– Har ikke oversikt
Norske virksomheter har ikke oversikt over egne sårbarheter og hvilken risiko de er utsatt for. Nasjonal Sikkerhetsmyndighet maner til et nasjonalt krafttak for sikkerhet.
Samtidig som Nasjonal Sikkerhetsmyndighets (NSM) egne cyberkrimetterforskere bistår i arbeidet med å finne ut hva som traff Norsk Hydro natt til tirsdag 19. mars, arrangerer NSM sin årlige sikkerhetskonferanse for fjortende gang. I år med rekorddeltakelse på over 850 deltakere, og ytterligere 100 på venteliste. Dette er også forumet der NSMs årlige trussel- og risikorapport «Risiko 2019» lanseres.
– Målet for denne konferansen er at vi alle sammen skal gjøre Norge sikrere, sa Annette Tjaberg, fungerende direktør i NSM i sin innledning.
Risiko i fokus
Risiko og risikostyring sto i fokus under åpningsforedragene på årets konferanse. De aller fleste av talerne pekte på viktigheten av at virksomheter skaffer seg oversikt over hvilke verdier som er viktige for dem, og hvilke risikoer disse blir utsatt for, ble understreket flere ganger.
– Den økende digitaliseringen er veldig bra, men den er samtidig et tveegget sverd. Innovasjon og effektivisering blir mulig, men samtidig oppstår det nye sårbarheter, og den totale digitale angrepsflaten øker, sa Tjaberg.
– NSM ser stadig mer avanserte og effektive nettverksoperasjoner mot norske virksomheter. For norske samfunnsfunksjoner utgjør disse nettverksoperasjonene en betydelig risiko. Hydro-hendelsen i går understreker dette, la hun til.
Viktige risikofaktorer
Å forholde seg til risikofaktorene er viktig både i privat og offentlig sektor, understreket Tjaberg.
– Ved å se verdiene i beskytter i sammenheng med sårbarheter i virksomhetene og trusselbildet vi står overfor, har vi i år identifisert seks risikofaktorer, fortalte hun.
Om disse faktorene skriver NSM følgende i en pressemelding:
«Norske virksomheter sitter på store verdier. Når disse verdiene ses i sammenheng med sårbarheter i virksomhetene og trusselbildet vi står overfor, peker NSM på seks faktorer som er særlig viktige for å vurdere den totale risikoen virksomheter bør forholde seg til:
- Ufullstendig risikobilde gjør det vanskelig å sikre samfunnet med riktige tiltak. Vet man ikke hvor man er sårbar og hvem som prøver å ta seg inn for å sabotere, spionere og stjele, så er det vanskelig å dimensjonere sikringstiltak.
- Manglende sammenheng mellom tiltak. Sikkerheten må være helhetlig fordi alt avhenger av det svakeste ledd.
- Svakt personellsikkerhetsarbeid gjør at innsidere ikke blir oppdaget. En person på innsiden av en virksomhet kan undergrave sikkerhetsbarrierer i IKT-nettverk og fysisk sikring av bygninger.
- Økende digitalisering uten at sikkerheten i løsningene bedres tilsvarende. Funksjoner som i dag ikke er heldigitaliserte vil bli det i økende tempo fremover. Sikres de ikke i takt med dette kan store verdier gå tapt.
- Dårlig oversikt over hva som bør sikres. Med ny sikkerhetslov skal flere skjermingsverdige objekter og infrastruktur pekes ut. Dette kan bli utfordrende for norske myndigheter.
- Risikoreduserende tiltak både på offentlig og privat side. Næringslivet leverer tjenester til det offentlige, og tiltak for å redusere risiko må derfor på plass både i privat og offentlig sektor».
Last ned hele rapporten «Risiko 2019 – Krafttak for et sikrere Norge» fra NSMs nettsider (PDF).