Vi har tatt en prat med Yngve for å høre hva han tenker om dagens trusselbilde, hvorfor det kan være vanskelig å sikre IT-løsningene sine og hva du som leder kan gjøre for å forebygge cyberangrep.
Hva tror du kan være årsaken til at mange ikke investerer i tilstrekkelig IT-sikkerhet?
Det kan være mange ulike årsaker, for eksempel at man tenker «det gjelder ikke oss», «vi har ikke noen forsvarshemmeligheter» eller «vi er ikke noe sykehus eller legekontor».
Gjennom GDPR har det likevel blitt klart at IT-sikkerhet gjelder alle som oppbevarer en eller annen form for personopplysninger, helt ned til fødselsnummer.
En annen årsak kan være at IT-sikkerhet i seg selv ikke er synlig, og det innebærer en kostnad. Det blir som en forsikring – det er synlig når det går galt, men det er usynlig så lenge det går bra.
Mange har kanskje satt deler av IT-driften til en leverandør av skytjenester eller har dataene lagret i Microsoft 365 – og tenker da at Microsoft eller leverandøren tar seg av dette. Det er imidlertid ikke så enkelt. Det kommer helt an på hvordan løsningen er satt opp.
Man kan ta en PC og slå den på, og den kan være rimelig greit sikret i utgangspunktet. Så fort man har tatt den i bruk, så er den ikke sikker lenger. Det samme gjelder i Microsoft 365 – man kan ha en standard løsning som «ut av boksen» er sikret på et minimalt nivå for at det skal fungere. Derfor må det konfigureres, settes opp, og hele tiden overvåkes at konfigurasjonen er sikker.
Det kan også være at mange rett og slett ikke føler at de har kompetanse på ledelsesnivå til å vurdere dette. Dette er teknisk og må gjerne overlates til IT-avdelingen eller personer med denne kompetansen i bedriften, som kanskje har en mer teknisk tankegang rundt problemstillingen. Men en som jobber med tekniske løsninger har nødvendigvis ikke den samme tanken på riskobildet som ledelsen, som til syvende og sist sitter med ansvaret hvis noe går galt.
Hvis man for eksempel kommer i skade for å lekke personsensitive opplysninger, enten ved at man har blitt hacket eller at en ansatt gjør noe en ikke skal, er det ledelsen som sitter med ansvaret for bøtene. Disse kan være voldsomme.
Har fokuset på IT-sikkerhet endret seg i løpet av de siste 30 årene?
Til å begynne med snakket man stort sett om sikkerhet i forhold til nedetid, det vil si at enheter som disker, servere og strømforsyninger gikk i stykker.
Man bygde da løsninger som var mest mulig redundante slik at man kunne fortsette driften selv ved nedetid. Backup har alltid vært viktig, men årsaken har endret seg.
Etter hvert som internett ble tilgjengelig, kom truslene i form av virus og skadevare. Det begynte med «guttestreker», men senere har det blitt en ren kriminell virksomhet med mer organiserte grupper.
Det at vi nå har ulike stater som driver ren hackervirksomhet for å skade og påvirke samfunnet gjør situasjonen enda mer alvorlig. Vi vet for eksempel at store deler av inntektene til Nord-Korea er basert på hacking.
Dette er noe som ikke bare omfatter de store bedriftene – det omfatter alle bedrifter, organisasjoner og privatpersoner i Norge. Vi ser ofte eksempler på at enkeltpersoner og organisasjoner mister tilgang til kontoen sin på sosiale medier, og bedrifter som taper alle dataene sine, for eksempel kundekontrakter og annen informasjon som kan være liv eller død i forhold til videre drift.
Fokuset fra myndighetene og fra bransjen har blitt enormt mye større – men om alle tar det innover seg, det er spørsmålet.
Det er likevel viktig å presisere at selv om trusselbildet har endret seg dramatisk, har også verktøyene for å sikre seg blitt bedre – og tilgjengeligheten til disse. Så det handler om å ta i bruk det som finnes, og være bevisst.
Har du merket noen endringer i fokuset fra kundene våre?
Kundene våre er oftere opptatt av IT-sikkerhet nå, men det kommer gjerne gjennom et eksternt krav som bedriften møter, hvor de da tar kontakt og ønsker å komme videre, eller å få en redegjørelse for hvordan IT-sikkerheten er.
Det kan for eksempel være på bakgrunn av reguleringer fra myndighetene, at man vurderer å tegne en cyberforsikring, eller fått et krav fra en bransjeorganisasjon at man må ha en IT-sikkerhetspolicy på plass.
Vi må likevel komme dit at det også er en viktig del av ledelsens prioriteringer på fritt grunnlag. På samme måte som man sikrer en bygning med låser, gitter og alarm, må man sikre IT-løsningene sine.
Det er viktig å være klar over at dette ikke bare er noe IT-avdelingen må ta på egenhånd, men noe ledelsen må instruere og lage retningslinjer for hva IT-avdelingen skal gjøre.
Hva er det enkleste man kan gjøre for å øke sikkerheten?
Det absolutt enkleste, og som stort sett ikke koster noe, er å bruke sikre passord og aktivere flerfaktorautentisering der du kan. Deretter bør du sørge for at alle enhetene du bruker er oppdatert med de siste sikkerhetsoppdateringene og at du følger med på dette.
