- Mens hackerne bare blir smartere og smartere blir også metodene de benytter stadig mer sofistikerte, derfor tror jeg dessverre at bedrifter, institusjoner, kommuner og fylker ikke vil kunne ha nok ressurser eller rett og slett tid til å inneha god nok kompetanse fremover for å håndtere sikkerhetssituasjonen på en betryggende måte. Dette skyldes ikke at folk som jobber med IT-sikkerhet i dag ikke kan sitt fagområde, men rett og slett fordi arbeidsmengden vil kreve store investeringer i egnet personell, sier Thomas Tømmernes, nasjonal salgssjef for IT-sikkerhet i Atea.

 - En av de største utfordringene vi som arbeider med IT-sikkerhet ser, er at mange av "dingsene" som er montert i ulike tekniske anlegg ble designet ut ifra to formål, nemlig funksjon og tilgjengelighet. Sikkerhet var noe man begynte å tenke på senere, men når vi vet at mange av disse åpne usikre systemene fortsatt finnes der ute, så vet vi også at muligheten for å bli angrepet er veldig stor, fortsetter han.

Det er mange skrekkscenarier knyttet til dataangrep. Demningene i kraftsektoren, oljeinstallasjonene i Nordsjøen, innflygningssystemene for fly som skal lande og nærmest alt annet som vi omgir oss med, baserer seg på IT-systemer. Det er grunn til å ta truslene på alvor, for noen av disse systemene står kanskje høyt oppe på agendaen for uvedkommende som ønsker å trenge inn i for å gjøre skade.

En rivende utvikling

- Da jeg begynte i bransjen hadde vi bare hver vår stasjonære lap-top som kanskje var koblet opp mot en lokal server som sto i kjelleren. I dag har nærmest alle fire eller fem ulike enheter, og vi har blitt helt avhengige av dem. Samtidig har strukturene blitt mye mer kompliserte og et nettverk er ikke lenger et nettverk. Nå bruker vi ulike skytjenester eller virtualiserte nettverk. Løsningene har blitt hybride, det betyr at de er sammensatte og derfor har trusselbildet blitt mye mer abstrakt enn tidligere. Kontinuerlig innsamling av logger og overvåkning av komponentene i nettverket er derfor viktigere enn noen gang, sier Tømmernes.

Han ser at det skjer en gradvis utvikling der stadig flere tar IT-sikkerhet på alvor, men han er redd det tar for lang tid med tanke på hastigheten dagens trusselbilde beveger seg i:

- Tidligere når vi diskuterte IT-sikkerhet, så snakket vi stort sett bare med en IT-ansvarlig på datarommet. I dag derimot er det langt mer vanlig å diskutere denne typen problemstillinger både i ledergrupper og på styrerommene, og det er bra, legger Tømmernes til.

Smartere skurker tvinger frem en ny tilnærming

Etter å ha deltatt på Sikkerhetsdagen i Alta skrev Tømmernes på Atea-bloggen at: "007 og James Bond i dronningens tjeneste er gone. Tilbake sitter Kåre Korpulent, en lettere «stappmett» datanerd med colabunnbriller, en haug sjokolade og Redbull på et rotete skrivebord foran flere skjermer. Kåre er James Bond i 2016".

Med andre ord er IT-landskapet inne i en forandring som bedrifter, organisasjoner og det offentlige bør ta inn over seg og forstå alvoret av:

- Mitt stalltips er at man bør ta høyde for arbeidsmengde, lovpålagte krav og vurdere om man kanskje heller bør sette bort sikkerheten til profesjonelle driftsmiljøer som innehar den faglige kompetansen som er nødvendig for å beskytte seg. I dag bruker gjerne selskapene rundt 10 prosent av IT-budsjettet sitt på IT-sikkerhet, konsulentselskapet Gartner spår imidlertid at dette kommer til å øke til nærmere 30 eller 40 prosent de nærmeste årene. Jeg tror årsaken til dette er at trusselbildet stadig blir mer komplisert og sammensatt. Derfor må dette tas på alvor, avslutter Tømmernes.

Fakta:

NSR sin Mørketallsundersøkelsen viser at datakriminaliteten kostet det norske samfunnet 19 milliarder kroner i 2014.

- Sikkerhetsbildet blir stadig mer komplisert og sammensatt. Derfor er det viktig at nøkkelpersoner, enten de er på toppleder- eller mellomledernivå, skaffer seg kunnskap om IT og IT-sikkerhet.

- Det er viktig å være bevisst på at dataangrep kan ramme alle – også den organisasjonen du leder.

- Du må vite hva et dataangrep er og hvordan dere kan angripes.

- Lag en sårbarhetsanalyse. Den kan hjelpe dere å avdekke områder eller systemer i organisasjonen som er spesielt utsatt for angrep.

- Søk hjelp fra fagmiljøer på området og lag en handlingsplan for IT-sikkerheten i organisasjonen.

- Gjør en vurdering om organisasjonen klarer å håndtere truslene på egenhånd, eller om dere bør tilknytte dere et fagmiljø som har den rette kompetansen og kan drifte sikkerhetsopplegget for dere.