De siste årene har det vært en enorm økning innenfor cyberangrep, spesielt under pandemien. 7 av 10 bedrifter opplever angrep, og de færreste er beskyttet tilstrekkelig. Ateas eget hendelseshåndteringsteam har rykket ut på fire ganger så mange oppdrag sammenlignet med samme periode i 2020.
– Svaret er enkelt, sier Thomas Tømmernes, og sikter til overskriften.
– Uten de nødvendige grepene har man ikke kontroll og dermed blir det ofte som å sparke inn en åpen dør.
Tømmernes er Head of IT-Security i Atea Norway. Han forteller at de fleste virksomheter som kontakter dem uavhengig om de er offentlige eller private, åpner med det samme spørsmålet:
«Hei! Jeg har akkurat lest om et hackerangrep i nyhetene, kunne dette skjedd oss?»
– Svaret er JA! Dette handler ikke om hvor eksponert din bedrift er på internett, om du har en logo folk forbinder med penger eller spennende informasjon, ei heller om dårlige IT-avdelinger. Dette handler rett og slett om at de fleste angrep skjer fordi det er mulig og fordi IT-kriminelle har blitt så proffe at «alle» før eller senere vil bli kompromittert, sier Tømmernes.
Thomas Tømmernes
Head of IT-security i Atea Norway
Går inn der de kan
– Når jeg sier «fordi det er mulig» begynner mange å lure, sier Tømmernes.
– Det er faktisk så enkelt at kriminelle konstant har automatiske skannere som tester alle IP-adresser på nettet for sårbarheter, og går inn der sårbarheten tillater det. Det er først når de er «inne» de kartlegger hva de har fått tak i. Den enkleste sammenligningen er en biltyv som kjenner på alle bildører og stjeler den bilen som er ulåst eller der noen har gått ifra med nøkkelen i låsen, sier han videre.
Ifølge Tømmernes, er det å sitte med ansvaret for IT-sikkerheten, slik som daglig leder og styret gjør, et mye større ansvar enn de aller fleste er klar over.
– Mange virksomheter har investert i en del IT-sikkerhetsprodukter, men har ikke noe forhold til om løsningene er oppdaterte eller fungerer best mulig, sier han.
Anbefaler en modenhetsanalyse
Vi spør Tømmernes hvilket råd han gir en IT-sjef eller virksomhetsleder som kontakter han for å finne ut hvor motstandsdyktig deres IT-miljø er mot dagens trusselbilde?
– I Atea har vi satt oss godt inn i myndighetenes retningslinjer. Vi har utviklet en modenhetsanalyse med formålet å gi en oversikt både teknisk og organisatorisk på hvor virksomheten er i dag sett opp mot samtids trusselbilde, sier han, og fortsetter:
– En modenhetsanalyse skal gi svar på bedriftens modenhet ved å avdekke sikkerhetsprosesser, styringsverktøy og hvordan virksomheten forholder seg til teknologiene som brukes. Poenget er å finne de laveste fruktene og gjøre de tiltakene som gir mest verdi sett opp mot investeringene.
Tømmernes understreker også at det ikke er noen vits i å utføre en modenhetsanalyse uten at virksomhetsledelsen tar eierskap og involverer seg i resultatet av gjennomgangen.
Hva er sikkert nok?
Etter en kartlegging med gjennomgang av funnene og forklaring av mulige konsekvenser forbundet med sårbarhetene, tar ledelsen som regel stilling til akseptert risiko opp mot kostnader.
– Dette betyr at man må fastslå hva som er «sikkert nok» og definere organisasjonens «baseline». For å kunne gjøre det, må man først finne ut nøyaktig hvor man står i dag, og så vurdere hva som skal til for å sikre firmaet tilstrekkelig, sier Tømmernes.
– Vi ser ofte at ledere som er opptatt av digitalisering, miljø og bærekraft er de samme virksomhetene som har tatt IT-sikkerhet inn som et fast punkt på sin agenda. Det er ofte denne grupperingen som bestiller en modenhetsanalyse og som regel får en øyeåpner når de ser på deres egenvurdering opp mot de reelle funnene og resultate, sier han.
