top of page
Search

Cyber-trusler, digitalisering, NIS2 etc

posts@opensky
Feb 207 min read

stein@opensky


Her er nok et innlegg på norsk (for English, try Google translate) – siden dette er et viktig tema i tiden i flere sammenhenger. De ulike norske sikkerhetsmyndighetene la nylig fram en oppdatering på det årlige trusselbildet (se f.eks Risiko 2025) og den norske Regjeringen la også nylig fram Totalberedskapsmeldingen, der alle, inkludert Staten, personer og selskaper, blir gitt en rekke råd ift sin beredskap. Nå har flere aktører kommentert at forslaget til totalberedskap er for dårlig, f.eks IKT Norge via en av mine gamle kollegaer, men det er bra at det er fokus på dette.

 

Riktignok er vi i usikre tider ift krigen i Ukraina, trusselen fra øst og vår egen forsvarsevne i Norge, men jeg skal ikke gå inn på forsvarsproblematikk, NATO og USA – og heller ikke på personlig beredskap ift forsyningslagre av vann og mat osv - men vil heller fokusere på sikkerhet og beredskap på cyber-området – noe jeg har hatt en viss involvering med i et par sammenhenger.

 

For et par år siden så la jeg ut en artikkel på opensky.no (Are you cyber secure?), som henviser til økende cyber-trusler, risikoen for hendelser, hva som kan være konsekvensen av slike og kommentarer rundt en systematisk approach til hvordan man bør forholde seg. Mye av det samme gjelder i dag – bortsett fra at trusselbildet har fortsatt å øke.

 

Typer av trusler og hva kan bli konsekvensene?

 

Mye av dette er allerede beskrevet i min gamle artikkel over, men det dreier seg generelt om ulike former for tekniske angrep eller sosial manipulasjon av personer – og konsekvensene kan potensielt bli veldig store. Et selskap kan miste tilgang til alle sine data, data kan bli endret på eller manipulert, personlige data kan komme på avveie, selskapet elller selskapets kunder kan bli utsatt for svindel, IT-systemene kan slutte å virke eller den totale kundedatabasen blir borte eller stjålet. Til syvende og sist kan selskapet tape masse penger eller gå konkurs - evt bli utsatt for veldig store bøter.

 

Trusselaktørene kan være av mange ulike slag. Noen kan hacke selskapet kun for moro skyld, andre kan kreve løsepenger for å få tilbake aksess til data eller systemer – og i enkelte tilfeller er dette systematiske forsøk på spionasje eller for destabilisering av samfunnet.

 

Digital transformasjon øker risikoen

 

Digitalisering er noe de fleste selskaper jobber med i dag, både for effektivisering, for samfunnet og for klimaet (se også  mine tidligere artikler om digitalization og digitalization for climate). I et mer politisk sammenheng så la jeg også nylig ut denne om taking the digital lead rundt det geo-politiske kappløpet om teknologilederskap. Digitalisering er bra, men alle systemer skal i dag på internett, veldig mange ansatte i bedrifter har hjemmekontor og bruker standard mobiltelefoner for aksess til selskapets email-systemer og kritiske applikasjoner. Oppsummert betyr dette at digitalisering øker riskoen for cyber-hendelser og at det blir desto viktigere å ha en gjennomtenkt og strukturert tilnærming til beredskap og håndtering av cyber-trusler og -risiko.

 

Security management

 

Som utbrodert noe i min gamle artikkel, så er selskaper anbefalt å implementere et system (prosess) for «security management». Dette er en ganske standard metode for risikohåndtering og som brukes også i mange andre (ikke-cyber-relaterte) sammenhenger ved bruk av «Management-systemer». Disse er anerkjent og etablert i form av ISO-standarder eller lignende, som f.eks ISO 27001 for cyber-sikkerhet. Oppsummert så betyr dette at:

 

  • Selskapet må analysere trusler og risiki (sannsynlighet og konsekvens) de ser for seg ift sin virksomhet  – og planlegge hva de evt ønsker å gjøre for å mitigere disse (og dette varierer fra selskap til selskap). Slike planer for mitigasjon kan være av teknisk art (f.eks aksess-kontroll, firewalls, backup-rutiner etc) eller organisatorisk (f.eks opplæring).

