Artikler

Digitalisering på høygir krever strategi for sikkerhet

Onsdag 30. januar lanserer regjeringen sin strategi for nasjonal digital sikkerhet. Det er på høy tid for tilliten til den digitale økonomien er lav og fallende. Håpet er at regjeringens nye nasjonale strategi er så tydelig at den gir en klar marsjordre til ledere i både offentlig og privat sektor.

Den sviktende tilliten til den digitale økonomien framkommer i en undersøkelse Accenture har gjennomført blant 1700 internasjonale toppledere og 30 teknologiledere. Funnene er gjengitt i rapporten «Securing the digital Economy – Reinventing the internet for trust».

I følge rapporten vil mangelen på sikkerhet koste privat sektor alene ufattelige 5,2 trillioner amerikanske dollar, det vil si 5,2 tusen milliarder dollar, i tapt verdiskapning i årene fram til og med 2023. Beløpet er astronomisk, og tilsvarer like mye som økonomiene til Frankrike, Italia og Spania til sammen, eller fem prosent av verdens BNP.

Norge ingen fredet øy

Noen vil sikkert innvende at vi i Norge er bedre rustet, men det digitale nettverket kjenner ingen nasjonale grenser. Det er heller ingen tvil om at vi står overfor mange av de samme sikkerhetsproblemene. Utviklingen av nye digitale løsninger og digitale forretningsmodeller går raskt.  I 2007 var det 2 milliarder internettbrukere i verden. Dette tallet var fordoblet 5 år senere. Mobil internettbruk har eksplodert. I 2024 forventer man at LTE/4G vil dekke hele 90% av jordas befolkning og 40% vil ha 5G-dekning. Det siste er en teknologi som ikke en gang er kommersielt lansert.

Det er betenkelig at Nikolai Astrup har fått et bredt mandat for digitalisering, men hvor ansvaret for cybersikkerhet er lagt til et annet departement

Krokodillegapet

I dette racet er cybersikkerheten blitt den tapende part. Gapet mellom nye digitale løsninger og forretningsmodeller på den ene side og cybersikkerhet på den andre er blitt større. Det er som et voksende krokodillegap. Topplederne i Accentures undersøkelse er klar over problemet og uttrykker frustrasjon over at de selv i stigende grad tar i bruk nye digitale løsninger og forretningsmodeller uten at sikkerheten er på plass. De er rett og slett ikke sikre på hvordan de skal reagere. Sikkerhetsutfordringene er altfor omfattende selv for store globale selskap.

I denne sammenheng er det betenkelig at Nikolai Astrup har fått et bredt mandat for digitalisering, men hvor ansvaret for cybersikkerhet er lagt til et annet departement. Astrup og ministeren for samfunnssikkerhet, Ingvil Smines Tybring-Gjedde har et felles ansvar for at krokodillegapet kommer under kontroll ved digitaliseringen av offentlig sektor.

Hva ellers kan regjeringen gjøre?

Foruten å sikre god koordinering mellom digitaliserings- og sikkerhetsministeren, bør regjeringen introdusere en strategi der de sørger for at offentlig sektor tar cybersikkerhet på alvor og introduserer klare styringssystemer (governace) for håndtering av cybersikkerhet i offentlige virksomheter. Dette innebærer blant annet å gjøre cybersikkerhet til et topplederansvar og et ansvar for styrene i statlige og kommunale virksomheter.

Styringssystemet må følges opp med konkrete råd om hva som forventes av virksomhetene. Hva et styre eller en toppledelse skal etterspørre og føre kontroll med i egen organisasjon.

Offentlig – privat samarbeid

Konkurrenter må kunne konkurrere i markedet, men samarbeide om å beskytte seg og sine kunder mot cyberkriminelle

Det bør videre legges opp til et bredt samarbeid i næringslivet og mellom næringslivet og det offentlige. Her er deling av informasjon om alvorlige angrep og innbrudd spesielt viktig. Konkurrenter må kunne konkurrere i markedet, men samarbeide om å beskytte seg og sine kunder mot cyberkriminelle.

