_logo.svg.png){kind=logo}
Du kan ikke sikre det du ikke ser
For å etterleve NIS2-direktivet må du vite hvor du er sårbar. Med spredte IT-løsninger, uautoriserte AI-verktøy og underleverandører med tilgang til dine systemer, kan dette være krevende.
Det nye sikkerhetsdirektivet fra EU stiller strenge krav til hvordan du må beskytte dine digitale verdier – og hvordan du skal rapportere på arbeidet du gjør. Men i en virkelighet preget av mange ulike IT-systemer og AI-løsninger, blir det stadig vanskeligere å vite hvor du er sårbar.
I Palo Alto Networks starter alt med kartlegging. Du kan ikke beskytte det du ikke vet at du har.
– Dette handler om risikostyring og synlighet. For å sikre noe, må du se det. Skygge-IT er en stor utfordring for mange IT-avdelinger. Kanskje spesielt etter at kunstig intelligens gjorde sitt inntog i arbeidslivet. Uautorisert teknologi utgjør en stor risiko for virksomheten, dersom ikke du får kontroll på disse systemene og verktøyene, sier Ulf Rasmussen, teknisk leder i Palo Alto Networks Norge.
Angrepsflaten har eksplodert
I dag jobber ansatte fra ulike steder, på ulike enheter, og med informasjon og programvarer spredt over både tradisjonelle datasentre og offentlig sky. Det har gjort angrepsflaten, steder der en angriper kan forsøke å få tilgang til eller skade et datasystem, langt mer uoversiktlig, og veldig mye større.
– Mange ledere tror de har kontroll, men i de fleste tilfeller bruker ansatte langt flere verktøy enn du er klar over. En IT-sjef kan si «vi har fem godkjente AI-verktøy», men når vi skanner IT-miljøet, finner vi kanskje over femti i bruk. Da har du kontroll på fem, og null innsikt i resten, sier Rasmussen.
Skygge-IT er ikke nytt, men det har fått en ny dimensjon når ansatte tar i bruk AI-verktøy uten å informere IT-avdelingen. Det gir en risiko for lekkasje av sensitiv informasjon, og gjør det vanskeligere å etterleve NIS2-direktivet.
– Ansatte kan for eksempel lime inn personnummer eller sensitiv kundeinformasjon i verktøy som ikke er godkjent. Da har du ikke kontroll, og det kan få alvorlige konsekvenser – både juridisk og omdømmemessig, sier han.
– Fra et sikkerhetsperspektiv har underleverandør-angrep vært en av de mest brukte metodene de siste årene.
Ulf Rasmussen, teknisk leder i Palo Alto Networks Norge
Underleverandører er ditt svake punkt
Trusselaktørene vet at underleverandører ofte har fått tilgang til interne systemer. Derfor er leverandørkjedene blitt en av de mest brukte inngangsportene for angrep.
– Fra et sikkerhetsperspektiv har underleverandør-angrep vært en av de mest brukte metodene de siste årene. Du må vite hvem som har tilgang, hva de har tilgang til, og når. Og du må ha en sikkerhetsmodell som bygger på Zero Trust. Du kan ikke stole på noen eller noe, derfor må all tilgang verifiseres kontinuerlig, sier Rasmussen.
Palo Alto Networks fremhever at det ikke er tilstrekkelig å basere seg kun på andres bekreftelser. Du må selv ha systemer og prosesser som kontrollerer og logger tilgang og aktivitet, og du må få dette bekreftet i ettertid.
Flytt sikkerheten til nettleseren
Siden mye av arbeidshverdagen nå foregår i nettleseren, mener Rasmussen at sikkerheten også må flyttes dit.
– Vi snakker mye om bedrifts-nettlesere nå. Der kan du legge inn regler for hva som er lov, og hva som ikke er det. For eksempel at du kan kopiere personnummer mellom visse godkjente apper, men ikke ut i et privat notatverktøy, forklarer Rasmussen.
Denne formen for sikkerhet gir også en bedre opplevelse for de ansatte, fordi kontrollen skjer nærmere der arbeidet faktisk utføres.
NIS2-direktivet: Hva betyr det for deg?
NIS2 er en oppdatering av det opprinnelige NIS-direktivet (Network and Information Security Directive) fra 2016. Det er EUs mest omfattende regelverk for digital sikkerhet til dags dato, og målet er å sikre et jevnt og tilstrekkelig sikkerhetsnivå på tvers av medlemsland og sektorer, for både private og offentlige virksomheter.
