Cybersikkerhet fraværende i valgkampen: – Politikerne må ta langt større ansvar
Cyberkriminalitet er i dag verdens tredje største økonomi, kun slått av USA og Kina. Med kunstig intelligens som verktøy og 3,4 milliarder daglige spam-eposter, vokser trusselbildet raskt.
Under Arendalsuka møttes eksperter fra helse, finans og sikkerhet for å diskutere: Er Norge rustet for framtidens cybertrusler?
– Da jeg startet som hacker, måtte jeg ta bussen til Blindern for å finne ei bok om det. Nå er alt du trenger et YouTube-søk unna, sa partner i Etisk Hacker AS, Marius Jordet.
Det var Tietoevry Tech Services som inviterte til debatt. Foruten Jordet besto panelet av eksperter fra ulike sektorer:
Bjørn J. Villa, teknologidirektør i Helse Midt-Norge.
Bjarte Malmedal, fagdirektør digital sikkerhet, Næringslivets sikkerhetsråd.
Sigrun Hansen Bock, sikkerhetsekspert og avdelingsdirektør for bank og forsikring i Tietoevry Tech Services.
Samtalen ble ledet av Jarle Holtet-Lid, avdelingsdirektør for offentlig sektor i Tietoevry Norge.
KI gjør det enklere for hackerne
KI og sikkerhet var temaer som gikk igjen under Arendalsuka 11.-15. august.
– Nasjonal sikkerhet står høyere på agendaen enn noen gang, og det gjelder i aller høyeste grad den digitale dimensjonen, sier Holtet-Lid.
Han peker på at cyberkriminalitet i dag er mer lukrativt enn de fleste lovlige næringer, og at angrep skjer hver eneste dag.
– Jeg vil gjerne begynne med en god nyhet. Situasjonen er faktisk mye bedre enn før. Vi har fått økt bevissthet i ledelsen, og vesentlig sterkere kapabiliteter, sier Villa.
Men truslene vokser i takt med kapasiteten til å avverge dem. Villa peker særlig på kunstig intelligens:
– KI skaper en enorm disrupsjon – spesielt på angriperens side. Den senker terskelen for hvem som kan gjøre skade. Når selv Sam Altman sier han kjenner på uro for neste generasjon KI-modeller, så må vi ta det på alvor.
A-lag og B-lag i norsk næringsliv
Malmedal i Næringslivets sikkerhetsråd trekker fram et annet aspekt: Ulik modenhet.
– Faren er at vi får et A-lag og et B-lag blant norske virksomheter. De store har ressurser, kompetanse og systemer – mens de små og mellomstore henger etter. De rammes både direkte og indirekte, gjennom verdikjedene til de store.
Det skaper sårbarhet på nasjonalt nivå, påpeker han:
– Dette kan ikke løses isolert. Vi må ha en samordnet innsats – på tvers av sektorer og nivåer.
Jordet har en fortid som hacker. Han jobber daglig med å simulere og forstå hvordan angrep skjer, og mener det er lettere for hackere å lykkes i dag enn før:
– Alt du behøver er lett tilgjengelig. Du trenger ikke teknisk kompetanse – du kan kjøpe deg tilgang til ransomware-løsninger og få både instruksjoner og betalt for å bruke dem.
Han forteller om en «Ransomware-as-a-Service»-økonomi som vokser:
– Du får tilgang, verktøy og støtte – nærmest som kundeservice. Alt som trengs er at noen trykker på en e-post. Resten går automatisk.
Når sikkerhet er løsrevet fra kjernevirksomheten
Hansen Bock ser utfordringene fra innsiden av norsk næringsliv og finanssektor.
– Cybersikkerhet håndteres ofte som en egen fagdisiplin, løsrevet fra strategiske beslutninger og kjerneprosesser. Det gjør det krevende å argumentere for sikkerhetsinvesteringer.
Hun advarer mot at sikkerhet blir noe man «får på plass» – i stedet for en kontinuerlig, integrert del av utvikling og drift:
– Løsningene man etablerer, kan være utdaterte før de er i bruk. Det er dyrt, og det oppfattes som lite verdiøkende – dette må vi endre.
Robust cybersikkerhet
Hansen Bock trekker fram fem byggesteiner for en robust cybersikkerhet:
1. Teknisk forståelse: Alt fra servere og sky til integrasjoner og programvare.
2. Sikkerhetskompetanse: Hvordan systematisk beskytte digitale flater.
3. Regelverk og standarder: Internasjonalt anerkjente rammeverk som f.eks. ISO-standardene og EU-regelverk som GDPR.
4. Evne til krisehåndtering: Tverrfaglig og effektiv når det smeller.
5. Samarbeidsevne: Det viktigste, men mest underutviklede feltet.
Etterlyser politisk handlekraft
Samtidig som angrepene blir flere og mer avanserte, etterlyses handling på politisk nivå.
– Digital sikkerhet er fortsatt ikke på den politiske agendaen, til tross for at vi har hatt utrolig mange politiske utredninger, den første helt tilbake i 2000, sier Hansen Bock.
– Valgkampen pågår, men jeg vil bli overrasket hvis dette er et tema som når opp i dagens politiske debatt. Det finnes for få studieplasser innen cybersikkerhet, og vi har ikke konkrete mål for å bygge en norsk sikkerhetsnæring, fortsetter hun.
– Det er et paradoks at markedet i praksis må forme narrativet om hvordan vi sikrer samfunnet. Politikerne må ta langt større ansvar.
En annen utfordring er fragmentert regulering og sektorvise tilnærminger.
– Vi ser et lappeteppe av krav og føringer som ikke henger sammen. Det gir dobbeltarbeid, ineffektiv ressursbruk og – kanskje verst – uklart ansvar, advarer Malmedal.
Hva haster mest?
Så hva er det aller viktigste som må gjøres for å styrke norsk cybersikkerhet?
– Cybersikkerhet må forstås som et lederansvar. Vi trenger kollektivt forsvar, der vi deler trusselinformasjon og erfaringer. Myndighetene må også lette byrden for de små virksomhetene, sier Malmedal.
– Vi må styrke de samarbeidsarenaene vi allerede har, som Sikkerhetsfestivalen og Attack. Og vi må verdsette det private næringslivet, som bidrar sterkt til å løfte helheten, fortsetter Villa.
– Det er for lett å selge dårlige sikkerhetsprodukter i Norge. Sverige tilbyr gratis sårbarhetsanalyse til alle bedrifter. Det bør vi få her også. I tillegg må test og beredskap bli langt mer systematisk, poengterer Jordet.
– Samhandlingen mellom privat og offentlig sektor er fortsatt svak, og basert på udefinerte prinsipper. Bransjen må ta ansvar – men myndighetene må være en tydeligere medspiller, konkluderer Hansen Bock.
Mange har allerede tatt gode grep. Bevisstheten i ledelsen øker, kompetansen styrkes – og samarbeidet er bedre enn før.
Men KI gir de kriminelle nye verktøy, trusselbildet utvikler seg raskere enn beredskapen.
– Hvis det kommer en virkelig krise, tror jeg vi henger etter. Det er min ærlige vurdering, avslutter Jordet.
