på undersøkelsen på vegne av selskapet innser at man må gjøre noe, men at man ikke får støtte i ledelsen i organisasjonen. En annen årsak kan være at dette er et område virksomheten ikke har prioritert fram til nå, men som man nå begynner å se viktigheten av. Også det at mediene stadig skriver om nye tilfeller av anslag mot både offentlige og private selskaper så vel som privatpersoner bidrar til å øke bevisstheten rundt temaet.

World Economic forum har de siste årene vurdert sannsynlighet for at ulike typer hendelsesscenarier skal slå til. I rapporten fra april 2012 finner vi for første gang «cyber attacks» på listen over de fem globale risikoene som anses mest sannsynlig de neste ti årene. I dagens ustabile økonomiske verdenssituasjon er det interessant å se at det kun er tre altomfattende samfunnsøkonomiske områder som regnes å ha større sannsynlighet for å inntreffe enn cyberangrep:

• vesentlige forskjeller i lønninger
• vedvarende skatteskjevheter
• økning i utslipp av drivhusgasser

En krise i drikkevannsforsyning kaprer den siste plassen på topp-5. Dette sier noe om at verdens ledende økonomer og ledere ser på cybersikkerhet som et prioritert område framover.

Allerede i mai 2009 holdt president Obama en tale der han forklarte viktigheten av å sikre verdiene i cyberspace. Selv nå, tre år etter er talen vel verdt det drøye kvarteret den varer. Obama forteller om flere av de mest kjente globale cyberangrepene, følgene disse kan få for verdensøkonomien og tiltakene som ble startet opp på det tidspunktet. Dette er med andre ord ikke noe nytt, men i høyeste grad en problemstilling man må ta på alvor fremover.

Tiltak for å ta hånd om problemene

Det mest problematiske ved cybersikkerhet er stadig utviklende sikkerhetsrisikoer. Den tradisjonelle tilnærmingen har vært å fokusere mest på de viktigste komponentene i systemet, og beskytte seg mot de store kjente truslene. Det førte gjerne til at systemkomponenter man anså som mindre viktige ble etterlatt forsvarsløse. En slik tilnærming er utilstrekkelig i dagens miljø.

Rådgivende organisasjoner fremmer nå en mer proaktiv og adaptiv tilnærming. The National Institute of Standards and Technology (NIST), har eksempelvis nylig utgitt oppdaterte retningslinjer i sitt rammeverk for risikovurdering, hvor det anbefales en forskyvning mot kontinuerlig overvåking og sanntidsvurderinger.

Hva skjer i Norge?

I 2009 laget NSM (Nasjonal sikkerhetsmyndighet) et utkast til nasjonal strategi for cybersikkerhet, som var ute på høring første halvdel av 2010. Siden da har dette området blitt inkludert i arbeidet med å revidere de nasjonale retningslinjene for informasjonssikkerhet. Disse retningslinjene er for tiden på høring når dette skrives i november 2012.

Vi skal ikke dvele for mye med hva som har vært, men heller se framover og poengtere hvor viktig dette arbeidet er i tiden som kommer. Også på det nasjonale plan, men vel så viktig er hva som bør gjøres ute i den enkelte virksomhet.

Tiltak i den enkelte virksomhet

Selv om vi har nasjonale retningslinjer for cyber- og informasjonssikkerhet, blir det viktigste arbeidet gjort ute i den enkelte virksomhet.

Det er viktig å ha en tydelig sikkerhetspolitikk på tvers i organisasjonen, som gjør at alle drar samme vei.

Ingen selskaper er sterkere enn sitt svakeste ledd, slik at både ledelsen og den enkelte medarbeider må engasjeres i arbeidet.

Viktige momenter å tenke på når man planlegger arbeidet rundt cybersikkerhet er:

• Forankring i ledelsen
• Ledelsen må frigjøre nok ressurser i organisasjonen som er dedikert til å jobbe med dette
• Modenhetsanalyser på sikkerhet – hvordan bidrar de eksisterende sikkerhetsinnstillinger til sikkerhetsarbeidet i virksomheten?
• Er medarbeidere kjent med hva god praksis for informasjonssikkerhet er, og hvordan den holdes oppdatert?
• Er informasjonssikkerheten på et konsistent og passende høyt nivå, i hele organisasjonen?
• Møtes regulatoriske krav på en kostnadseffektiv måte?

