_logo.svg.png){kind=logo}
AI og NIS2 tvinger frem ny sikkerhetstenkning i norske virksomheter
Kunstig intelligens forbedrer sikkerhetsarbeidet, men endrer også trusselbildet. Samtidig strammes kravene om kontroll inn. Derfor må virksomheter bygge IT-sikkerheten rundt automatisert tilgangsstyring og kontinuerlig risikovurdering.
Når NIS2-direktivet nå blir del av norsk lovgivning, skjerpes kravene til hvordan virksomheter organiserer sin digitale sikkerhet. Ikke bare må du ha kontroll på egen butikk. Du må også sikre at hele verdikjeden din opererer i samsvar med det nye EU-direktivet.
– Mange ledere tror fremdeles at sikkerhet er noe IT-avdelingen fikser, men sikkerhet er et lederansvar. Når noe skjer, er det lederne som må stå til ansvar for om virksomheten har gjort det som er nødvendig, sier Mia Mathilde Steien, markedssjef for sikkerhet i Microsoft Norge.
Slik bygger du god IT-sikkerhet
-
Bevissthet og kunnskap: Sørg for at alle ansatte kjenner sin rolle i sikkerhetsarbeidet
-
Samsvar og styring: Velg verktøy som gir styret og ledelsen oversikt over status og risiko i sanntid
-
Risiko og praksis: Bruk teknologi som AI, Zero Trust og betinget tilgang for å vurdere risiko kontinuerlig
-
Forankring og samarbeid: Sikre at leverandørkjeden og samarbeidspartnerne følger samme høye sikkerhetsstandard som du gjør.
For ledere som skal navigere i dette nye landskapet, handler sikkerhetsarbeidet derfor like mye om kultur og ledelse, som om teknologi. I Microsoft har de integrert sikkerhet som tema i alle medarbeidersamtaler.
– Vi flytter ikke ansvaret vekk fra sikkerhetsteamet, men vi gir alle ansatte et medansvar for å tenke sikkerhet i sitt arbeid. Når du vet at du skal snakke med lederen din om sikkerhet, får alle et større eierskap til risikohåndteringen, sier Steien.
Stol aldri på noen eller noe
Zero Trust har for lengst gått fra å være et teknologibegrep til å bli et styringsprinsipp for moderne sikkerhet. Kort fortalt handler det om å aldri stole på noen eller noe, men å kontinuerlig verifisere alle forsøk på å få tilgang til virksomhetens ressurser.
– Conditional access, eller betinget tilgangsstyring, er i praksis motoren som håndhever dette prinsippet. Hver gang en ansatt prøver å logge inn, vurderes en rekke faktorer i sanntid: hvem den ansatte er, hvor vedkommende befinner seg, hvilken enhet som brukes, om denne er oppdatert og mye mer. Basert på dette kan systemet gi tilgang, be om ekstra verifisering, begrense tilgangen eller i verste fall nekte tilgang, forklarer Steien.
Hver gang en ansatt prøver å logge inn, vurderes en rekke faktorer i sanntid
Mia Mathilde Steien
Der tradisjonell tilgangsstyring ofte har vært mye enklere – du har tilgang eller ikke – gjør betinget tilgang det mulig å tilpasse tilgangsstyringen etter den faktiske risikoen i øyeblikket. Dette gjør også at tilganger kan revideres fortløpende, for eksempel når noen bytter rolle, eller når utstyr blir utsatt for risiko eller skade.
I praksis betyr dette også at tilgangsstyring ikke alltid trenger å være et IT-ansvar alene.
– Flere virksomheter har automatisert tilgangsprosesser slik at det er nærmeste leder som godkjenner eller reviderer hvem som skal ha tilgang til hvilke systemer. På den måten flyttes ansvaret til de som faktisk kjenner rollen og behovene til den enkelte ansatte, mens IT sikrer at prosessen skjer sikkert og sporbart, forklarer Steien.
– Vi setter den ansatte i sentrum og vurderer hele tiden om omgivelsene har endret seg. Dette gir oss en langt mer fleksibel og presis sikkerhetsmodell, som også er godt tilpasset kravene i NIS2, sier hun.
AI som verktøy både for deg og de kriminelle
Parallelt med at sikkerhetskravene strammes inn, rulles det nå ut stadig mer kunstig intelligens (AI) i virksomhetene. Dette gir både nye muligheter og nye utfordringer.