I tillegg blir det viktig for regjeringen å jobbe internasjonalt for utvikling av løsninger og i andre samarbeidsorgan som kan begrense og etterforske cyberkriminalitet. World Economic Forum har allerede tatt et viktig initiativ her. Offentlige og private virksomheter må oppmuntres til å jobbe sammen med en gang problemer dukker opp.

Lover og forskrifter er selvsagt viktig, men den digitale utviklingen går raskere enn det som er mulig å håndtere via tradisjonelle politiske styringsverktøy.

Av: Erik Nord og Jørn Bremtun

Innlegget ble publisert på digi.no 29. januar 2019.

Dine helsedata er hackernes favoritt

Dine finansdata er som regel verdiløse den dagen du oppdager at du er blitt svindlet. Men helsedata har evig liv.

Var tyveriet av helsedata fra Helse Sør-Øst et enkeltstående tilfelle, eller er det en del av en internasjonal trend? 

En global oversikt fra sikkerhetsfirmaet Gemalto viser at helsedata nå er blitt det mest attraktive målet for hacking og cyberangrep.

Hackere kan stjele informasjon som handler om alt fra din p-pillebruk, informasjon om bestefars leddgikt, bestemors grønne stær og opplysninger om eventuelle nevroser.

Deretter kan informasjonen selges for oppfølging fra telefonselgere fra ulike pille- og helsekostprodusenter. I tillegg kan etterretningsorganisasjoner skaffe seg detaljert oversikt over sensitive helsedata om enkeltpersoner, som kan utnyttes til utpressing eller ved en eventuell væpnet konflikt.

Verdifull informasjon

Hva er årsaken til at helsedata er i skuddet hos hackere og datakriminelle? Hvorfor skulle noen ønske å tilegne seg helsedataene om et par millioner norske barn, kvinner og menn hos Helse Sør-Øst?

Årsaken er trolig at dataene er svært verdifulle, både for kriminelle og for nasjonale etterretningsaktører. I tillegg har sikkerhetsnivået i Norge, og internasjonalt, ikke har vært på topp.

Dine helsedata kan ha tilnærmet evig liv.

Opplysningene fra helseregistre omfatter personnummer, adresse, e-postadresse, telefonnummer, diagnose, behandlingsoversikt, oversikt over medikamentbruk og hvem som er pårørende.

Hos forsikringsselskapene kommer i tillegg privat kontoinformasjon, informasjon om utbetaling av erstatning og informasjon om krav som er til behandling.

Det er grunn til å spørre om helseinstitusjoner og de som tilbyr helseforsikring har vært klar over verdien av dataene de forvalter. Videre bør man spørre om de er godt nok forberedt til å håndtere det økte trusselnivået i fremtiden.

Verre enn finansdata

Samlet sett inneholder helseregistrene og oversiktene til forsikringsselskapene mye mer informasjon enn det som fremkommer hos banker og kredittkortselskaper. Dataene har trolig også lenger levetid.

Dine finansdata er som regel verdiløse den dagen du oppdager at du er blitt svindlet. Da blir kredittkortet sperret eller kontoen avviklet. Dine helsedata derimot kan ha tilnærmet evig liv. Helsedataene kan brukes til å lage falsk ID, forsikrings- og trygdesvindel og til rene etterretningsformål.

Dataene blir også solgt via det svarte nettet, og kan bli benyttet til markedsføring av et utall medikamenter og kosttilskudd med tvilsom medisinsk effekt.

Det er sannsynlig at flere tilsvarende datainnbrudd vil bli oppdaget i tiden fremover.

Hackernes økte fokus på dine og mine helsedata framkommer i en halvårlig global datainnbruddsindeks. Ifølge indeksen ble mer enn 4,5 milliarder data kompromittert i løpet av de seks første månedene i år. Det tilsvarer 291 data i gjennomsnitt hvert sekund.

Hele 27 prosent av datainnbruddene var rettet mot helseinstitusjoner, eller de selskapene som betaler for helsehjelp. Helsedata utkonkurrerte både angrep mot finansinstitusjoner og varehandel som hackernes angrepsmål nummer en.