I en bedrift bør man også gå gjennom systemene sine for å få oversikt over det man har. Hvilke enheter finnes, hvordan er de sikret mot internett? Hvilke programvaresystemer brukes, og hvem har tilgang til disse? Er det rutiner for hvordan man oppretter og sletter brukere og tilganger? Er det kun de som trenger tilgang som får det? Dette er enkle ting å sette i gang med som jeg vil anbefale alle å ta en øvelse på.
Jeg vil også anbefale å ta i bruk verktøy som gjør at ledelsen enkelt kan se en sikkerhetsstatus på alle bedriftens plattformer. Her finnes det flere verktøy fra blant annet Microsoft som kan tas i bruk.
Mange av disse er veldig omfattende, så de bør settes opp slik at man kan få ut fornuftig data som kan presentere for eksempel i et styremøte. Man bør ha etablert en del automatiske policyer som sikrer at utstyret er oppdatert, men ting kan svikte. Derfor er det viktig å ha en rapport som viser hva som faktisk er tilfellet.
Vi har skrevet noe om dette på bloggen vår allerede, for eksempel om Secure Score i Microsoft Defender. Det å lage automatiserte rapporter som er tilpasset bedriftens behov er et område vi ønsker å satse mer på.
Mange har ofte spredd dataene sine på ulike lagringsplattformer og skyløsninger. Et siste tips er å samle alle tjenestene mest mulig i én felles leveringsplattform, for eksempel Microsoft 365. Da har du et felles punkt for pålogging og sikkerhetsstyring, og god oversikt over alle brukere, til alle systemer, på et felles punkt. Løsningen kan knyttes til ulike fagsystemer som ligger i skyen eller lokalt.
Uten en slik felles plattform kan man fort miste oversikten, både over hvem som har tilgang, og hvem som sitter igjen med tilgangen etter at ansatte har sluttet.
Har du noen tanker om hvordan man kan øke IT-kompetansen til de ansatte?
Selv om systemene er satt opp riktig, er det viktig at alle ansatte har en forståelse for IT-sikkerhet. Mye er basert på vurderinger som gjøres av den enkelte, og det er derfor viktig at ledelsen har satt av tid og ressurser til nødvendig opplæring.
For det første bør man gjennomgå IT-systemene som en del av onboardingprosessen – hvilke systemer har man, hvordan skal de brukes og hva er viktig for sikkerheten.
På samme måte som for krav knyttet til helse, miljø og sikkerhet, bør man helst ha en tilsvarende opplæring i bedriftens IT-sikkerhetspolicy og hva som er riktig å gjøre. Det bør også være en skriftlig policy man kan slå opp i hvis man er i tvil, i tillegg til kontaktpersoner for de ansatte.
Trusselbildet og metodene endrer seg hele tiden, så det trengs en kontinuerlig opplæringsprosess og interesse fra ansatte.
Avhengig av selskapets størrelse og organisering, kan det for eksempel tas opp jevnlig i ulike møter med ansatte, gis regelmessige oppdateringer, informasjon på et intranett eller en egen kanal i Teams for IT-sikkerhet.
Det er viktig at ledelsen har nedfelt at dette er noe som skal gjennomføres og at man har satt av tid til å gjøre det.
Kan man forvente å bli hacket?
Hvis man ser bort fra målrettede angrep knyttet til bedrifter som har en viss type informasjon, vil de fleste små og mellomstore bedrifter kunne bli utsatt for masseangrep.
Det kan skje gjennom ransomware som sendes vilkårlig ut, eller angrep som søker etter servere som er eksponert mot internett, og som har sikkerhetshull i form av kjente sårbarheter. På den måten kan man skanne over tusenvis av servere og tjenester på en enkel måte, uten at det koster noe for den som gjør det.
Alle kan være viktige mål for slike angrep, enten bare for å skade, eller fordi det kan være mulig å drive med utpressing. For de fleste er data og kontoer viktige.
Det er derfor om å gjøre å sikre seg så godt man kan, men hundre prosent sikker blir man ikke. Det kommer an på hvor mye innsats som må legges inn for å få tak i dataene. Til og med Pentagon har jo blitt hacket.
Det er på samme måte som i trafikken – man kan ha riktige dekk, gode bremser, opplæring osv., men likevel kan det skje en ulykke. Men hvis du ikke har sikret godt nok i forkant, så har du et ansvar.
Hvor kan man finne informasjon dette?
Man kan finne mye informasjon på nettet, og man kan for eksempel begynne på unic.no. På bloggen vår har vi mange artikler om hvordan man kan forbedre sikkerheten ved å konfigurere tjenester som allerede finnes, og som man betaler for, eller ta i bruk enkle abonnementstjenester.
I tillegg bør man oppsøke Nasjonal sikkerhetsmyndighet (NSM) sine sider, som har mange gode verktøy og råd, for eksempel for å lage en beredskapsplan.
I deres grunnprinsipper har de listet opp en mengde tiltak man kan sette i verk på egenhånd, eller sammen med IT-leverandøren eller en lokal IT-avdeling. Det vil jeg anbefale å sjekke ut.
Ledelsen har ansvaret for IT-sikkerheten. Er du forberedt?
Fyll inn kontaktinformasjon i skjemaet nedenfor for å få tilgang til opptaket av webinaret fra 02.06.2023 – helt gratis!