Av Kurt Pedersen, Brigader, nestkommanderende i Cyberforsvaret

Norge er et av verdens mest digitaliserte land. Som følge av høye lønnskostnader har Norge som nasjon, over alle sektorer, søkt å redusere utgifter ved å digitalisere virksomhetene våre og livene våre. Digitaliseringen gjør også hverdagen vår enklere - men det som startet som enkle alternativer i hverdagen har gått over til å bli det eneste alternativet vi har.

Mobile tjenester

Samtidig trekker de fleste virksomheter i dag med seg en arv av systemer som ble utviklet i en tid hvor fokuset for de fleste var på tilgjengelighet, fremfor på sikkerhet. Vi ønsket alle å ha tilgang til IKT-tjenestene våre hjemmefra, vi ønsket å ha finanstjenester tilgjengelig ved et tastetrykk og vi skulle ha mobile tjenester som fulgte oss over alt hvor vi går.

Effekten har vært betydelig og produktiviteten vår har økt. Det er gevinsten. Men mange har også hentet ut andre gevinster. Vi har søkt å spare ved å legge ned de alternative, manuelle, rutinene, og man har satt bort virksomhetskritiske tjenester til andre aktører, eller til andre land.

Parallellt med dette har en ny trussel vokst frem. Når stadig flere samfunnsfunksjoner blir digitale følger også andre elementer med på utviklingen. Cyberkriminalitet har blitt en multimilliardindustri, hvor alt fra svindel til utpressing og tyveri lenge har vært en realitet. Aktivisme kan være en betydelig utfordring for virksomheter som blir forstyrret av et stort volum av digitale utfordringer fra verdensomspennende grupperinger. Og statlige aktører, militære og etterretningsmiljøer, har fått øynene opp for hva man kan påvirke, øve innflytelse på eller ødelegge gjennom digitale virkemidler.

 

Knut Pedersen

KOMPLEKST RISIKOBILDE: – Kombinasjonen av stadig fremvoksende digitale trusler, og en økende digital avhengighet etterlater oss alle med et sammensatt og komplekst risikobilde, skriver Knut Pedersen.


 

Skjult

Trusselen er i stor grad skjult, ofte i hemmelige miljøer som er lite tjent med å diskutere problemstillingene i det offentlige rom. De fleste er ikke kjent med hva som er mulig å få til ved hjelp av digitale systemer, og heller ikke hvordan man kan beskytte seg mot slike trusler.

Det er viktig for virksomheter å gjøre grundige analyser av hvor avhengige de er av IT-systemene sine for å løse virksomhetens mål. Kommer man frem til, som man ofte gjør, at man er avhengig av IT for å realisere kjernevirksomheten sin, så er det neste nærliggende steget å analysere IT-virksomheten fra et risiko- og sårbarhetsperspektiv. Hvor kan vi rammes og hva vil konsekvensene av det være? Hvordan kan vi kompensere for bortfall av denne type tjenester - og kan vi i det hele tatt kompensere for det?

Videre må en sikre at virksomhetens ledelse fullt ut forstår IT sikkerhetsbildet og hvilke sårbarheter de har som virksomhet. Og de må stille krav til IT-folkene sine. Dersom IT-avdelingen ikke evner å forklare dette utfordringene og mulige tiltak på en god måte - så er det kanskje betimelig å lete etter noen som evner å gjøre det.

Men det er også viktig å trekke IT-avdelingen inn i varmen i virksomheten. Dersom en kommer til at IT-virksomheten er virksomhetskritisk, så er det også viktig at IT-avdelingen forstår virksomheten, og virksomhetens behov, for riktig å kunne fokusere sin innsats og prioritere de rette tiltakene på riktig tid.

Kombinasjonen av stadig fremvoksende digitale trusler, og en økende digital avhengighet etterlater oss alle med et sammensatt og komplekst risikobilde.