Cyberangrepene har tredoblet seg siden 2019, og lite tyder på at det avtar. Konsulentselskapet Habberstad har i tiår bistått store norske virksomheter med digitaliserings- og endringsprosesser. Nå styrker de sitt sikkerhets-team med erfarne konsulenter som ser på informasjonssikkerhet fra et forretnings- og ledelsesperspektiv.
Leiv Jostein Hovda Skaug er fagansvarlig for informasjonssikkerhet i Habberstad. Skaug har over 20 års sikkerhetserfaring som stabs- og seksjonssjef i Nasjonal sikkerhetsmyndighet (NSM). I Habberstad vil han og hans kollegaer fortsette med å gi viktige bidrag til informasjonssikkerhet i offentlig og privat sektor.
Leiv Jostein Hovda Skaug
Fagansvarlig, Informasjonssikkerhet
Kartlegge verdier
– En av de store utfordringene virksomheter står overfor, er løsepengevirusene, der aktører, målrettet eller tilfeldig, utnytter sårbarheter i systemene, krypterer og stjeler sensitive eller personlige data, og truer med offentliggjøring, med mindre du er villig til å betale, sier han.
– Analoge reserveløsninger er ikke svaret, men vi må bli bedre på å kartlegge verdier, sårbarheter, trusler, og ha gode risikovurderinger for å sikre systemene, med optimal forretningsdrift, og tilstrekkelig informasjonssikkerhet. Offline backup av eksisterende data er viktig om uhellet først skulle være ute. Skaug peker også på risikoen knyttet til den enkelte bruker, men mener mye kan løses med et bevisst forhold til identitet og tilgangsstyring, så vel som systemer som er dimensjonert for virksomheten.
Både etterretningen, PST og NSM er tydelige på at det er hightech-foretak, myndigheter, forsvar, forskning, utdanning, helse og kritisk infrastruktur som er mest utsatt, men mange angrep er opportunistiske, og kan ramme hvem som helst. Har du systemer som er eksponert for internett, står du lagelig til for dataangrep, og det er én tabbe som går igjen: Folk som aktiverer innhold i e-poster. Det er ingen god idé, advarer han, og her ønsker han å bistå.
Ikke IT-avdelingens ansvar
– Det viktige for oss er å bidra til at ledelsen i foretak tar bevisste valg knyttet til risiko. Erfaring viser at kompetansen på informasjonssikkerhet og risikovurdering er mangelfull. Informasjonssikkerhet er virksomhetens ansvar og kan ikke «settes bort» til IT-sjefen som jobber med sikker drift.
Det er nettopp her Habberstad ønsker å bistå. Vi vil løfte fokuset opp på ledelsesnivå, med identifisering av verdier, kartlegging av trusler og sårbarheter, og gjennomføre risikovurderinger, slik at virksomheten kan gjøre en god prioritering av informasjonssikkerheten og forebyggende tiltak. Det er viktig at ansvaret ikke primært ligger i IT-avdelingen. Ledelsen må ha et forhold til virksomhetens trusselbilde og risikoer, og må selv besørge riktig prioritering av sikkerheten for tjenestene.
I Habberstad er de eksperter på datasikkerhet fra et forretningsperspektiv. De bistår virksomheter i å etablere gode styringssystem. Med fageksperter på områder som informasjonssikkerhet, jus, IAM, GDPR, skytjenester, prosjekt- og porteføljestyring, sørger de for at norske virksomheter har en gjennomtenkt sikkerhetskultur og arbeider systematisk med informasjonssikkerhet.
Av Jarle Petterson