Det viktigste for alle virksomheter er at man utvikler en egen sikkerhetskultur som kontinuerlig tilpasses trusselbildet i bransjen man er i.
Olav Rasmussen, Leder Cyber Security Management, Cegal
– Sikkerhetskulturen må være forankret i hele virksomheten, fra toppledelsen til alle ansatte, råder Rasmussen.
Rasmussen har jobbet med cybertrusler og IT-sikkerhet i Cegal i en årrekke. I denne bloggposten forteller han om de største sikkerhetstruslene og hvordan virksomheter best kan beskytte seg mot cybertrusler og dataangrep. Punkt én for å beskytte seg er altså å bygge opp en intern sikkerhetskultur der det viktigste er å varsle når man selv gjør feil eller oppdager mulige sikkerhetstrusler.
IT-sikkerhetseksperten ramser opp tre trussel-kategorier:
● Økonomisk motiverte vilkårlige angrep
● Målrettede angrep mot spesifikke bransjer og selskaper
● Infiltrering av svakeste ledd i komplekse forsyningskjeder
De vanligste cyberangrepene er fortsatt økonomisk motiverte, tilfeldige angrep mot alle slags ansatte og bedrifter. Ransomware-angrep er et eksempel på dette. Med ransomware låses bedriftens tilgang til informasjon eller systemer, og man må betale løsepenger for å få tilgang. Det er ikke uvanlig å bli rammet av ransomware, noe som koster både den enkelte virksomhet og samfunnet enorme summer.
Hver gang man betaler for å frigjøre informasjon som er kidnappet, finansierer man ti nye ransomware-operasjoner.
Olav Rasmussen, Cegal
Ransomware-angrepene starter vanligvis med en enkel phishing-epost for å stjele brukernavn og passord.
– Har man fått tilgang til påloggingsinformasjon, er ofte de fleste digitale dørene åpne for IT-kriminelle, understreker Rasmussen.
Den andre store trusselen Rasmussen trekker frem er målrettede angrep mot spesifikke bransjer eller enkeltselskaper. Slik angrep kan forårsake betydelig skade. Nasjonal sikkerhetsmyndighet (NSM) understreker at energibransjen er særlig utsatt for cyberangrep.
– Slike angrep kan sette deler av nasjonal infrastruktur ut av spill, som kraftforsyning, betalingsløsninger, internettilgang og så videre eller blokkere forretningen til et selskap. Ofte er det aktører med store ressurser som står bak.
Den tredje trusselen Rasmussen trekker frem er knyttet til komplekse leverandørkjeder:
– Sikkerheten i en forsyningskjede er ikke bedre enn det svakeste leddet. Om man har tett samarbeid med en leverandør eller en partner som ikke har kontroll på egen sikkerhet, kan det være et sikkerhetshull som åpner for at man selv blir angrepet, sier Rasmussen som minner om advarselen fra NSM. Sikkerhetsmyndighetene advarer om at alle ansatte er reelle etterretningsmål og at man må sikre seg mot egne ansatte.
– Det betyr at man må ha et et bevisst forhold til hver enkelt person. Hvilken rolle og funksjon har personen? Alle selskaper bør foreta en grunnleggende bakgrunnssjekk som bekrefter at den enkelte er den man utgir seg for og har den kompetansen man sier at man har. De som har tilgang til kritiske systemer, som kan gjøre finansielle transaksjoner eller som kan ta avgjørelser eller påvirke andre, bør gå gjennom en utvidet bakgrunnssjekk.
Ansatte som kommer fra høyrisikoland (sikkerhetsmyndighetene bestemmer hvilke land dette gjelder) eller har relasjoner til slike land, krever ekstra påpasselighet. Russland, Kina, Nord-Korea, Iran, Syria er noen av høyrisikolandene i skrivende stund. Rasmussen anbefaler at man har sikringssamtaler med disse personene.
–Sikringssamtaler viser at ledelsen kjenner til trusselbildet. Det dreier seg ikke minst om å sikre de ansatte. Det er en trygghet for disse ansatte å vite at selskapet vet. Det gjør det enklere å melde fra at man har gjort noe galt, sier Rasmussen.
Det er ikke slik at man plutselig en dag våkner opp og har bestemt seg for å bli en spion. De aller fleste blir utsatt for press og lurt inn i slike roller.
Olav Rasmussen, Cegal
I deler av kraftbransjen er sikkerheten underlagt strenge lover. Det er blant annet ikke lov å ansette personer fra visse land på grunn av sikkerhetsrisiko. Dette understreker behovet for å være proaktiv og ha riktig informasjon rundt ansatte og deres relasjoner.
– Hvordan sikrer man en virksomhet best mulig?
– I tillegg til teknologiske løsninger, trenger man både en ovenfra-og-ned- og en nedenfra-og-opp-tilnærming. Øverst må sikkerhetsledelse være en del av toppledelsen. Det gjør at både ansvar og finansiering er forankret. Dernest trenger man et sikkerhetsteam med bred, tverrfaglig kompetanse og riktige personlige egenskaper blant medlemmene. Få er flinke til alt og man må passe på at man har folk som liker å gjøre de oppgavene man trenger å få utført, sier Rasmussen som leder Cegals avdeling for sikkerhetsrådgivning.
– I Cegal er teamet satt sammen av ansatte med ulik kompetanse, både erfarne teknikere, folk som kan organisasjon, psykologi, mennesker og kultur.
Rasmussen forteller at i alle IT-leveranser fra Cegal er det innebygget sikkerhet, IT-sikkerhetsarbeidet er ikke et støttehjul, men integrert i alt vi jobber med. Alle ansatte i Cegal jobber hver eneste dag med sikkerhet. I tillegg har Cegal et eget team som jobber med konkrete sikkerhetsprodukter knyttet til drift og nettverk.
– Alle selskapet bør implementere en god cyberhygiene som består av kjent, god og erfaringsbasert sikkerhetspraksis, slutter Rasmussen.