Gå til hovedinnhold

De viktigste trusselvurderingene - er dine egne

Hvert år publiserer Etterretnings- og sikkerhetstjenestene (EOS-tjenestene) risiko- og trusselvurderinger som gir et viktig overblikk over trussellandskapet.

Hvert år publiserer Etterretnings- og sikkerhetstjenestene (EOS-tjenestene) risiko- og trusselvurderinger som gir et viktig overblikk over trussellandskapet. Men er disse rapportene nok for norske virksomheter? Selv om de gir verdifull innsikt, er de ikke skreddersydd for hver enkelt virksomhets unike risikoer, sårbarheter og behov. For å beskytte kritiske verdier og tilpasse seg et stadig skiftende trusselbilde, bør virksomheter produsere sine egne trusselvurderinger. Men hvordan går man frem, og hvorfor er det så viktig?

 

EOS-tjenestene har nettopp publisert sine årlige risiko- og trusselvurderinger. Disse rapportene gir verdifull innsikt i hva EOS-tjenestene - Politiets Sikkerhetstjeneste (PST), Etterretningstjenesten (ETJ) og Nasjonal Sikkerhetsmyndighet (NSM) vurderer som forventet utvikling innenfor sine respektive ansvarsområder i året som kommer.

 

Risiko- og trusselvurderingene
 

Rapportene fra EOS-tjenestene (Etterretningstjenesten, Politiets sikkerhetstjeneste og Nasjonal sikkerhetsmyndighet) gir norske virksomheter verdifull innsikt i det nasjonale og internasjonale trussellandskapet, og hjelper virksomheter med å forstå aktuelle og fremtidige trusler som kan påvirke norske interesser.

 

Til tross for rapportenes grundige analyser og verdifulle innsikt, så vil de færreste virksomheter kunne benytte disse rapportene direkte inn i sitt sikkerhetsarbeid da de ikke er produsert med den enkelte virksomhets verdier og sårbarheter i fokus for analysene, og det er her virksomhetene selv må ta ansvar.

 

Behovet for egenproduserte trusselvurderinger

Risiko- og trusselvurderingene danner dermed et godt grunnlag for videre arbeid med å forstå trussellandskapet og hvilke risikoer virksomheten kan stå overfor. Det er likevel viktig å understreke at disse rapportene er generelle og ikke nødvendigvis tar hensyn til bransjespesifikke eller virksomhetsspesifikke trusler. De kan være for brede og strategiske, mens virksomheter ofte trenger operasjonell eller taktisk etterretning. I tillegg er det en tidsforsinkelse i rapportene, mens virksomheter trenger sanntidsvurderinger som reflekterer dagens virkelighet.  

EOS-tjenestene anbefaler hva norske virksomheter bør gjøre for å få bedre forståelse for trussellandskapet og hvilke risikoer de står overfor.

 

Slik kan du gå frem, med rapportene som grunnlag, for å produsere egne trusselvurderinger:

Identifisere egne verdier og sårbarheter

Først må kritiske verdier og sårbarheter identifiseres. Dette gjøres ved å kartlegge de 

mest kritiske ressursene, dataene, systemene og prosessene som er essensielle for operasjonene. For å identifisere sårbarheter, gjennomfører man en grundig vurdering av teknologiske svakheter, organisatoriske mangler og menneskelige faktorer som kan utnyttes av trusselaktører. 

Når virksomheten har oversikt over sine egne verdier og sårbarheter er det mulig å definere spesifikke informasjonsbehov, og innhente relevant informasjon fra pålitelige kilder. 

 

Innhenting av relevant informasjon
 

En virksomhet bør innhente og verifisere informasjon ved å overvåke relevante informasjonskilder som bransjerapporter, sikkerhetsvarsler, nyheter og etterretningsrapporter fra pålitelige leverandører. I tillegg kan virksomheten samarbeide med eksterne eksperter og myndigheter for tilgang til oppdatert og spesifikk informasjon om trusselaktører og deres metoder.

Grunnet det raskt utviklende trussellandskapet er det også lurt å følge med på oppdukkende mikrotrender. Selv om informasjon om tidligere hendelser og angrepsmetoder er verdifull, er de ikke nødvendigvis pålitelige indikatorer for fremtidige angrep.

 

Bearbeiding og analyse

Ved å bearbeide og analysere innhentet informasjon, kan virksomheten utvikle etterretning som gir beslutningsstøtte for å beskytte sine verdier. Slik sikrer man informerte beslutninger om sikkerhetstiltak og proaktivt håndtere risikoer. 

Vi anbefaler å bruke etablerte etterretningsmetoder som strukturerte analyseteknikker (SAT). Disse sikrer en systematisk og objektiv tilnærming til analyse, og gir bedre grunnlag for kritisk tenkning, samtidig som risikoen for bias og feil reduseres. Disse metodene hjelper med å strukturere informasjonen, identifisere mønstre og trender, og gir et solid grunnlag for å ta informerte beslutninger basert på pålitelig etterretning. 

