Ber norske selskap ta IT-sikkerhet på alvor

Flere norske selskap nedskalerer bemanningen på IT-sikkerhet. Det kan potensielt få store, samfunnsmessige konsekvenser, mener Ingvald Thuen, sjefskonsulent i Experis.

1.oktober gikk startskuddet for Nasjonal Sikkerhetsmåned 2021. Dette er en årlig kampanje med formål å øke kompetansen og bevisstheten omkring IT-sikkerhet hos næringslivet, det offentlige og media. Målsettingen er å skape en sikrere digital hverdag for alle.

Ta IT-sikkerhet på alvor

Nasjonal Sikkerhetsmåned koordineres av Norsk senter for informasjonssikring (NorSIS), på vegne av Justis- og Beredskapsdepartementet, og i 2021 er temaet en «En trygg digital hverdag».

Viktig tematikk
Sjefskonsulent for IT-sikkerhet i Experis, Ingvald Thuen, har bakgrunn fra Forsvarets enhet for elektronisk krigføring, politiet og PST. Han har også bistått Scotland Yard ved flere anledning, og jobber i dag med sikkerhetsberedskap for flere norske selskaper med samfunnskritisk funksjon. Han er glad for tematikken settes på dagsorden.

– Den digitale utviklingen går utrolig fort, og vi ser dessverre at mange selskaper nedskalerer sikkerhetsbemanningen. Det kan få store konsekvenser. Det er billigere å gjøre proaktive tiltak fremfor å drive brannslukning når en krise inntreffer, sier Thuen.

De siste årene har det vært større angrep mot blant Stortinget, Norsk Hydro og Østre Toten kommune. I det sistnevnte tilfellet ble personopplysninger stjålet og lagt ut på det mørke nettet.

– Vi opplever at selv små norske, kommuner er et mål for sofistikerte angrep fra hackere. Det er ikke lenger slik at det bare er store, internasjonale selskap som må ta sikkerheten på alvor.

Ønsker bevisstgjøring
Thuen trekker frem Norsk Hydro og Østre Toten på eksempler som viser at datasikkerheten og bevisstheten blant norske selskap og ansatte er for dårlig. Nå mener han det er på tide med en bevisstgjøring av konsekvensene ved dataangrep, og viser til fremveksten av Supply Chain-angrep de siste årene.

Slik kan hackere kan komme seg på innsiden ved å utnytte svakheter i sikkerhetssystemene til kunder eller leverandører, og gjøre selv de mest sofistikerte sikkerhetssystemer sårbare mot angrep. Det som tidligere var et angrep mot en enkeltstående bedrift, kan i dag få konsekvenser for en rekke selskap og tusenvis av ansatte.

– Fra 2020 til 2021 er det registrert 24 Supply Chain-angrep. Mange kan bli påvirket av et slikt angrep – både kunder, brukere og leverandører. I tillegg er det trolig store mørketall, sier han.

Thuen trekker frem at norske selskap, både store og små, kan være hacket uten å være klar over det selv. Erfaringer fra de siste årene viser at det kan være utfordrende å redegjøre for hvor lenge hackerne har vært på innsiden før de blir oppdaget.

– Vi vet for eksempel ikke nøyaktig hvor lenge Stortinget var komprimert før det ble oppdaget, sier Thuen.

Ber ansatte være på jakt
 
Tall fra 2019 viser at nordmenn i snitt hadde 22 installerte apper på smarttelefonen, i tillegg til de allerede forhåndsinnstallerte appene.

– Flere apper betyr flere kontaktpunkter for potensielle angrep, og viser at det bør stilles langt høyere krav til sikkerheten internt i bedrifter. En bedrifts IT-sikkerhet er ikke sterkere enn sitt svakeste ledd, sier han.

Som konsekvens etterlyser sikkerhetseksperten derfor bedre opplæring og mer kunnskapsheving blant de ansatte i norske bedrifter.

– Jo flere digitale enheter, jo større er mulighetene for å bli komprimert. Og når hackere først er på innsiden, kan de komme langt inn i systemet før de blir oppdaget, sier Thuen og ber norske ansatte tenke gjennom om de virkelig trenger alle applikasjonene de har installert på telefonene sine.

Digital sikkerhet står sentralt i tjenestene Experis leverer, og selskapet tilbyr en rekke sikkerhetstjenester for store og små bedrifter. Dette innebærer blant annet rådgivning, kurs, testing og overvåkning av IT-sikkerhetssystemene. Gjennom Experis Secure Foundation 365 og Experis Secure Supply Chain tilbyr selskapet også overvåkning og evaluering, samt kartlegging og kvalitetssikring av underleverandører.