At vi står midt i en storm, er ikke bare en metafor, det bekreftes av tallene i årets IT-sikkerhetsundersøkelse fra Atea. Nesten to av tre norske virksomheter svarer at den urolige verdenssituasjonen påvirker risikoen de står overfor.
Med andre ord: Trusselbildet formes i økende grad av geopolitikk, og IT-sikkerhet kan ikke lenger behandles som et isolert IT-problem, men henger uløselig sammen med den globale utviklingen.
Digital rivalisering
Rivalisering mellom verdens stormakter utspiller seg i det digitale rommet. Norske myndigheter beskriver i dag et mer alvorlig og sammensatt trusselbilde, der digitale angrep i økende grad brukes i konflikter mellom stater og mot kritisk infrastruktur. Både etterretningstjenesten og PST advarer i sine rapporter om at spionasjetrusselen øker, særlig mot kritisk infrastruktur, der ondsinnede aktører kartlegger sårbarheter i digitale systemer. Nylig ble også en kinesisk statsborger pågrepet, mistenkt for å hente data fra satellitter.
Det europeiske sikkerhetsbildet er i rask endring; krig på vårt kontinent utkjempes ikke bare med tanks og droner, men også med tastatur og nettverk. Hybridkrigføring er en blanding av digitale angrep, sabotasje og desinformasjon. Dette påvirker i økende grad både samfunnet og næringslivet. Handelskonflikter, sanksjoner og strategisk rivalisering mellom stormakter påvirker også volumet og kompleksiteten i cyberangrepene som rammer norske virksomheter. For selv om slike trusler kan føles fjerne, har de direkte konsekvenser her hjemme i form av flere og mer sofistikerte angrep mot norsk industri, energi og forvaltning.
Ingen bedrift er en øy
For norske virksomheter, store som små, betyr alt dette at ingen kan føle seg uberørt. Tidligere har mange trøstet seg med at de var «for små til å bli angrepet», eller at de hadde gode nok brannmurer. Men de siste årene er det nettopp små og mellomstore bedrifter som har blitt hardest rammet av angrep med for eksempel løsepengevirus.
Et vellykket dataangrep kan lamme produksjonen, stjele eller ødelegge uvurderlige data, utløse millionbøter og erstatningskrav, og ikke minst påføre varig omdømmetap. For mindre selskaper kan én alvorlig hendelse bety kroken på døra, og for samfunnet kan angrep mot for eksempel strømnettet eller transportsystemer få kritiske ringvirkninger.
IT-problem ble lederansvar
I mange år beskrev vi cyberangrep som noe IT-avdelingen måtte fikse. Jeg innrømmer gjerne at jeg selv også tenkte slik da jeg begynte i denne bransjen for 20 år siden. Men i dag vet vi bedre. Et cyberangrep handler om økonomi, om drift, om tillit og i ytterste konsekvens om samfunnskritiske funksjoner.
Derfor kan ikke sikkerheten overlates til IT-sjefen alene. Geopolitisk uro og digital kriminalitet er forretningsrisiko. Det må eies og forstås av toppledelsen og styret. Vi ser heldigvis tegn på modning: Stadig flere virksomheter tegner for eksempel cyberforsikring som en del av beredskapen, og syv av ti norske virksomheter oppgir nå at de samarbeider med en ekstern leverandør for å ivareta IT-sikkerheten.
Dette forteller meg to ting: For det første erkjenner ledere i økende grad alvoret. For det andre innser de at trusselbildet utvikler seg raskere enn mange virksomheter kan håndtere alene, så man må samarbeide.
Helhetlig riskikostyring
Løsningen ligger i en helhetlig tilnærming. Trusselbildet er helhetlig, da må også risikostyringen være det. Ledere må ta ansvar for å løfte cybersikkerheten opp fra serverrommet til styrerommet. Det handler om modenhet og kultur.
Myndighetene har på sin side et ansvar for å støtte næringslivet. Vi trenger tettere samarbeid på tvers av privat og offentlig sektor – slik både nasjonale sikkerhetsmyndigheter og bransjen selv har etterlyst i lang tid. I en digital verden der alt henger sammen med alt, bygger vi den beste forsvarsevnen gjennom felles kunnskap, deling av trusselinformasjon og gjensidig tillit.
Økt global spenning og kriminalitet kan virke skremmende, men det bør først og fremst motivere til handling.
Nå trengs det flere som tar innover seg at digital sikkerhet er like forretningskritisk som økonomistyring og omdømmebygging. Som virksomhet kan du ikke eliminere geopolitiske konflikter eller knuse internasjonale hackerligaer på egen hånd, men du kan vise ansvar ved å forberede virksomheten din på at slike krefter vil berøre dere.
La oss ta det innover oss og handle deretter.
Tyske Ionos og Nextcloud vil utfordre Microsoft Office