Økt sikkerhet

I USA ble det nylig oppdaget datainnbrudd hos helseforsikringskonseptet Excellus Blue Cross Blue Shield. Som følge av datainnbruddet kan personlig helseinformasjon om 10 millioner enkeltpersoner være på avveie.

Tilsvarende innbrudd er også registret flere steder i USA og i Europa de senere årene. Noen av innbruddene har skjedd flere år tilbake i tid, men først blitt oppdaget nå som følge av en grundig gjennomgang av datasikkerheten.

Ifølge sikkerhetseksperter er det sannsynlig at flere tilsvarende datainnbrudd blir oppdaget i tiden fremover.

De mange innbruddene vil blant annet få flere helseinstitusjoner og de som betaler for helsebehandling til å foreta en grundigere sjekk av sin egen IKT-infrastruktur.

Hackernes økte fokus på helsedata bør også få helsemyndighetene til å sette klarere regler for hvordan dine og mine helsedata oppbevares. I tillegg bør de gjennomføre hyppigere kontroller med sykehus og andre helseinstitusjoner.

Av: Erik Nord og Jørn Bremtun

Artikkelen ble også publisert på NRK Ytring den 22. oktober 2018.

Stopp aksjehandelen – selskapet er under cyberangrep

Børsnoterte selskaper må sette cybersikkerhet på styre- og ledelsesagendaen. Forståelsen av risiko og konsekvenser av hendelser er avgjørende for å oppfylle informasjonsplikten i samsvar med verdipapirhandellovens bestemmelser.

Cyberangrep og datakriminalitet kan stenge ned hele virksomheter og forårsake enorme økonomiske tap, utløse bøter og erstatningskrav og ha betydelig negativ effekt for omdømme.

Avdekker en børsnotert virksomhet forhold som kan tyde på at cyberangrep er på gang kan dette utløse informasjonsplikt etter Verdipapirhandellovens bestemmelser om innsideinformasjon.

I praksis vil virksomheter møte noen store dilemmaer i en slik situasjon. Det er for eksempel ikke sikkert at hverken virksomheten eller dens eiere er tjent med at informasjon om inntrengere offentliggjøres. Offentliggjøring kan eskalere situasjonen, og gjøre det vanskelig for IKT- og sikkerhetsekspertise å løse utfordringen, det vil si forhindre inntrengeren å gjøre (mer) skade eller få tilgang til kritisk informasjon. Et annet element som kan kreve tid er å identifisere hvem angriperen er og således sikre spor til en eventuell etterforskning.

Ansees risikoen for skade for overhengende er det likevel på det rene at virksomheten og dens ledelse er i besittelse av innsideinformasjon. Handel i egne verdipapirer er dermed ulovlig. Et stort nedsalg før et alvorlig cyberangrep kan åpenbart tolkes i retning av ulovlig innsidehandel.

Den norske verdipapirhandellovensbestemmelser er ikke spesifikke på cyberangrep. Amerikanske børsmyndigheter (SEC) har derimot funnet det nødvendig å være mer spesifikk når det gjelder rapporteringsplikter ved cyberangrep. 26. februar i år publiserte SEC retningslinjer for håndtering av cybersikkerhet. Den slår fast tre vesentlige forhold.

For det første faller cyberangrep og uønskede IKT-hendelser inn under informasjonsplikten. For det andre erkjenner SEC dilemmaet knyttet til offentliggjøring, men da påhviler det likevel selskapet å følge de retningslinjene som gjelder for handel basert på innsideinformasjon. Personer som er kjent med at et angrep pågår eller er under oppseiling kan ikke handle i verdipapirene. For tredje mener SEC at cyberrisiko er et forhold som virksomheter regelmessig må rapportere om. Både hendelser som har vært i egen virksomhet og i nærliggende relasjoner, for eksempel hos kunder eller samarbeidspartnere, skal det gis informasjon om i en risikokontekst. Dette skal sikre at investorer og marked til enhver tid har et best mulig bilde av hvilken selskapsspesifikk risiko et kjøp av aksjer i selskapet kan innebære.