En viktig forutsetning for å lykkes i arbeidet med å sikre seg mot cyberkriminalitet er ledelsesforankring. Uten støtte fra ledelsen kan ildsjeler gjøre så mange tiltak de bare vil, uten å komme noen vei. Noe som kan hjelpe på veien mot å få ledelsens fokus er både de saker som media skriver om og at det offentlige viser at dette er noe som prioriteres på høyeste nivå.

Konsekvenser av manglende tiltak

Begrepet cybersikkerhet har eksistert en stund, men de siste årene har trusselen virkelig vokst. Angriperne blir stadig mer sofistikerte og det jobbes ofte samlet for å infiltrere kjente organisasjoner. Cyberkriminalitet har de siste årene blitt den største organiserte kriminalitetsformen i USA, og store verdier er tapt.

Mulige konsekvenser av manglende tiltak:

• Tapte inntekter
• Fallende aksjekurser
• Sviktende omdømme
• Manglende tillit i markedet
• Bøter
• Tap av konkurransefortrinn

Konsekvensen for organisasjoner som blir utsatt kan være enorme. Nedetid fører til tapt fortjeneste, skadet omdømme og misfornøyde kunder. Tap av sensitive data som personopplysninger er brudd på loven og fører til bøter og utbetalinger til berørte kunder.

For å beskytte sitt omdømme vil mange av virksomhetene som blir angrepet aldri innrømme at de har blitt rammet av hackere.

Det vil etterlate seg et inntrykk av et firma som ikke har kontroll internt og på det som kan være sensitive kundeopplysninger. Sony er et slikt eksempel. Selskapet har blitt utsatt for en rekke angrep de siste årene, blant annet er kundeopplysninger (passord lå i klartekst) og kredittkortopplysninger tappet og misbrukt. Ved et av angrepene benektet Sony i lengre tid at de var blitt utsatt for hacking, noe som gjorde bakmennene irriterte og utløste nye angrep. At Sony i første omgang ventet i ti dager før de fortalte brukerne hva som skjedde er en klassisk feil når det gjelder kommunikasjon.

Oppsummering

Cybersikkerhet må tas på alvor, og det er viktig at man i den enkelte virksomhet har en plan for hvordan man ønsker å tilnærme seg de utfordringene vi alle i større og større grad får i cyberspace. Det er som tidligere nevnt nok av konkrete eksempler på at dette i høyeste grad er reelle trusler, og at seriøse aktører ikke kan sitte stille og vente, men at man må starte tiltak for å sikre sine verdier mot de farene som tross alt er der ute.

En god strategi vil være å ligge i forkant av utviklingen slik at man har løsninger på utfordringer som kanskje i dag er et framtidsscenario, men som i morgen kan være høyst reelle trusler.  Finanstilsynets Risiko- og sårbarhetsanalyse for 2011 peker på at antall angrep mot norske nettbanker har økt betraktelig de siste to årene, og det som var sikkert nok i går, er ikke nødvendigvis sikkert nok i morgen. Norske banker har til nå klart å ligge i forkant ved å tilpasse seg og stadig komme med nye sikkerhetstilpasninger etter hvert som trusselbildet har endret seg, men både bankene og alle andre må i stadig større grad tenke på cybersikkerhet.

Og til sist kan man jo stille seg spørsmålet, hvilken bedriftsleder ønsker å måtte forklare aksjonærer og media at man ikke har kontroll på sikkerhet i egen virksomhet ved et eventuelt cyberangrep?

Kontakt oss

Per-Arthur Raastad Manager Enterprise Risk Services +47 412 01 257

Bjørn Jonassen Director Enterprise Risk Services +47 992 27 420

Siden ble sist oppdatert