<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=1159208090890608&amp;ev=PageView&amp;noscript=1">

Hendene i været - dette er et ran! Hvorfor satse på cybersikkerhet?

dette er et ran.png ‹ Tilbake til artikler

dette er et ran.png

Hvert år gjennomfører PwC en verdensomspennende undersøkelse om cyber- og informasjonssikkerhet. PwCs årlige globale undersøkelse, the Global State of Information Security Survey - nå i sitt 19. år - dekker 10 000 virksomheter og ledere i hele verden. Undersøkelsen viser blant annet at ledere utfordres på å finne løsninger som både kan beskytte selskapets verdier og samtidig tilfredsstille kravstore kunder. Det er en vanskelig balansegang, og sikkerheten lider ofte på bekostning av andre hensyn.

Hvorfor drive med tradisjonelle bankran?

Sikkerhet handlet lenge om å beskytte fysiske aktiva, for eksempel å gjøre det vanskelig å bryte seg inn på kontoret og stjele bedriftens kronjuveler. I vår kunne norske aviser fortelle om norgeshistoriens sannsynligvis største ran. Ved å utgi seg for å være toppsjefen i et internasjonalt selskap vant ranere tilliten til medarbeiderne hos en norsk virksomhet. I løpet av få dager var en halv milliard kroner på avveie. Svindelen ble oppdaget, transaksjoner ble stanset, og kontoer fryst. Likevel sitter de kriminelle igjen med anslagsvis 100 millioner kroner. Til sammenlikning kom NOKAS-ranerne seg unna med drøyt halvparten. Likevel hører man lite om “brekket” i media. Noen vil kanskje påstå det var mindre alvorlig siden ingen ble såret eller drept. I motsetning til tradisjonelle brekk ble det hverken benyttet våpen, masker eller fluktkjøretøy. Ranet skjedde på internett, og sannsynligvis uten bruk av “avanserte teknikker” og skadevare. På bakgrunn av slike hendelser mener jeg det er sunt å spørre seg hvordan sikkerhetsressursene prioriteres.

Cybersikkerhet er ikke en utfordring IT-avdelingen kan håndtere alene

Flere virksomheter har begynt å ta tak i problemet. I løpet av de siste årene har flere norske virksomheter etablert kriseteam som både skal forhindre, oppdage og håndtere angrep. Denne organisasjonen bruker gjerne nye og ukjente navn, og langt fra alle er enkle å forstå seg på. Security Operations Center (SOC), Cyber Security Incident Response Team (CSIRT) og Computer Emergency Response Team (CERT) er bare noen av fremmedordene som har dukket opp på organisasjonskartet. Jeg har selv jobbet med flere slike team. Analytikerne og ingeniørene jeg har hatt gleden av å bli kjent med er initiativrike og dyktige folk, men har på mange måter en utakknemlig jobb. Mange jobber døgnet rundt med brannslukking, og sloss ofte i motbakke. Det er kanskje ikke rart disse menneskene sier “nei” når du ber om å få installere ny og ukjent programvare; de ser oftere på risiko som en trussel enn et mulighetsrom.

Mange cybersikkerhetsmiljøer er fortsatt i støpesjeen. Forventningene hos mange virksomheter er høye, kanskje for høye enkelte steder. Sikkerhet er dessverre ikke et produkt man kan kjøpe og deretter si seg ferdig med saken. Våpenkappløpet på nettet stiller krav til kontinuerlig forbedring og videreutvikling. Det å kun spille forsvar betyr at man fort kan havne på hælene.

Mange jeg samarbeider med irriterer seg over at faget deres ikke får mer oppmerksomhet. Jeg forstår smerten deres, men sannheten er at cybersikkerhet får mer oppmerksomhet enn noensinne. Utfordringen er imidlertid at faget er uhyre komplekst. På 1970-tallet påsto eksempelvis forfatteren Arthur C. Clarke at tilstrekkelig avansert teknologi ville være umulig å skille fra magi. Ledere som skal kontrollere arbeidet opplever det kanskje slik. Dersom ledelsen ikke vet hvilke spørsmål de bør stille vil de ikke få gode svar. På motsatt side: om cybersikkerhetsekspertene ikke vet hva som egentlig betyr noe for virksomheten, vil de lykkes?

Ledere i norske virksomheter har mye på sin agenda, ikke minst i krevende tider når makrobildet, rammebetingelser og digitalisering skaper nye utfordringer. Hvordan når man frem med budskapet? Jeg tror nøkkelen ligger i å snakke samme språk.

God sikkerhet kan sette virksomheten i stand til å ta forretningsmessig risiko: å bli med på digitaliseringsbølgen, effektivisere interne prosesser, etablere digital samhandling med kunder og partnere. Det kan redusere sannsynligheten for at hackerne lykkes. God sikkerhet kan også gjøre virksomheten bedre forberedt til å håndtere en situasjon hvis det skulle skje noe. God sikkerhet koster, men investeringen kan igjen redusere risiko, konsekvenser og tap.

PwCs årlige globale undersøkelse innen informasjonssikkerhet:

The Global State of Information Security Survey

 

Jan Henrik Schou Straumsheim

Jan Henrik Schou Straumsheim

Jeg heter Jan Henrik Schou Straumsheim, og jobber som rådgiver innen cybersikkerhet og IT-risko i PwC. Jeg har arbeidet i PwC siden 2016, og har tidligere erfaring som sikkerhetsrådgiver i Mnemonic og offiser i Forsvaret. Mine faglige interesseområder er digitalisering, sikkerhet og personvern. Har du synspunkter, innspill, kommentarer eller spørsmål ønsker jeg å høre fra deg!

Legg igjen en kommentar

Relevante artikler

Les artikkelen

Innsidetrussel ved nedbemanning i forbindelse med Covid-19

Mange virksomheter må permittere for å overleve Covid-19. De trenger likviditet for å unngå konkurs, og permittering er siste utvei. Det er ...

Les artikkelen
Les artikkelen

Tåler virksomheten en sikkerhetshendelse nå?

COVID-19-pandemien er den mest alvorlige krisen som har rammet verdenssamfunnet siden andre verdenskrig, og den er først og fremst en krise ...

Les artikkelen
Les artikkelen

Hva bør du gjøre de første 24 timene etter en destruktiv cyberhendelse?

I løpet av de siste årene har destruktive cyberhendelser blitt stadig vanligere. Løsepengevirus, også kjent som ransomware, har gått fra å ...

Les artikkelen