Børsnoterte selskaper bør derfor i beredskaps- og kriseplaner ha tenkt igjennom hvordan ulike scenarier for cyberangrep skal håndteres når det gjelder rapportering. Utgangspunktet for scenariene bør være en risikoanalyse som fanger opp hvilke informasjonsverdier virksomheten forvalter, hvilke trusler som er mest sannsynlig og hvilke sårbarheter som eksisterer i systemer og digitale samhandlingsmønstre. I beredskapsplaner må varslingsplikter mot myndigheter, kunder, partnere og Oslo Børs gjennomgås, og ledelsen må trekke opp linjene for hva som etter verdipapirhandellovens bestemmelser er en ryddig håndtering av slike situasjoner.

Cybersikkerhet er ikke bare et spørsmål om teknologi, men et tema som må på bordet til toppledere og styret. Amerikanske børsmyndigheter er forbilledlige klare når det gjelder å tydeliggjøre dette ansvaret, både når det gjelder løpende rapporteringsarbeidet og i hendelsesspesifikk håndtering.

En tilsvarende eksplisitt tydelighet ligger ikke per nå i det norske lovverket, men når man kjenner konsekvensene av et alvorlig cyberangrep er det liten tvil om at det er fanget opp i verdipapirhandellovens mer generelt utformede bestemmelser.

Dette bør få styre og ledelse i børsnoterte selskaper til å gjennomgå og øve på rutiner og planer for håndtering av slike hendelser.

Av: Jørn Bremtun og Erik Nord

Artikkelen ble også publisert på nettavisen E24.no den 22. oktober 2018.

Norske kommuner må ta cyberansvar

Et cyberangrep kan sette hele kommuner og kommunale etater helt ut av spill. Dette bør få norske kommuneledere til å sette cybersikkerhet høyt på agendaen.

I flere konkrete eksempler har manglende cybersikkerhet allerede satt norske virksomheter og enkeltpersoner i fare. Store mengder sykehusdata er allerede på avveie etter et alvorlig cyberangrep mot Helse Sør Østs datterselskap Sykehuspartner, og hacking har resultert i at persondata om 35.000 skoleansatte og elever i Bergen har vært tilgjengelig på internett.

I begge tilfeller kan dataene om enkeltpersoner brukes til å lage falske ID-er, og i saken om pasientdata kan dataene fra din sykehusjournal i tillegg bli manipulert av fremmede makter.

Mangel på forsvarlig håndtering har i mange tilfeller allerede fått store konsekvenser både for styrer og ledelser i de virksomhetene som er blitt rammet.

Det vil aldri være mulig å sikre seg 100 prosent mot dataangrep og inntrengere fra cyberspace, men med ledelsesfokus er det fullt mulig å begrense skade, tap av omdømme og unngå bøter som følge av brudd på de nye reglene for håndtering av persondata, GDPR.

I tillegg kommer ny og revidert sikkerhetslov fra 1. januar 2019. Norske kommuner er allerede underlagt sikkerhetsloven og vil trolig få sitt ansvar ytterligere innskjerpet.

Hva kan ledelsen i en kommune gjøre for å sjekke om man er godt nok forberedt på et dataangrep?

Punkt 1: Virksomheten bør ha Cybersecurity-planer (CS-planer) som dekker både varslingsplikter og krisehåndtering i tilfelle cyberangrep eller lekkasje av persondata. Planene må svare på hvilke varslingsplikter som gjelder, og hvem som eventuelt er riktig varslingsmyndighet(er). Her kan flere offentlige instanser komme inn i bildet. Det er varslingsplikt i gitte situasjoner både til sektormyndigheter, Datatilsynet, Nkom og Nasjonal sikkerhetsmyndighet (NSM), men politi og andre regulatoriske myndigheter kan også være aktuelle. I en CS-plan må det etableres en operativ beredskapsgruppe og rutiner for å øve på planen regelmessig.

Punkt 2: I tillegg bør planene ha et opplegg for krisehåndtering av selve datainnbruddet og utkast til strategi, budskap og informasjonsrutiner overfor egne ansatte, innbyggere og kunder, partnere og leverandører om at IKT-infrastrukturen er kompromittert og/eller persondata er på avveie. CS-planene bør på plass raskt. Faren for dataangrep og/eller tap av persondata er en permanent trussel. Varslingsfristene er korte. Når uhellet er ute, er det for sent å planlegge.