Ifølge Steien brukes AI allerede i betydelig grad i sikkerhetsarbeidet, selv om mye av teknologien opererer i bakgrunnen. Hun peker på hvordan AI både kan oppdage avvik, analysere tilgangsmønstre og avdekke blindsoner i sikkerhetsoppsettet.
– Det vi ser nå, er at AI også i større grad blir synlig som operative sikkerhetsagenter. Disse kan utføre hele oppgaver – som å analysere tilgangsrettigheter eller simulere hendelser – fra start til slutt, uten at du trenger store sikkerhetsteam for å overvåke alle detaljer. For mange norske virksomheter som ikke har store interne sikkerhetsmiljøer, kan dette bli en viktig ressurs, sier hun.
Men kunstig intelligens åpner også nye angrepsflater. Bruk av åpne eller dårlig kontrollerte AI-verktøy kan skape risiko dersom ansatte for eksempel deler sensitiv informasjon uten tilstrekkelige sikkerhetsmekanismer.
Du må forstå at ny teknologi alltid åpner for nye trusler
Mia Mathilde Steien
– Du må forstå at ny teknologi alltid åpner for nye trusler. Det krever at sikkerhetsmiljøet involveres tidlig i AI-prosjektene, og at du setter tydelige rammer for hva som er lov og ikke lov. Ansatte må forstå at hvis du blir blokkert fra å gjøre noe, skal du ikke forsøke å finne kreative omveier via andre AI-tjenester, sier Steien.
Hun legger til at ledere og sikkerhetsfolk må engasjere seg i AI og ikke vente:
– Ledere må tilby trygge løsninger som samsvarer med selskapets sikkerhetskrav, og det finnes flere måter å administrere bruk av AI som gjør det trygt og sikkert, uten risiko for at de ansatte driver med skygge-AI.
Leverandørkjeden – den skjulte risikoen
Med NIS2 følger også ansvaret for hele leverandørkjeden. Mange sikkerhetsbrudd skjer i dag via tredjepartsleverandører som har fått tilgang til dine interne systemer. Steien understreker at selv om mange virksomheter har gode ytre forsvar, er det ofte begrenset innsikt i hvordan tilganger forvaltes internt og hos samarbeidspartnere.
– Det handler ikke bare om å beskytte seg mot at informasjon blir stjålet. Du må også beskytte deg mot at informasjon manipuleres. Hvis for eksempel noen forurenser dataene du bruker i produksjonen, kan det få like store konsekvenser som et produksjonsstopp. Denne innside-risikoen er det ikke alle som tar like alvorlig, sier hun.
Med Zero Trust og betinget tilgang kan du kontrollere leverandørtilganger langt mer presist. Gjester og partnere kan få begrenset tilgang til kun de ressursene de trenger, i avgrensede tidsperioder, og med krav om flerfaktor-autentisering og godkjente enheter. Samtidig loggføres all aktivitet, slik at du har full kontroll.
Steien peker på at dette snart vil bli en konkurransefaktor.
Etter hvert vil det bli vanskelig å samarbeide med partnere som ikke holder samme sikkerhetsnivå
Mia Mathilde Steien
– Etter hvert vil det bli vanskelig å samarbeide med partnere som ikke holder samme sikkerhetsnivå som deg. Mange ser allerede nå at god IT-sikkerhet kan være et konkurransefortrinn. På sikt vil det bli et krav for å kunne levere i det hele tatt, sier hun.
Sørg for at ledelsen sover godt om natten
For ledere som skal sørge for samsvar med NIS2-regelverket, er det lett å tenke at du bare må krysse av for regelverkets krav. Men Steien mener det er viktig å løfte blikket.
– Når du jobber godt med sikkerhet, sover både du og lederen din litt bedre om natten. Ingen kan garantere at ingenting vil gå galt, for det vil oppstå hendelser. Men du kan da dokumentere at du har gjort de tiltakene som er mulig. Og hvis noe skjer, blir det langt enklere å reise seg igjen, sier hun.
Steien advarer også mot å vente på at alt skal bli ferdigdefinert fra myndighetenes side.
– Zero Trust er ikke en knapp du skrur på. Det handler om å bygge stein på stein. Det beste tidspunktet å starte er nå, for dette arbeidet er en prosess, hvor du hele tiden må tilbake og vurdere om tiltakene står seg etter hvert som trusselbildet og beste praksis endres. Adopter det som en arbeidsmetodikk fremfor å se det som et arbeid du skal bli ferdig med, avslutter hun.