  • Avhengig av selskapets størrelse, så må det enten lages policy’er eller det må i det minste defineres en systematisk approach for security management (og det må være dokumentert). Det finnes også en del lovkrav de må forholde seg til (som f.eks NIS2) under.

  • Noen må ha ansvar for cyber-sikkerhet i selskapet.

  • Selskapet må planlegge for håndtering og gjenoppretting ifm evt hendelser – og noe kommer nok til å skje før eller siden. Kanskje har det allerede skjedd men man vet ikke om det? ... og så må man sørge for å lære av det.

  • Sist men ikke minst så er det viktig at ledelsen i selskapet (også styret) har fokus på cyber-sikkerhet og følger dette opp jevnlig.

  • Management-systemer er basert på prinsippet om kontinuerlig forbedring – som betyr at man aldri kan garantere at det ikke blir noen hendelser i framtiden, men heller at selskapet kan si (og dokumentere) at de jobber systematisk med problemstilllingen.

 

I min tidligere karriere, så har jeg drevet med implementering av ulike Management-systemer i organisasjonen, som f.eks OHSAS 18001 for HMS, ISO 14001 på miljø og ISO 27001 på cyber-sikkerhet. Temaet kan være ulikt men prosessen er veldig mye den samme rundt prinsippene over.

 

NIS2 og krav til norske selskaper

 

Siden bevisstheten rundt cyber-sikkerhet har vært økende i noen år, så kom EU i 2016 med sitt direktiv om Network and Information Systems (NIS) og i 2022 så kom oppfølgeren NIS2 – som nok vil implementeres som lov i Norge i løpet av det nærmeste året. NIS2 er strengere enn NIS1 og vil gjelde flere virksomheter – og det stilles også krav om digital sikkerhet i leverandørkjeden. NIS2 er i hovedsak Management System-basert, dvs at det er basert på risikoanalyse og at alle risikoer skal vurderes og håndteres – også ifm underleverandører. Det kreves også rapportering.

 

NIS2 er en reaksjon på et stadig økende trusselnivå – samtidig som samfunnet har blitt mer avhengig av digital infrastruktur. NIS2 omfatter de fleste sektorer og det meste som har med digital infrastruktur å gjøre – som datanettverk, skytjenester, datasentre, teleoperatører, tech-selskaper, produsenter av digitale produkter osv. Generelt så omfattes middels og store selskaper i denne sektoren – men siden også leverandørkjeden omfattes, så vil nok også veldig mange mindre selskaper påvirkes. Det betyr også at selskaper må forholde seg til og stille krav til underleverandører – også i utlandet (som nok kan være vanskelig – spesielt innen digital sektor).

 

Jeg skal ikke gå i større detalj om NIS2. Det er mange advokatfirmaer og konsulentselskaper som ønsker å selge kurs og opplæring på dette. Prinsippene i NIS2 om å ta kravene videre til leverandørkjeden er ikke nye, men de er nye ift cyber-sikkerhet. I min tidligere karriere (lenge før Åpenhetsloven kom til Norge) så hadde jeg ansvar for å implementere «supply chain sustainability», også kalt «responsible supply chain management», i Telenor-konsernet. Temaet er ulikt, men problemstilling og metodikk er i prinsippet de samme – selv om det kan variere stort fra selskap til selskap rundt hvordan og hvor grundig man velger å angripe det. Se også denne tidligere artikkelen om «from crisis to asset».

 

Hvem trenger å forholde seg til cyber-sikkerhet?

