Kronikk: Sikkerhetsvarsler – når de ut til næringslivet?

Fra Cybersikkerhetssenteret ved Cyberforsvaret på Jørstadmoen. Foto: Torbjørn Kjosvold / Forsvaret
– Virksomhetene har også et ansvar for å bidra til sikring av de digitale verdikjedene vi alle er avhengige av, sier Birgitte Førsund i Utsyn. Her fra Cybersikkerhetssenteret ved Cyberforsvaret på Jørstadmoen. (Foto: Torbjørn Kjosvold / Forsvaret)
– Hackingen av Stortinget denne høsten er et varsel til oss alle om hva som pågår i det digitale rom. Det har vært flere lignende angrep de siste månedene i Norge, ifølge nasjonal sikkerhetsmyndighet (NSM). Tidligere har myndighetene kommunisert at næringslivet utgjør et viktig bidrag for å oppnå et mer robust digitalt Norge. Men når «sikkerhetsvarsler» ut til næringslivet?

Vi nordmenn følger godt med på værmeldinger året rundt, og tilpasser oss deretter. Det gir oss info om å forebygge, forhindre uønskede hendelser for oss selv og andre, samt bidrar til økt felles sikkerhet.

Det samme gjelder dessverre ikke for digital sikkerhet. Vi burde egentlig tenke det samme her – at «sikkerhetsværmeldinger» bør følges med på året rundt, men alle gjør ikke det med samme iver.

Dette til tross for at det digitale trusselbildet vi alle må forholde oss til endrer seg nesten like fort som værmeldinger.

Denne høsten gjennomføres Øvelse Digital 2020 med fokus på «det nye totalforsvaret». Det norske næringslivet er tidligere uttalt å være en viktig bidragsyter i totalforsvaret, da de er eiere av det meste av den kritiske infrastrukturen det digitale Norge er avhengig av.

I tillegg har vi de åpne trusselvurderingene som kommer årlig fra de hemmelige tjenestene. Dette er eksempler på øvelse og tiltak som alene og samlet skal bidra til et mer robust og sikkert Norge – spesielt i det digitale rom.

Når imidlertid nevnte øvelse og «sikkerhetsvarslene» godt nok ut til næringslivet?

Regjeringen og sikkerhetsmyndighetene har eksempelvis via nasjonal strategi for digital sikkerhet som ble lansert i fjor, kommunisert at enhver virksomhet er ansvarlig for egen sikkerhet.

Med det har virksomhetene også et ansvar for å bidra til sikring av de digitale verdikjedene vi alle er avhengige av.

Det krever samtidig at alle har samme, oppdaterte situasjons- og trusselforståelse, og at denne er knyttet sammen med tilhørende forebyggende sikkerhetsarbeid og rapportering av hendelser til de rette myndigheter.

Næringslivet forstår ikke godt nok verken trusselbildet de bør forholde seg til, eller hvordan sikkerhetsmyndighetene er organisert i henhold til behovet for rapportering av hendelser.

En slik form for konsensus har vi ikke i næringslivet ifølge Mørketallsundersøkelsen 2020 som ble lansert av Næringslivets sikkerhetsråd (NSR) forrige måned.

Dette til tross for at de fleste norske næringslivsaktører ikke har mulighet til å drive egen etterretning – slik som eksempelvis store konsern som Telenor.

Norske næringslivsaktører er avhengige av sikkerhetsmyndighetene for å få et korrekt bilde av hva de skal beskytte seg mot i det digitale rom.

Mørketallsundersøkelsen, som baseres på et nasjonalt utvalg med hovedvekt av næringslivsaktører, viser til at de fleste sikkerhetsbrudd skyldes tilfeldigheter, uflaks og menneskelig feil.

Det indikerer at det er stor usikkerhet knyttet til en virksomhets evne til selv å avdekke, håndtere og vurdere både kostnadene og konsekvensene av sikkerhetshendelser.

Mørketallsundersøkelsen viser også i sin analyse til en vedvarende lav rapporteringsgrad av informasjonssikkerhetshendelser (dataangrep) til politi, banker og andre myndighetsorganer.

Samlet viser dette at virksomheter i næringslivet ikke forstår godt nok verken trusselbildet de bør forholde seg til, eller hvordan sikkerhetsmyndighetene er organisert i henhold til behovet for rapportering av hendelser.

Det er med andre ord et stort sprik mellom det til enhver tid gjeldende trusselbildet sikkerhetsmyndighetene sier vi bør forholde oss til, og hvordan næringslivet faktisk innretter seg.

Internet Organised Crime Threat Assessment (IOCTA) 2020 som hvert år utgis av Europol fremhever spesielt «sosial manipulering» som en av de største utfordringene vi står overfor innen cyberkriminalitet, og understreker at «cybercrime is an evolution, not a revolution».

Les også:

Videre poengteres det at informasjonsdeling er det aller viktigste i enhver strategisk, taktisk eller operativ respons på cyberkriminalitet, uavhengig av hva slags type cyberkriminalitet det er snakk om.

IOCTA bekrefter at mye av arbeidet knyttet til bedre sikkerhet i det digitale rom handler om kommunikasjon – eksempelvis «lukket kommunikasjon» for samarbeidsarenaer, og «åpen kommunikasjon» som er tilpasset for å forebygge.

Herunder også til bruk både internt for ansatte, ledelse og styret, samt eksternt for kunder, allianser, samarbeidsprosjekter, investorer og så videre.

Jo mer opptatt vi alle kan bli av «værvarselet for det digitale rom», jo bedre kan vi alle trygge det e-demokratiet vi er avhengige av. Men det krever at «værvarselet» for trusler i det digitale rom tilpasses bedre for næringslivet fremover.

Blir varselet for generelt og diffust, så blir det også vanskelig å omsette til riktig forebyggende handling – som igjen gjør at samfunnsverdien av «sikkerhetsvarselet» blir liten slik Mørketallsundersøkelsen indikerer.

Kanskje bør også sikkerhetsmyndighetene finne flere samarbeidsformer som inkluderer næringslivsaktører mer aktivt, uavhengig av størrelse og geografisk tilhørighet.

Det internasjonale aspektet er også viktig å få med i alt forebyggende arbeid for bedre digital sikkerhet. Derfor bør det også vurderes å tenke nytt og trekke inn de store plattformeierne som eksempelvis Facebook.

De besitter muligheten til raskt å tilpasse og segmentere varsler om hendelser som vi bør være oppmerksom på, og kan med det også bidra til å øke kompetansen om hvilken sikkerhetsmyndighet man skal rapportere til.

Denne formen for samarbeid vil igjen kunne gi et bedre rapporteringsgrunnlag fra næringslivet til sikkerhetsmyndighetene – dersom sikkerhetsmyndighetene også kan klare responshåndtering fra næringslivet bedre på sikt.

Når det varsles orkan via Yr, så gjør vi alle forebyggende tiltak for å hindre skade. Situasjonen er ikke den samme i det digitale rom. Men via et mer aktivt og gjensidig samarbeid mellom sikkerhetsmyndigheter og næringsliv kan sikkerhetsvarslene i det digitale rom nå enda bredere ut og med det bidra til den digitale robusthet vi trenger i dag og fremover.

Nøkkelord