«Du må gi no, for å få no sikkert»

Dette presentert av en ivrig predikant som samtidig skremmer med både bøter og utestengelse om en uheldig virksomhet skulle bli hacket og ikke har ting på stell.

Vi i den kommersielle sikkerhetsbransjen trykker alle nye lover og regler til vårt bryst. For dette gjør det enklere for oss å argumentere om behovet for både mer motstandsdyktige løsninger, og evnen til å fremlegge rapporter om hvilke tiltak en virksomhet har gjort.

Vi er med andre ord markedsavdelingen til myndighetene, og de ville neppe fått ut budskapet like fort om ikke den kommersielle bransjen benyttet argumentasjonsrekken i salgsprosessene.

Om vi ser på sertifiseringsordningen for hendelseshåndtering fra NSM, er dette et godt eksempel på hvordan myndighetene stiller krav til IT-sikkerhetsbransjen. Det gjør de for å sikre høy kvalitet på selskapene som utfører hendelseshåndtering. Ordningen har vært til stede siden 2016, og har fungert som en rettesnor for de som kjøper tjenesten. I dag er det 9 selskaper som innehar godkjenningen. Et antall som er presset frem av at kundene har begynt å ha dette som et krav når de skal velge leverandør av tjenesten.

Dominoeffekt 

Slike krav får en dominoeffekt. Dette ser vi allerede konturene av i forbindelse med NIS2-kravene fra EU. Der ett av kravene er å kunne fremlegge en rapport på at virksomhetene har gjort en analyse av eget IT-miljø, sett opp mot dagens trusselbilde. NIS2 tredde i kraft 18. oktober i år, og alle norske virksomheter som jobber med leveranser til EU er allerede under direktivet. De snur seg nå rundt til sine underleverandører, og krever fremleggelse av tilsvarende analyse.

Disse analysene gir ledelsen fullt innblikk i hva de må gjøre av både organisatoriske og tekniske tiltak for å være rustet og motstandsdyktig. Dette vil samtidig utløse sunn konkurranse mellom underleverandører, som må få sikkerheten på stell for å kunne vinne kontrakter. 

Treffer alle

Det du må være klar over er at alle, enten de er store eller små virksomheter, treffes av de samme kravene. Dette oppfattes sannsynligvis urettferdig, men kan enkelt forklares med at en hacker ser ikke forskjell på liten og stor. Måten de angriper en virksomhet på kan sammenlignes med en biltyv som går nedover fortauet til han finner en åpen bil. Dette gjør hackerne også. De bruker automatiserte skannere som støvsuger internett etter sårbarheter som ikke er fikset, og benytter disse helt ukritisk uavhengig av hvilken virksomhet du er.

Med andre ord er alle norske virksomhet i samme båt og må investere. Vi ser at de største virksomhetene som regel har god sikkerhet. Dette har ført til at hackerne er enda mer interesserte enn før i å komme seg inn hos underleverandører. Dette problemet er så stort at NSM har rangert underleverandører og verdikjeder som den største trusselen for norske virksomheter i sine siste to trusselrapporter. Få tilskudd

Det finnes heldigvis hjelp å få. I Danmark har de SMV Digital som er støttet av EU , som mindre og mellomstore virksomheter kan søke støtte igjennom. Heldigvis har norske politikere latt seg inspirere, og skjønner at de må gi noe når de stiller tøffe krav. I Norge har vi for første gang endelig fått på plass en pengesekk på 20 millioner kroner til cybersikkerhet . 

De oppfordrer små og mellomstore virksomheter til å søke. Det gjør jeg også. IT-sikkerhet koster penger, og nå kan du gjøre tiltak i henhold til myndighetenes krav, bevise det og få refusjon. Det viktige her er å sikre Norge ikke bare «top down» som situasjonen er i dag, men «bottom up». Bare gjennom felles innsats kan vi bygge et robust digitalt Norge som står imot morgendagens trusler.