Lederen i Cisco, John Chambers, skal ha sagt at «det finnes to typer bedrifter; de som har blitt hacket og de som ikke vet det enda».

Utsagnet er nok satt på spissen, men det illustrerer at vi ikke er flinke nok til å beskytte oss mot dataangrep. Dataangrep vil i mange tilfeller vil være den nye måten terrorister angriper på.

- På lille juleaften gikk strømmen hos nærmere to millioner innbyggere i Ivano-Frankivsk-regionen i Ukraina. I følge et ukrainsk nyhetsbyrå var det et dataangrep som hadde ført til strømbruddet som varte i flere timer. Ondsinnet programvare koblet ut flere kraftstasjoner, og noe lignende angrep skal angivelig aldri ha skjedd tidligere, så dette er en milepæl, sier sier Thomas Stefan Tømmernes, salgsdirektør for it-sikkerhet i Atea.

- Vi har sett destruktive hendelser rettet mot energibransjen tidligere, men kjenner ikke til andre tilfeller der det har ført til strømbrudd som har rammet så mange. Har det først skjedd i Ukraina, så kan det like gjerne skje her ikke bare rettet mot kraftbransjen, men like gjerne mot mye annen sårbar infrastruktur.

Alle styringssystemer kan bli angrepet

Stadig flere prosesser blir automatisert over alt i samfunnet. Med denne automatiseringen åpner det seg også store muligheter for å angripe systemene.

- Supervisory Control And Data Acquisition, eller SCADA, er et begrep for styring og overvåking av automasjons- og kontrollsystemer. SCADA er kanskje best kjent i industriell sammenheng, men det er verdt å merke seg at denne teknologien også benyttes til overvåking og kontroll av mye av infrastrukturen vår, som trafikksignaler, strømforsyning, gasslinjer, vannverk, lufttransport, verft, oppdrettsanlegg, roboter, innen helse og diverse velferdsteknologi for å nevne noen områder.

- Denne teknologien er utsatt for angrep, og i et verstefallsscenario tør jeg nesten ikke forestille meg konsekvensene kan bli hvis noen for eksempel åpner alle slusene i vannkraftanleggene våre, sier Tømmernes.

Et ledelsesansvar

Tømmernes etterlyser langt større fokus på it-sikkerhet. En spørreundersøkelse som ble gjennomført av Atea i fjor viste nemlig at kunnskapen om it-sikkerhet på ledelsesnivå blant norske bedrifter i SMB-segmentet er svært dårlig:

- Resultatene var helt nedslående. De fleste visste nærmest ingen ting om temaet og heller ikke om hvilket ansvar de har som ledere på dette feltet. Lederne trenger å kurses, de må kjenne sitt ansvar som leder, de må vite hvordan dataangrep skjer og hvilke konsekvenser det kan få.

- De må sørge for å innarbeide en god sikkerhetskultur i selskapene sine og lære seg å bruke sunn fornuft rundt it og it-sikkerhet. Vi undersøkte bedrifter, men sannsynligvis ville vi funnet tilsvarende resultater i offentlig sektor også, så det er viktig at dette kommer på dagsorden.

Mange gode verktøy

Ledere som tar disse utfordringene på alvor kan innarbeide en god sikkerhetskultur hvis de forstår hva dette dreier seg om. Da er det snakk om å implementere flere verktøy, som for eksempel sørger for sikker pålogging, kryptert trafikk, men også analyseverktøy for logg og overvåking av systemene.

- Slike systemer kan settes opp som alarmer, og hvis den utløses går det an å få umiddelbar hjelp fra et responsteam. Hvis flere tenker på denne måten og innfører slike systemer vil vi få et tryggere samfunn, avslutter Tømmernes.

IT-sikkerhet: Slik sikre bedriften mot cyberangrep

Hva kan du gjøre som leder?

- Skaff deg kunnskap om IT og IT-sikkerhet, ta for eksempel et kurs eller meld deg på et seminar.

- Det er viktig å være bevisst på at dataangrep kan ramme alle – også den organisasjonen du leder.

- Du må vite hva et dataangrep er og hvordan dere kan angripes.

- Lag en sårbarhetsanalyse. Den kan hjelpe dere å avdekke områder eller systemer i organisasjonen som er spesielt utsatt for angrep.

- Søk hjelp fra fagmiljøer på området og lag en handlingsplan for IT-sikkerheten i organisasjonen.

- Gjennomfør nødvendige tiltak og vær bevisst på farene.