Trusselbildet i kjølvannet av Ukraina–krigen gjør at norske virksomheter må se på «forsvarbarheten» sin. Det handler ikke lenger kun om å være sikker, men å skape en virksomhet som kan operere under angrep.
– Når uhellet først er ute og en virksomhet står med sorte skjermer og data på avveie, da er det én ting som står i fokus: «Hvor raskt er vi tilbake i normal operasjon?» Svaret på dette er dessverre ofte vanskelig å gi fordi man ikke vet, sier direktør for cybersecurity og connectivity i Sopra Steria Skandinavia, Jørgen Rørvik, og fortsetter:
– Lenge har det vært viktig å være «sikker nok» og å kontinuerlig jobbe med sikkerhetstiltak etter beste evne. Det er fordi grunnleggende IT–sikkerhet er svært viktig. Fremover må vi i tillegg jobbe mye mer med hvor forsvarbare vi er. Altså: Hvor robust er virksomheten?
Umulig å holde tritt
Som et eksempel utga Lockheed Martin for noen år siden en veiledning om hvordan en virksomhet kan evne å levere kritiske tjenester, også under angrep. De har tenkt annerledes på sikkerhetsbegrepet. Det nytter ikke bare å sikre seg, for det er nemlig ikke mulig å bli helt sikker.
En av grunnene til dette er at trusselaktørene jobber stadig raskere, og virksomheter sliter stadig med å kvitte seg med gammelt utstyr og teknologi. Det er nesten umulig å holde tritt i arbeidet med sårbarheter, men sikkerhetsarbeidet gjør det dyrere for angriper, og de må jobbe mer intensivt for å lykkes.
– Det er derfor svært viktig at vi jobber med hvor forsvarbare vi er. Vår evne til å forsvare oss handler om vår evne til å levere sikker IT, avdekke angrep og håndtere dem, men også vår evne til å tilgjengeliggjøre tjenester for kunden eller sluttbruker all den tid vi er under angrep, sier Rørvik.
Kritiske tjenester må ha plan B
Forsvarbarhet handler om å ha en plan for hvordan du skal tilby dine tjenester dersom de er satt ut av spill. Dersom du har forsvarbarheten i orden, er det ikke backup og gjennomretting som tar deg gjennom angrepet. Det er evnen til å tilby den kritiske tjenesten kontrollert og raskt til tross for angrep, kanskje i annen teknologi.
– La oss si at din virksomhet er avhengig av en booking-plattform for å fungere. Da har du nok jobbet svært godt med å sørge for at disse er så sikre som mulig. Men lar tjenestene seg forsvare? Kan de tilgjengeliggjøres på annet vis dersom de brister? Kan systemene dine gjøres tilgjengelig i en annen teknologi dersom de skulle bli satt ut av spill? Kanskje automatisert og orkestrert? Og det virkelig viktige spørsmålet: Hvor lang tid tar det å tilgjengeliggjøre virksomhetskritiske tjenester? spør Rørvik, og fortsetter:
– Ja, da snakker vi om robusthet og forsvarbarhet. Det er ikke nødvendig å arbeide med forsvarbarhet for alle systemer man har, men for det som er virksomhetskritisk er det særdeles lurt.
Denne forsvarbarheten blir stadig viktigere for norske virksomheter. Rørvik påpeker at i Sopra Steria ser de et stadig økende behov i markedet for å arbeide og rådgi rundt forsvarbarhet.
– Å jobbe med å være forsvarbar vil jeg påstå er en mye riktigere bruk av sikkerhetstid og penger enn utelukkende å se på hvor sikre man er. For det er ikke mange som bryr seg om hvor tilsynelatende sikker man er når alt står i brann, avslutter han.