Små og mellomstore bedrifter sliter mest
Det er knapphet på IT-sikkerhetseksperter i Norge. De er få, de er dyre å ansette, og søker typisk til større miljøer. Mangel på denne kompetansen, blir derfor ekstra tydelig for små og mellomstore, norske bedrifter
– Små og mellomstore bedrifter har som regel ikke egen kompetanse eller kapasitet til å stå opp mot dagens trusselbilde. Ofte har man én ansatt med IT-kompetanse som blir satt til å gjøre mange forskjellige IT-oppgaver. Her møter jeg mange hverdagshelter som yter langt over hva man kan forvente. Men for å være i stand til å kunne håndtere cyberangrep på en god måte, krever det spesialisert utdanning, lang erfaring, og man må holde seg kontinuerlig oppdatert på et komplekst og dynamisk trusselbilde, sier Audun Risberg, forretningsutvikler innen IT-sikkerhet i Atea.
Audun Risberg
Forretningsutviklerarkitekt innen
IT-sikkerhet i Atea
Det verste som kan skje hvis man ikke er sikret godt nok, er at man ikke har sterk nok økonomisk ryggrad til å reise seg etter et digitalt angrep.
– Er man ikke skodd i forkant for å håndtere slike angrep, kan det i verste fall bety kroken på døren, sier Risberg.
Mindre «cybershame» gir bedre delingskultur
Risberg forteller at de daglig er i kontakt med bedrifter som har vært utsatt for noe som kan føre til tap av digitale verdier og sensitiv data.
– Heldigvis ser vi at bedriftene som opplever dette, har begynt å snakke mer åpent om det. Mange er redde for å miste omdømme og at kundene skal tro at de ikke har kontroll på dataene sine. Men vi ser at de som velger åpenhet ved å dele sine erfaringer, stort sett bare får positive tilbakemeldinger, sier han.
Lokal med internasjonale fordeler
– Vår posisjon i det norske it-markedet er også vår største styrke. Vi snakker daglig med virksomheter av alle størrelser, i alle deler av landet, fra alle bransjer. Dette gir oss en meget nøyaktig temperaturmåler på utfordringen norske bedrifter står overfor når det gjelder å sikre sine digitale verdier. I tillegg til å være lokale, bruker vi vår posisjon som internasjonal aktør med et langt og strategisk samarbeid med de store sikkerhetsprodusentene i verden. Det betyr at vi har gode betingelser og innsikt i produsentenes tjenester og muligheter, sier Risberg.
– Kombinerer vi dette med hva vi ser i vår sikkerhetsovervåkning (SOC) og etterretningen fra Atea Incident Response Team, sitter vi med gode nok kort på hånden til å kunne si med stor grad av sikkerhet hvilke beskyttelsestiltak norske bedrifter bør prioritere. Det har vi brukt til å sette sammen en løsning som møter essensen av utfordringen i SMB-bransjen i dag, sier han.
Skreddersydd sikkerhetspakke
Løsningen Risberg snakker om, er en sikkerhetspakke kalt Atea Sirius. Den er skreddersydd for å møte behovene i små og mellomstore bedrifter, og inneholder flere av dagens viktigste sikkerhetsteknologier, kombinert med ettertraktet sikkerhetsekspertise.
– Sirius er en ferdig pakke, slik at kunden slipper å gå inn i detaljene. Denne pakken løser hovedutfordringene i markedet, nemlig mangel på kompetanse og evnen til å oppdage og håndtere et angrep korrekt, sier Risberg, og legger til at man aldri kan være hundre prosent fri for risiko.
– Da må man trekke ut nettverkskontakten og grave ned PC-en. Det som er viktig, at når det først skjer noe, så blir det oppdaget tidlig og håndtert raskt. Det kan vi hjelpe med, sier han.
Av Marte Frimand