Virksomheter prioriterer ikke det digitale sikkerhetsarbeidet tilstrekkelig

Risikobildet har blitt mer utfordrende og det er viktigere enn noe gang med godt forebyggende sikkerhetsarbeid, skriver informasjonssikkerhetskonsulent Elise Breivik Smebye på Computerworld.

Denne kommentaren ble første gang publisert på Computerworld 15. november 2021. Les kommentaren her.

I sin årlige rapport, «Nasjonalt Digitalt Risikobilde», skriver Nasjonal Sikkerhetsmyndighet («NSM») at for få virksomheter prioriterer digital sikkerhet tilstrekkkelig, og at det arbeidet som gjøres ofte ikke er nok. Vel og merke påpeker NSM at det også gjøres mye godt sikkerhetsarbeid nasjonalt, men dessverre er det er fortsatt en vei å gå.

Flere virksomheter mangler grunnleggende tiltak som gode passord policyer og multifaktorautentisering, noe som er essensielt for å beskytte seg selv og sine verdier mot digitale hendelser. Dette har vi også erfart gjennom forskjellige analyser gjennomført med kunder. Vi opplever at flere kunder i utgangspunktet først søker hjelp kun for å være kompatibel med lover som personopplysningsloven og standarder som ISO 27001, men som etter hvert gjennom arbeidet med oss forstår viktigheten av god digital sikkerhet og ser en verdi ut over det å være kompatibel.

Det er nødvendig med godt sikkerhetsarbeid i hele virksomheten, fra sikkerhetskultur på det menneskelige nivået til mer organisatoriske og tekniske tiltak. Dersom man ikke har et tilstrekkelig høyt sikkerhetsnivå på alle disse områdene, vil sårbarheter enkelt forplante seg til de områdene som ikke er tilstrekkelige sikret.

Mer avanserte angrepsmetoder

Angrepsmetodene har utviklet seg og blitt mer avansert. Tidligere var de fleste observerte angrep enkeltstående operasjoner rettet mot enkeltmål. Nå opplever vi en økning i operasjoner mot flere mål og på tvers av sektorer. Under pandemien har man også sett at angrepsmetodene har utviklet seg sammen med endringer i samfunnet.

Phishingangrep blir mer målrettet og trusselaktørene skjuler seg bak dagsaktuelle saker som COVID-19, i tillegg til man utnytter mer offentlig dokumentasjon tilgjengelig om ansatte for å spisse phishingangrepene inn mot virksomheter.

Dette er noe vi observerer hos flere av våre kunder, i tillegg til at flere har hatt en økning i antall phishingangrep sammenlignet med før COVID-19. I noen av angrepene har svindlerne utgitt seg for å komme fra et helseforetak eller helsemyndigheter for å utnytte seg av usikkerheten rundt gjeldende tiltak og vaksinering.

Teknologien som brukes i svindelforsøkene blir også mer avansert, noe vi ser vet at kundene våre mottar flere phishing e-poster da filtre og sikkerhetsmekanismer ikke klarer å fange de opp i like stor grad som før.

Nye og større sårbarhetsflater

Da hele Norge måtte på hjemmekontor, åpnet det seg flere nye sårbarhetsflater. Løsninger måtte raskt på plass for å tilpasses den nye hverdagen på hjemmekontor. Flere var ment som midlertidige løsninger, men har endt opp som permanente. Dette gjorde at sikkerheten i løsninger ikke nødvendigvis ble prioritert, da det var nødvendig å ta de raskt i bruk.

«Mange digitale løsninger kom på plass under pandemien. Digitale sårbarheter fulgte med på lasset.» -NSM.

Når man ser på sikkerheten i etterkant, og ikke samtidig som en tjeneste utvikles, blir det ofte mer krevende å påse at det er implementert tiltak mot alle mulige sårbarheter.

Med flere digitale løsninger og en omfattende økning i digitalisering og tjenesteutsetting, blir verdi- og leverandørkjedene lengre. Dette fører til større sårbarhetsflater og et økende krav til oversikt for å forsikre at tilstrekkelige digitale sikkerhetstiltak er implementert. Risikobildet preges av nulldagssårbarheter.

Utnyttelse av disse kan få globale ringvirkninger da det er krevende å ha full oversikt over sårbarheter som kan utnyttes i de lange verdikjedene. Dette kan påvirke operasjonell teknologi og industrielle kontrollsystemer, noe som igjen vil føre til alvorlige konsekvenser for kritiske samfunnsfunksjoner.

Vi må samarbeide om å håndtere digitale hendelser

For best å håndtere utfordringer knyttet til nye angrepsmetoder og sårbarhetsflater må vi samarbeide. Et samarbeid vil bidra til å sikre nasjonale interesser og oppnå et mer robust digitalt samfunn. Både et nasjonalt samarbeid på tvers av virksomheter i Norge, men også internasjonalt. Verdi- og leverandørkjedene strekker seg utenfor Norge, og et angrep på en bedrift utenfor landets grenser kan for eksempel føre til installasjon av bakdører hos virksomheter i Norge.

Det er derfor vesentlig at vi jobber sammen og på tvers av sektorer for å beskytte verdier og sammen håndtere digitale hendelser. Erfaring- og informasjonsdeling er viktig for styrke motstandsdyktigheten mot digitale trusler.

«Et robust digitalt samfunn oppnår vi når alle bidrar med å sikre sin egen virksomhet» - NSM

Risikobildet har blitt mer utfordrende og det er viktigere enn noe gang med godt forebyggende sikkerhetsarbeid. Virksomheter som ikke allerede har sikkerhet på agendaen, må starte nå, og sikkerhetsarbeidet må være forankret i styret. Det er der arbeidet begynner.

Vi erfarer at flere virksomheter trenger å begynne med et grunnleggende sikkerhetsarbeid. Noen kunder trenger også hjelp til å få gjennomslag hos ledergruppen og få dem til å forstå viktigheten av arbeid med digital sikkerhet. For virksomheter som har gjennomført lite arbeid med digital sikkerhet så er NSMs grunnprinsipper for IKT-sikkerhet et godt sted å begynne. Disse prinsippene er også en god sjekkliste for å se hvordan man ligger an og hva som gjenstår i sikkerhetsarbeidet for en virksomhet.

Dersom alle virksomheter følger disse, vil vi sammen klare å håndtere digitale hendelser bedre.