‹ Tilbake til artikler
I løpet av de siste månedene har aktører som APT28, også kjent som Fancy Bear og Sofacy, og APT29, også kjent som Cozy Bear, gått fra å kun være kjent i de mest nerdete avkrokene av serverrommene til å bli førstesidenyheter. Men nye fenomener er de ikke, begge disse aktørene har vært aktive mot vesten i mange år, og har gjennomført flere vellykkede angrep i Norge. Men hva har dette å si for norske bedrifter og offentlige virksomheter?
Basert på den informasjonen vi besitter, fokuserer begge disse aktørene først og fremst på mål av sikkerhetspolitisk interesse som politikere, forsvar og medier. Det er også en av årsakene til fokuset på disse fra etterretnings- og sikkerhetstjenestene. De fleste norske virksomheter gjør derfor lurt i å se bredere på de cybertruslene man står overfor, enn å overfokusere på disse høykompetente men selektive aktørene.
Samtidig som russisk etterretning driver med sine høyprofilerte bjørnestreker, følger vi et tresifret antall andre navngitte trusselaktører. Disse gjennomfører systematiske digitale angrep motivert av ideologi, økonomisk vinning eller for å understøtte nasjonale interesser. For de aller fleste vil det være flere av disse som er langt mer relevante enn de russiske bjørnene.
For mens etterretningsorganisasjoner har tatt krigføring og påvirkningsoperasjoner inn i det digitale rom, har organiserte kriminelle for lengst gjort det samme inntoget. Det er ikke gutteromshackeren som utgjør den største trusselen mot norske virksomheter. Det er nå omfattende illegale virksomheter, med tydelige verdikjeder, som bedriver systematiske dataangrep og svindel. Dette gjør de i både økende omfang og med gode marginer.
PwCs årlige cybersikkerhetsundersøkelse avslører at i løpet av de siste 12 månedene har drøyt halvparten av de norske respondentene blitt utsatt for cyberangrep som har resultert i økonomiske tap. En fjerdedel av disse oppgir kostnadene til over en million kroner, og det er trolig bare de direkte tapene. Tap som følge av kompromittering av immaterielle rettigheter, avslørte forhandlingsposisjoner og strategiplaner er vanskelig å kvantifisere direkte, men kan trolig ha enda større konsekvenser for virksomhetene.
Vi ser også at ulike trusselaktører utvikler ulike strategier i det kriminelle markedet. Mens noen aktører satser på volum, slik som indiske Microsoft-svindlere som benytter samme infrastruktur og arbeidskraft som legale call-sentere. Andre satser på mer målrettede angrep mot mer kompliserte mål, men med høyere avkastning når man lykkes. Et eksempel på dette er CEO-svindler, som krever mer i form av forberedelser og målretting for å lykkes, men som har medført tap for flere norske bedrifter på mange hundre millioner kroner.
Så hva bør man gjøre?
For det første bør man benchmarke bedriftens digitale sikkerhetsnivå. Altfor mange overinvesterer i tekniske tiltak, samtidig som man underinvesterer i menneskene. Virksomhetenes styringssystemer for informasjonssikkerhet er gjerne kun er kjent for enkeltindivider og er gresk for resten (inkludert ledelsen). Som et startpunkt må virksomheten få oversikt over helheten og balansen i deres sikringstiltak og sammenligne dette med andre virksomheter i samme bransje.
For det andre så må man akseptere at man ikke kan beskytte alt, hele tiden. Erfaringer fra 2016 viser at selv nasjonale etterretningstjenester kan bli hacket. Den viktige lærdommen å trekke fra det er at man må identifisere de systemene og den informasjonen som er så kritisk at det kan få katastrofale konsekvenser om disse blir kompromittert. Det som kan kalles virksomhetens digitale kronjuveler. Det nytter ikke å bygge høye gjerder over alt. Dyrt er det også.
For det tredje bør man være skeptiske til alle sikkerhetseksperter som først og fremst selger deg en teknisk løsning som skal gjøre deg trygg. Det finnes mye bra software og hardware som kan hjelpe til med å øke sikkerhetsnivået ditt, men verktøy bør først anskaffes etter at man har oversikt over risiko og behov for sikringstiltak.
For det fjerde må man innse at med flere digitale tjenester og endringer, øker eksponeringen mot ulike trusselaktører. Informasjonssikkerhet er derfor ikke noe statisk som kan overlates til fageksperter i IT-avdelingen. Informasjonssikkerhet bør integreres som en naturlig del av kjernevirksomheten, både innen drift og utvikling.
Når alt kommer til alt er det ikke PST, Etterretningstjenesten eller NSM som har ansvaret for å sikre din informasjon og dine verdier. De vil først og fremst involvere seg i trusler som kan true rikets sikkerhet. De har verken kapasitet eller som oppgave å bistå den enkelte virksomhet i de daglige digitale angrepene de står overfor. Så man kan gjemme unna honningen, legge ut bjørnefeller, men husk at det er mange andre skumle dyr i tillegg til de russiske bjørnene. Skal man klare seg må man jobbe systematisk, målrettet og kostnadseffektivt.
Vil du vite hvordan du skal forholde deg til overvåkning og digital spionasje? Meld deg på vårt frokostseminar 10. mars.
Dette blogginnlegget er skrevet av Alexander Bjerke.
Legg igjen en kommentar