Vi må forberede oss mot katastrofale cyberangrep nå!
I en ny
rapport fra Verdens økonomiske forum (WEF)
kommer det frem at nesten samtlige (93 prosent) cybersikkerhetsledere og de
fleste (86 prosent) virksomhetsledere mener at sannsynligheten for at den
globale geopolitiske ustabiliteten vil kunne føre til «katastrofale
cyberhendelser» i løpet av de neste to årene, er «sannsynlig eller svært
sannsynlig».
Det er i seg selv et svært skremmende framtidsscenario, med tanke på at cyberangrepene globalt, men også mot Norge, har økt kraftig de siste årene, anført av pandemien og Russlands krig mot Ukraina. Den voksende mediedekningen her til lands er også et vitne om den økende cybersikkerhetstrusselen. Mens norske medier omtalte cyberangrep omlag 1000 ganger i året mellom 2019 og 2021, eksploderte volumet til over 2500 ganger i 2022, ifølge medieanalysebyrået Retriever. Tendensen så langt i 2023, peker i retning av ytterligere vekst, anført av Etterretningstjenesten, PST og NSM som alle tre advarer om økning av cyberangrep og industrispionasje rettet mot Norge.
Bak de mange cyberangreps-overskriftene i mediene i løpet av de siste årene, skjuler det seg mange bekymringer. Bekymringer knyttet til økende kompetansemangel fra styret, ledelsen og videre ned i organisasjonen. Men bekymringene handler også om utbrente og overarbeidede cybersikkerhetsmedarbeidere, manglende investeringsvilje i cybersikkerhetsinfrastruktur, sviktende satsing på IKT-studier fra våre politikere, i tillegg til en begrenset sikkerhetshygiene i befolkningen generelt.
Bak de mange cyberangreps-overskriftene i mediene i løpet av de siste årene, skjuler det seg mange bekymringer.
I Global Cybersecurity Outlook 2023-rapporten kommer det frem at det som blant annet bekymrer cybersikkerhetsledere og virksomhetsledere mest, er cyberhendelser som skader den daglige driften og omdømmet. Og mens cybersikkerhetslederne må bli flinkere til å snakke «business-språket» på den ene siden, er det like viktig på den andre siden at toppledelsen forstår og aksepterer at de i større grad må ta ansvar for hva som må på plass av operasjonell sikkerhetsteknologi
Sikkerhetskunnskap fortsetter å være en knapphetsfaktor, noe som vil forsterke utfordringen relatert til å rekruttere og beholde de beste cybersikkerhets-talentene i årene fremover. At dagens regjering i tillegg har valgt å redusere antall studieplasser øremerket til IKT, er et tegn på manglende forståelse for hvor alvorlig og prekær kompetansemangelen er, og hvor store kostnadene og konsekvensene av å gå naivt inn i fremtiden kan bli.
Om det ikke holder med advarsler fra cybersikkerhetsbransjen og Verdens økonomiske forum, kan vi jo håpe at det hjelper at våre egne etterretningstjenester varsler om at tiden for naivitet er forbi. Den tiden burde strengt talt vært forbi oss for lenge siden, for realiteten er at de fleste av oss fortsatt ikke tror at vi vil bli utsatt for cyberangrep. Og resultatet av en slik naiv holdning i 2023, er at det må en krise til før vi endrer oss. Og det er de cyberkriminelle veldig klar over. Skal vi bli i stand til å møte dagens og morgendagens cyberangrep og -trusler, er vi avhengige av politikere som forstår alvoret og virksomhetsledere som blir flinkere til å lytte og agere.
Tilstrekkelig cybersikkerhet er ikke noe man kan velge vekk, slik vi ikke velger vekk sikkerhet når vi beveger oss i den fysiske virkeligheten. Hvis du var 93 prosent sikker på at du kom til å bli utsatt for en katastrofal flyulykke i løpet av de neste to årene, ville du satt deg inn et fly da? Eller ville du ventet med det til du var forsikret om at sikkerheten var tilstrekkelig god til at sannsynligheten var mer eller mindre eliminert? Ville du tatt toget, t-banen, trikken, bussen, bilen eller satt deg på en sykkel, om du hadde tilsvarende odds for en katastrofal ulykke? Sannsynligvis ikke.
Det dagens virksomheter trenger for å møte morgendagens cyberutfordringer, er cybersikkerhetsteknologi utviklet, implementert og ivaretatt for å minimere risiko for driftsstans, tilgjengelighet og skade på omdømmet og tilliten. Og den eneste måten å få til det på er gjennom kommunikasjon og gjensidig forståelse fra alle beslutningstagere om at cybersikkerhets-investeringer alltid må være strategiske, ikke taktiske og gradvise.
Og bare så det er sagt, der burde vi vært for lenge siden.