IT-sikkerhet – et topplederansvar
Teknologien har gitt oss en betydelige gevinster. Vi finner allerede teknologi godt etablert i våre hjem og arbeidsplasser. De fleste samfunnsviktige funksjoner er nå digitaliserte. I dag er det rundt 20 milliarder gjenstander tilkoblet internett. Dette vil øke betraktelig i årene som kommer. Vi ser nå fremveksten av smart-teknologi for byer, samferdsel, utdanning, helse, og i våre hjem. Men med flere systemer, øker også risikoen for uønskede angrep. Ingen systemer er hundre prosent sikre. Den raske digitaliseringen har gjort IKT til en strategisk sikkerhetsutfordring.
Digitaliseringen med økende bruk av skybasert lagring, mobile enheter og Internet of Things gjør oss mer sårbare. Et angrep kan være vanskelig å oppdage. Det er ikke snakk om hvis, men når nettverk angripes. Dette kan skje på grunn av feil i kodingen, illojale medarbeidere, menneskelige feil eller mangel på kompetanse. De mer profesjonelle trusselaktørene bruker avanserte verktøy for å tilegne seg informasjon, og ligger ofte i forkant teknologisk for å nå sine mål. Dette betyr at trusselbilde endrer seg i takt med den teknologiske utviklingen. Derfor er IT-sikkerhet en kontinuerlig øvelse for å holde seg oppdatert og forberedt.
Selskaper vil ofte unngå å anmelde cyberangrep. De vet at politiet har begrenset kapasitet til etterforskning, og en anmeldelse vil kunne skade en virksomhets omdømme. Sykehus, brannvesen og politi er avhengige av at teknologien fungerer som den skal. Det samme gjelder den kollektive trafikken, tele- og datatjenester. Samlet samfunnsmessig tap ved et bortfall av kjernenettets funksjonalitet er ifølge sårbarhetsutvalget estimert til to milliarder kroner per dag, i tillegg til store og alvorlige konsekvenser for liv og helse.
Risikoen er reell. Lille julaften i fjor forsvant strømmen for flere hundre tusen mennesker i Ivano-Frankivsk regionen vest i Ukraina. Minst 30 transformatorstasjoner ble slått ut og 80.000 husstander, bedrifter og institusjoner ble rammet. Et avansert hacker angrep var årsaken til at strømforsyningen ble slått av. Den 19. mars kunne vi lese i VG at appen til elbilen Nissan Leaf er sårbar for hacking. Det har vært svært enkelt å skaffet seg tilgang til appen og dermed kunne styre funksjoner i bilen. Eksemplene er mange og det vil komme flere.
Etterspørselen etter personer med avansert IT-sikkerhetskompetanse er større enn dagens tilbud av personer som besitter denne kompetansen. Behovet for kvalifisert arbeidskraft har de siste årene vært langt større enn tilgangen på kandidater til viktige jobber innen IT-sikkerhet. NSM konkluderer i egen rapport at det er særlig to utfordringer når det gjelder datasikkerhet; kunnskapen omkring IT-sikkerhet i Norge er liten, samtidig som sikkerhetsproblematikken ikke har nok fokus fra toppledelsen i private og offentlige virksomheter. Det handler altså om kunnskap og fokus. Vi vet at kompleksiteten vil fortsette å øke i årene som kommer og trusselbildet vil derfor bli større etter hvert som mer og mer digitaliseres. Både eiere, styrer og toppledelse må forstå at deres virksomheter må ha fokus på IT-sikkerhet og de må begynne med å tilegne seg nødvendig innsikt.
Med økende grad av digitalisering så er konklusjonen at for de fleste virksomheter må IT-sikkerhet bli en sentral del av virksomhetens strategi og dermed bli operasjonalisert og målt som andre vesentlige virksomhetsområder. Det kan bli kostbart å la være.