 

Kort fortalt, alle trenger å forholde seg til det. Myndighetene tilbyr samfunnskritiske og andre tjenester til innbyggerne – og må forholde seg til NIS2. Vi har for ikek lenge siden hatt eksempler på at f.eks Stortinget har vært utsatt for dataangrep et par ganger og på Toten mistet de tilgang til alle kundedata for et par år siden. Store og mellomstore selskaper må forholde seg til NIS2 og mindre selskaper kan også få krav om dette. I dagens usikre verden med krig og kriser i våre nærområder så er det også ikke usannsynlig at noen kan ønske å sette kritisk infrastruktur ut av drift eller å destabilise samfunnet på en eller annen måte.

 

Ift NIS2 og også ift implementering av et Management-system generelt så er det slik at dette må tilpasses selskapets virksomhet og størrelse. I alle fall så er det slik at alle selskaper (også SMB) må forholde seg til det og vil trenge utvidet digital kompetanse både generelt og på cyber-sikkerhert.

 

I tillegg til at NIS2 vil påvirke de fleste som driver med en eller annen form for digital infrastruktur eller digitale tjenester, så sier Totalberedskapsmeldingen som ble publisert tidligere i år sier ganske enkelt at «Alle må bidra. Totalberedskapsmeldingen handler ikke om en enkelt sektor, men inneholder tiltak som berører hver enkelt av oss, offentlig sektor, næringslivet og alle sektorer.»

 

Ansvaret ligger på toppen

 

De siste årene så har det blitt etablert at det er noen temaer som ethvert styre i et stort eller lite selskap må forholde seg til – siden styret til syvende og sist er ansvarlig for selskapets virksomhet. Dette er f.eks temaer som bærekraft og teknologi – og også cyber-sikkerhet og krisehåndtering. Åpenhetsloven stiller allerede krav til grunnleggende menneskerettigheter og anstendige arbeidsforhold og inkluderer leverandørkjeden – og NIS2 gjør mye av det samme for cyber-sikkerhet.

 

Iht standard praksis ifm Management-systemer så er det et poeng at ledelsen og styret må følge opp jevnlig. Iht NIS2 som vil bli lovpålagt, så er dette ikke bare dersom selskapet velger å implementere et (generelt frivillig) Management-system, men det vil derimot bli et krav – og styret og ledelsen vil bli holdt ansvarlig – kanskje også med erstatningsansvar.

 

Oppsummert

 

Cyber-sikkerhet og -beredskap er viktige temaer i tiden – ikke bare pga usikre tider rent geopolitisk, men fordi trusselbildet generelt for data-angrep og hacking øker år for år. Dette kan involvere ulike former for tekniske angrep eller sosial manipulasjon av personer – og konsekvensene for et selskap kan potensielt bli veldig store – i verste fall store økonomiske tap eller konkurs. Det er derfor viktig at alle selskaper, store og små, har en bevisst plan rundt cyber-trusler og hvordan de forholder seg til disse.

 

Digitalisering gjør dette enda viktigere. Digitalisering er bra, men digitalisering øker også riskoen for cyber-hendelser og at det blir desto viktigere å ha en systematisk metodikk for beredskap og håndtering av cyber-trusler og -risiko.

 

NIS2 vil implementeres som lov i Norge i løpet av det neste året og stiller krav til de fleste sektorer og det meste som har med digital infrastruktur å gjøre. NIS2 er Management System-basert og det stilles også krav om digital sikkerhet i leverandørkjeden.

 

Alle selskaper (og alle styrer) trenger å forholde seg til NIS2 og cyber-sikkerhet i nærmeste framtid og bør derfor tilegne seg  kompetanse på området og planlegge med det.

 

Opensky Consulting har erfaring med cyber-sikkerhet og med implementering av Management-systemer - og også på implementering mot leverandørkjeden. Dette er riktignok fra et stort konsern med mange forretningsområder og geografier, men prinsippene er de samme og for SMB burde det være fullt mulig å forenkle og tilpasse etter selskapets størrelse og behov. Vi har også i flere omganger holdt presentasjoner for styremedlemmer ift cyber-sikkerhet – noe som selvfølgelig kan gjentas på forespørsel.

 
 
 

Comments

© 2019 by OpenSky Consulting AS.

bottom of page