NIS2 ble innført i alle EU-land i oktober 2024, og det er forventet at det norske regelverket vil oppdateres så snart som mulig. Allerede i dag er mange norske virksomheter som leverer til EU-land omfattet av regelverket.
Dette er de viktigste kravene i NIS2:
· God kontroll på beredskap, risikovurdering og hendelseshåndtering
· Tydelige regler for ansatte og god opplæring til ledelsen
· God kontroll på kryptering og tilgangsstyring
· Plikt til å rapportere alvorlige hendelser innen 24 timer
· Kontroll på sikkerheten i hele verdikjeden, ikke bare i egen organisasjon
· Måle effekt av sikkerhetstiltak og justere det som ikke fungerer
· Alltid kunne dokumentere hva du gjør og hvordan du tenker rundt sikkerhet
Manglende samsvar med NIS2 kan medføre bøter, stans av drift, ordre om retting eller pålegg om bedre opplæring for ledelsen. Med NIS2 får styret og daglig leder et særskilt ansvar for å etterleve kravene.
På sikt vil de aller fleste norske virksomheter omfattes av direktivet, enten direkte – eller indirekte gjennom verdikjeden.
I første omgang har EU som mål å sikre kritisk infrastruktur innen energi, transport, vann- og matforsyning, romfart, helsevesen, offentlig administrasjon, digitale tjenester og finanssektoren.
AI som verktøy for både angrep og forsvar
Samtidig som AI gir nye trusselflater, er teknologien også en sentral komponent i nye sikkerhetsløsninger.
– Angriperne bruker AI aktivt, da må vi som forsvarere også gjøre det. I Palo Alto Networks oppdager vi over sju millioner nye angrep hver dag, og det gjør vi blant annet ved å bruke AI og maskinlæring til å finne uvanlig oppførsel, sier Rasmussen.
Han understreker at AI også gjør sikkerhetsløsningene lettere å bruke – med bedre grensesnitt og presentasjon av innsikt. Dermed blir det enklere for ledelsen å forstå og følge med på hvor risikoen ligger.
Helhetlig forsvar fremfor punktløsninger
En annen utfordring mange virksomheter står i, er at de har for mange sikkerhetsverktøy – som ikke snakker sammen.
– Du ender opp med at informasjonen ligger for mange steder. Skal du få oversikt og kunne reagere raskt, må du ha færre, meget integrerte løsninger. Det handler om «plattformisering» av sikkerhet, sier Rasmussen.
Han viser til at sikkerhetsbransjen fortsatt er umoden sammenlignet med mange andre områder av IT-disiplinen.
– Vi ser at det fortsatt finnes én sikkerhetsløsning for hvert problem, noe som skaper støy og tap av innsikt. Ved å sy sammen et samlet forsvar, får du bedre styring, lavere kostnader og bedre sikkerhet, sier han.
– Mange ledere tror de har kontroll, men i de fleste tilfeller bruker ansatte langt flere verktøy enn du er klar over.
Ulf Rasmussen, teknisk leder i Palo Alto Networks Norge
Hva må ledere gjøre nå?
Rasmussen er tydelig på at sikkerhet er blitt et lederansvar. Det er ikke lenger tilstrekkelig å lene seg på IT-avdelingen alene.
– Mange ledere har ikke tatt helt innover seg hvor mye risiko som følger med digitaliseringen. Internett er ikke et trygt sted. Og det er ledelsen som bærer ansvaret når noe skjer.
– Så hva bør ledere gjøre?
– Start med å skaffe deg et bilde av hvordan det faktisk står til. Hva bruker du? Hva har du kontroll på? Mange ganger handler det ikke om å øke budsjettet, men om å rydde opp, konsolidere og prioritere riktig, sier han.
Han trekker frem at rådgivningstjenester som Atea leverer kan bidra til å identifisere både lavthengende frukter og mer langsiktige strategiske grep.
Kultur og metode er en del av svaret
Til sjuende og sist handler sikkerhet ikke bare om teknologi, men om kultur og metodikk.
– De som lykkes, er de som tar sikkerhet på alvor, forankrer det i ledelsen og bygger det inn i utviklings- og driftsprosesser. Å analysere kode kontinuerlig for å finne sårbarheter, før noe settes i produksjon, gjør utvikling både rimeligere og sikrere. Det handler om sunn skepsis og om å tenke sikkerhet fra starten av, sier Rasmussen.