Punkt 3: IKT-infrastrukturen må også være godt nok beskyttet. Her er noen spørsmål en rådmann eller en ledergruppe i en kommune bør stille og helst få tilfredsstillende svar på:

• Finnes det en sentral oversikt over egne virksomhetskritiske IKT-systemer? En liste med prioriterte systemer. Stikkord er tjenesteproduksjon og adgangen til persondata. Hvis uhellet er ute, er det viktig å vite hvor man bør sette inn beskyttelsestiltak for å kunne drive hele eller deler av kommunen videre, selv under angrep.

• Har vi et system for risikovurdering som også omfatter cybersikkerhet? Uten en slik vurdering vil det være vanskelig å prioritere og sette inn beskyttelsestiltak på riktig sted.

• Er man allerede kompromittert uten å vite om det? Her vil de fleste være avhengig av ekstern hjelp til en gjennomgang og å etablere aktiv nettovervåking. Stikkord her er løpende tilgang til sikkerhetsovervåkings SOC (security operations center)- og analyse CERT (Computer Emergency Response Team) -tjenester. Ifølge undersøkelser er det bare et fåtall av norske kommuner som har slik overvåking i dag.

• Er IT-infrastruktur og persondata godt nok beskyttet mot inntrengere eller eksponering? Dataangrep er en ting, men Datatilsynet kan også komme på kontroll og sjekke at alt er i henhold til lover og regler. Dette ble innskjerpet med GDPR.

• Er IT-infrastrukturen slik at et mulig dataangrep kan begrenses?Supertankere er bygget med vanntette skott som hindrer vannet i å fylle hele tankeren ved en grunnstøting. I mange virksomheter er det slik at hvis man hacker seg inn ett sted, så har man tilgang til hele virksomhetens infrastruktur, det vil si IKT-infrastrukturen med produksjonssystemer, servere og e-post.

• Forvalter vi vårt ansvar for IKT-sikkerhet godt nok? Mange kommuner og private virksomheter har satt bort IT-drift (outsourcing) og -håndtering til eksterne leverandører. Da er det viktig å huske på at både kommunen og private virksomheter kan sette ut drift og arbeidsoppgaver, men ansvaret ligger hos kommuneledelsen.

Til slutt: Hvis svaret på noen av disse spørsmålene er nei, bør man handle raskt. Gode forberedelser kan minimere direkte økonomiske tap, hindre tap av omdømme og unngå eller redusere eventuelle bøter.

Av: Erik Nord og Jørn Bremtun

Innlegget ble publisert på www.kommunal-rapport.no den 9. oktober 2018.

Klarer ikke stoppe cyberangrep

Ferske undersøkelser viser at antall cyberangrep fortsetter å øke. Bedrifter og offentlige etater er i digitaliseringsmodus, men tar ikke digital sårbarhet tilstrekkelig alvorlig. Antallet angrep som ikke avverges er fortsatt på et høyt nivå.   

Det er styret og ledelsens ansvar å påse at IKT-sikkerhet og beredskap mot cyberangrep er på plass. Et cyberangrep kan i verste fall stenge ned hele virksomheten.

En undersøkelse gjennomført av Accenture i femten land avdekker at bedrifter med over en milliard dollar i omsetning opplevde mer enn en dobling av antallet cyberangrep fra 2017 til 2018. Antallet målrettede angrep pr. bedrift økte fra 106 i gjennomsnitt i 2016 til 232 i 2017.

Den gode nyheten er at de fleste bedriftene greier å forsvare seg mot det økende antallet angrep. Dette er likevel mager trøst. Selv om andelen angrep som lykkes faller, er antallet angrep som lykkes konstant. Det tyder på at det er vanskelig og ressurskrevende å demme opp for avanserte angrep.