 

Viktigheten av å produsere egne trusselvurderinger

Dynamisk og komplekst trussellandskap

En av de viktigste grunnene til at virksomheter bør produsere sine egne trusselvurderinger er at trussellandskapet endres kontinuerlig. Egenproduserte trusselvurderinger gjør det mulig for virksomheter å tilpasse seg nye trusler og sårbarheter raskt, og dermed opprettholde et robust sikkerhetsnivå i virksomheten. For eksempel kan en virksomhet som opererer i en bransje med høy risiko for cyberangrep, raskt tilpasse sine sikkerhetstiltak basert på de nyeste trusselvurderingene. 

 

 

 

Etterlevelse av regulatoriske krav

I tillegg stilles det flere regulatoriske krav fra for eksempel DORA, NIS2 og Cybersecurity Act, til at virksomheter implementerer risikovurderinger og sikkerhetstiltak basert på trusseletterretning for å beskytte data og systemer.  

Som eksempel bør et helseforetak produsere egne trusselvurderinger for å etterleve regulatoriske krav som GDPR og NIS2. Dette gjøres ved å identifisere kritiske verdier, eksempelvis pasientdata og medisinske systemer, samt sårbarheter IT-infrastrukturen. Ved å produsere egne trusselvurderinger, kan helseforetaket tilpasse sikkerhetstiltakene for å beskytte sensitive data, sikre kontinuitet i helsetjenestene, og samtidig oppfylle kravene til risikovurdering, hendelsesrapportering og samarbeid med nasjonale myndigheter. 

 

 

 

Økt bevissthet og kultur

Arbeidet med egne trusselvurderinger øker bevisstheten om sikkerhetstrusler blant ansatte og fremmer en kultur for sikkerhet i organisasjonen. Dette kan føre til bedre etterlevelse av sikkerhetsprotokoller, og en mer sikkerhetsbevisst arbeidsstyrke. Regelmessige opplæringsprogrammer og simuleringer av sikkerhetshendelser kan også bidra til å styrke denne kulturen.

 

 

 

Kostnadseffektivitet

Ved å identifisere og adressere trusler tidlig, kan virksomheter unngå kostbare sikkerhetshendelser og datainnbrudd. Dette kan spare betydelige ressurser og beskytte virksomhetens omdømme. For eksempel kan kostnadene forbundet med datainnbrudd, inkludert tap av kundetillit og juridiske bøter, være langt høyere enn kostnadene ved å gjennomføre regelmessige trusselvurderinger og implementere nødvendige sikkerhetstiltak.

 

 

 

Trusselvurderinger som en strategisk forretningsfordel

 
  1. Å produsere egne trusselvurderinger handler ikke bare om sikkerhet; det er en strategisk investering som kan gi virksomheten en konkurransefordel. Ved å forstå trusler og risikoer bedre enn konkurrentene, kan du lettere ta informerte beslutninger, beskytte kritiske verdier og styrke selskapets markedsposisjon.   
  2. En god trusselvurdering gir ikke bare innsikt i cybertrusler, men kan også avdekke økonomiske og operasjonelle risikoer, slik at ledelsen kan handle proaktivt. En bedrift som identifiserer økt risiko for leverandørangrep eller regulatoriske endringer, kan raskt tilpasse seg og redusere potensielle tap.
  3. Trusselvurderinger kan bidra til økt kundetillit. Kunder og partnere foretrekker å jobbe med virksomheter som tar sikkerhet på alvor og kan dokumentere hvordan de beskytter data og systemer. Dette kan være en avgjørende faktor ved kontraktsforhandlinger og i samsvar med krav som DORA, NIS2 og GDPR.   

Kort sagt: En virksomhet som investerer i trusselvurderinger, investerer ikke bare i sikkerhet – men også i fremtidig vekst, stabilitet og konkurransekraft. 

Spørsmålet er ikke om du bør gjøre det – men når du starter. 

Lurer du på mer rundt hvordan man kan dra nytte av EOS-tjenestenes trussel- og risikovurderinger, eller ønsker du hjelp til å kunne produsere egne trusselvurderinger? 

Deloitte er et av Norges og Europas ledende selskaper innen etterretning og sikkerhet. Vi tilbyr et omfattende spekter av tjenester innen cybersikkerhet, risikostyring og etterretning, og hjelper organisasjoner med å beskytte sine eiendeler, håndtere risikoer og respondere på sikkerhetstrusler.

 

Ta kontakt, så hjelper vi deg med dine sikkerhetsbehov. 

Var dette nyttig?

Takk for din tilbakemelding