@stake God styring og kontroll

Jeg har gjennom 25 år i forskjellige jobber innen IT- og informasjonssikkerhet, flere ganger vært overbevist om hva som er den ultimate løsningen på trusler mot cybersecurity. Jeg har jobbet med compliance og hendelseshåndtering i noen av Norges mest komplekse, regulerte og utsatte virksomheter, og sett hva som virker og ikke virker. Jeg har opplevd at vi har fått det til - mot alle odds. Og jeg har vært i Fifty situasjoner der virksomheten til tross for at alt lå til rette opplevde nederlag og alvorlige sikkerhetsbrudd. Så etter et langt liv i cyberspace har jeg oppsummert litt - hva er det som faktisk virker?

Det er ikke lenger kun er de største virksomhetene som implementerer ERP-løsninger. En rekke mindre og mellomstore foretak går fra tradisjonelle regnskapssystemer til skybaserte ERP-løsninger. En slik overgang kan gi de fleste virksomheter betydelige fordeler i form av fleksibilitet, kostnadseffektivitet, bedre stabilitet og mer tilgjengelig informasjon. Valget innebærer også nye og utfordrende risikoer, og en god implementeringsprosess er kritisk for å realisere gevinstene. Vi gir noen tips på veien til deg som vurderer å gå opp i skyen.

Du ser det stadig vekk i media: omfattende datainnbrudd stjeler spalteplass og skaper frykt og usikkerhet. Til tross for oppmerksomheten disse hendelsene skaper, strever mange virksomheter med å forstå og håndtere risikoen i det digitale rom. Kompleksiteten i systemene virksomheten er avhengig av øker, og det stilles stadig høyere krav til robusthet for å håndtere uønskede hendelser.

Norge kan i verste fall ende opp med strømbrudd som i TV-serien Valkyrien. Sol og vindkraft produsert og lagret lokalt kan være løsningen mot fremtidige dataangrep på strømforsyningen som vi så i Ukraina. Det kan også gjøre “monstermaster” overflødige.

Det siste året har vært hektisk for oss som jobber med informasjonssikkerhet. Datainnbrudd hos politiske organisasjoner, løsepengevirus og omfattende sabotasje av digital infrastruktur er noen av hendelsene som har skapt førstesideoppslag. Man kan stille spørsmålet om tiden er i ferd med å løpe fra de som insisterer på å drifte sin egen IT-infrastruktur internt i virksomheter. Systemene er i ferd med å bli for komplekse, trusselbildet er for dynamisk og kravene til funksjonalitet er for høye til at man klarer å henge med i utviklingen. For mange er løsningen på dette utkontraktering til eksterne driftsleverandører, ofte til såkalte skyleverandører.

Jeg har lest artikler og fulgt noen foredrag hvor folk har påstått at ny personvernforordning (GDPR) forbyr bruk av personopplysninger i forbindelse med testing. Resonnementet har vært at man samler inn opplysningene til et visst formål (eksempelvis for å levere en tjeneste) og bruk av de samme opplysningene til testing ikke er forenlig med dette formålet. Påstandene er videre at ettersom bruk av ekte personopplysninger til testing er “ulovlig”, så kan man få massevis av millioner euro i bot når ny forordning er innført. Jeg vet ikke hva eller hvem som er kilden for denne kunnskapen eller fortolkningen av loven/GDPR, men jeg synes det høres helt feil ut.

Styrearbeid er en spennende, men også en ansvarsfull og krevende oppgave. Vi jobber med å hjelpe mange styrer, både med å evaluere seg selv og støtte i arbeidet med å bedre løse konkrete styreoppgaver. Risikostyring er en av oppgavene styrene selv opplever som mest utfordrende, og ikke minst risiko knyttet til cybersikkerhet.

I fjor økte omfanget av såkalt “CEO-fraud” dramatisk i Norge. Dette er bedrageri der svindlere utgir seg for å være ledere i en virksomhet, og sender en mail som instruerer ansatte til å overføre penger til kontoer som tilhører svindlerne. Fjorårets største enkeltoverføring var på 400 millioner kroner, hvor en regnskapsmedarbeider utførte transaksjonen basert på instrukser vedkommende trodde kom fra virksomhetens øverste leder. 100 av disse millionene er fortsatt på avveie, noe som gjør dette til norgeshistoriens største “brekk” - større enn NOKAS-ranet i 2004!

Ny personvernlovgivning (General Data Protection Regulation, GDPR) trer i kraft i EU (og Norge) i mai 2018. Omtalen av det nye regelverket har til nå fokusert på en voldsom økning i bøtenivået, mange nye krav som vil være svært kostnads- og kompetansekrevende å adressere, samt en mer koordinert og slagkraftig tilsynsaktivitet i EU. Dette har dessverre forskjøvet et annet og mye viktigere aspekt nemlig hva regelverket tilrettelegger for; enklere og tryggere innsamling og bruk av personopplysninger.

I løpet av de siste månedene har aktører som APT28, også kjent som Fancy Bear og Sofacy, og APT29, også kjent som Cozy Bear, gått fra å kun være kjent i de mest nerdete avkrokene av serverrommene til å bli førstesidenyheter. Men nye fenomener er de ikke, begge disse aktørene har vært aktive mot vesten i mange år, og har gjennomført flere vellykkede angrep i Norge. Men hva har dette å si for norske bedrifter og offentlige virksomheter?