Sikkerhetsanalytikere er enige om at veksten i angrep vil fortsette og at cyberangrepene i økende grad vil gå mot mål hvor datainnbrudd kan ha større skadevirkning for virksomheten. Det er flere angrep på samfunnskritisk infrastruktur og en kraftig økning i ”ransomware” eller ranervirus som stenger brukerne ute fra tilgangen til data eller IKT-systemet inntil brukeren betaler løsepenger.

En annen viktig observasjon, i følge i følge Verizons ”2018 Data Breach Investigation Report”, var at i gjennomsnitt 25 prosent av datainnbruddene ble gjennomført av egne medarbeidere eller personer med intern tilgang. Her er det riktignok store variasjoner mellom private virksomheter, helseinstitusjoner, forskningsinstitusjoner og offentlige administrasjon. Der man håndterer sensitiv informasjon er problemet med utro tjenere størst, mens i virksomheter som selger varer og tjenester til publikum kommer angrepene i første rekke fra utsiden.

Webapplikasjoner, salgsterminaler og kredittkort er angrepspunktene for mange cyberkriminelle. Særlig innenfor hotell og restaurant, undervisning, informasjonstjenester, finansielle tjenester og varehandel. Cyberspionasje og datatyveri utført av personer med intern tilgang dominerer innenfor offentlig administrasjon og produksjonsbedrifter.

Hvor godt ulike bransjer forsvarer seg mot cyberangrep varierer mye. I de fleste angrepene er inntrengerne på jakt etter brukerdata, kredittkortnummer og det er her sårbarheten er størst. Offentlige institusjoner har det høyest antallet dokumenterte angrep, men de aller fleste angriperne feiler. Her observerte man i gjennomsnitt ett vellykket innbrudd for hvert 74. angrep (1,35 pst.).

I andre bransjer er situasjonen mye verre.  Hotell- og restaurantnæringen er dårligst beskyttet. I følge undersøkelsen lykkes inntrengerne i gjennomsnitt 11 ganger for hver gang man ble avvist eller gikk i virusfilteret! Riktignok er gevinsten ved innbrudd ofte mye lavere enn ved angrep mot andre private bransjer eller mot det offentlige.

Samtidig vet vi at manges store mareritt er ID-tyveri, og hotell- og restaurantnæringen bør åpenbart anstrenge seg mer for å beskytte kontaktdata og kredittkortinformasjon den lagrer om sine gjester.

I en digital verden øker risikoen for verdiødeleggende cybersikkerhetsbrudd. Styret og ledelsens evne til å forstå og håndtere cybersikkerhet er avgjørende for å ivareta og beskytte virksomhetens verdier og omdømme. Det aller viktigste er å prioritere ressurser og oppmerksomhet mot de områdene der risikoen for angrep er størst og hvor uønskede inntrengere kan gjøre mest skade.

Med digitalisering høyt på agendaen krever dette også et strategisk blikk. Hvilken risiko er vi utsatt for i dag, og hvordan vil dette utvikle seg i takt med digitaliseringen? Sikkerhet er ressurskrevende, og ressursene må benyttes på de områdene som er mest kritisk for virksomheten. Spørsmålet er om ledere har god nok oversikt over hvor det er? Vi tror i beste fall bildet er blandet.

Av: Erik Nord og Jørn Bremtun

Innlegget stod også på trykk i Dagens Næringsliv, fredag 14. september 2018.

Alt som kan digitaliseres bør ikke digitaliseres  

Tittelen lyder som reaksjonært opprop, men er kjernen i en anbefaling fra et amerikansk ekspertteam som har vurdert hvordan kritiske samfunnsfunksjoner kan beskyttes mot cyberangrep.  

Digitaliseringen av offentlige virksomheter og tjenester pågår for fullt. Under mantraet «alt som kan digitaliseres, skal digitaliseres» er det iverksatt flere programmer og initiativ. I Stortingsmeldingen «Digital Agenda» fra 2016 slår fast at «de fleste kritiske infrastrukturer og samfunnsviktige funksjoner er i dag digitalisert».  I årene fremover vil sensorteknologi og tingenes internett legge grunnlag for omfattende tjenesteinnovasjon. Såkalt smarte byer vil blant annet benytte digitale og automatiserte løsninger på områder som energistyring, eldreboliger (velferdsteknologi) og trafikkavvikling. Løsninger som kan spare budsjetter, liv og miljø.

Digitaliseringspådrivere har gode kort på hånden. Bedre og langt mer tilgjengelig tjenester for innbyggerne, individuell tilpasning og automatiserte prosesser uten papirbunker, uforståelige søknadsskjemaer og høye administrasjonskostnader. Sensorteknologi og tingenes internett gjør det mulig å innhente, analysere og benytte data, for eksempel værdata, for å ta gode beslutninger innenfor sektorer som energiproduksjon, landbruk, fiskeoppdrett og trafikkavvikling.

Statsminister Erna Solberg er etter eget utsagn en grunnleggende optimist, men etter konferansen EVRY Insight 28. mai i år uttalte Solberg til NRK: «Det som bekymrer og opptar meg mest er at vi må ha god nok sikkerhet i det som er livsnødvendige systemer rundt oss».

Også i USA er myndighetene i økende grad opptatt av digital sårbarhet. Bare i løpet av de to siste årene er det anslått at cyberangrepene kjent som WannaCry og NotPetya alene har kostet landet 5 milliarder dollar, og i tillegg kommer alle spekulasjonen om valgpåvirkning og misbruk av persondata. Den store frykten er at cyberangrep kan lamme grunnleggende infrastruktur som strøm, vann, radio/tv-, tele- og datakommunikasjon, og dermed lamme samfunnet og sette liv i fare.

Seniorstrateg Andy Bochman ved Idaho National Laboratory, USAs ledende senter for atomenergi, publiserte helt nylig en artikkel i maiutgaven av Harvard Business Review. Her kommer han med en klar advarsel: «Her er den brutale sannheten: Det spiller ingen rolle hvor mye organisasjonen bruker på den nyeste cybersecurity-maskinvare, -programvare eller -opplæring, eller om den har separert de mest kritiske systemene fra resten. Dersom virksomhetskritiske systemer er digitale og tilkoblet internett på en eller annen måte (selv om du tror de ikke er, er det høyst sannsynlig at de er), kan de aldri bli helt trygge. Punktum.»

Bochman mener virksomheter som leverer samfunnskritiske tjenester må identifisere de funksjonene som kan lamme virksomheten, og i størst mulig grad isolere dem fra internett. Bruken av digital teknologi på disse områdene bør i størst mulig grad begrenses, mener han, og heller overlates til manuelle rutiner som er skjøttet av pålitelige mennesker.

Rådet kan oppfattes reaksjonært og ekstremt, men det grunnleggende rådet er det verdt å lytte til: Om en funksjon er så kritisk at den kan slå ut hele virksomheten er det høyst risikabelt å la den være eksponert mot internett. Og uansett hvor mye man beskytter en funksjon gjennom sikkerhetsprogramvare og overvåkning, så er sikkerheten aldri 100 prosent.  Offentlige og private virksomheter bør derfor vurdere positive digitaliseringseffekter opp mot kostnadene og følgekonsekvensene av å bli satt ut av spill. Dernest må ansvarlige ledere tenke igjennom og ha en plan for å håndtere en situasjon der kritiske funksjoner er lammet som følge av cyberangrep.

Det danske rederiet Maersk fikk erfare dette på mest mulig dramatisk vis i fjor. Skadeprogrammet (malware) NotPetya satte 4000 servere, 2500 PCer og 2500 applikasjoner ut av spill. Alt måtte installeres på nytt. Det tok rekordraske ti dager, men i denne perioden måtte laste- og losseavtaler og nye ordre for en flåte på over 300 skip håndteres manuelt.

Totalt har rederiet anslått at angrepet kostet et sted mellom 250 og 300 millioner dollar i direkte og indirekte kostnader.

Digitalisering må ikke skje i naivitet. Når selv det beste teknologiske forsvar ikke kan eliminere faren for et cyberangrep er det påkrevet at det gjennomføres konsekvensutredninger før digitalisering – og en plan B for å håndtere en kritisk situasjon.

Av: Erik Nord og Jørn Bremtun

Innlegget ble også publisert i nettavisen E24.no, 13. juli 2018.