Sist helg var Brønnøysundregistrene nede på grunn av et sikkerhetshull. Hvor alvorlig tar norske toppledere slike trusler?
La oss gi deg litt bakgrunn. Torsdag forrige uke varsles det på Twitter om sårbarheten, som får den digitale verden til å grøsse. Kort tid etter tas mange samfunnskritiske systemer, slik som Brønnøysundregistrene og søkefunksjonen på Altinn, ned umiddelbart. Sårbarheten gjelder et bibliotek som programmeringsspråket Java benytter, og det høres i seg selv ikke særlig spennende ut.
Men er du leder i næringsliv eller offentlig sektor bør du sitte ytterst på stolen akkurat nå. Denne sårbarheten gjelder så å si alle, for de fleste virksomheter benytter systemer som nå kan fjernstyres via det som kalles «Log4shell». Dette er ikke første gangen slike sårbarheter oppstår, og det vil ikke være siste. Hvorfor må du som virksomhetsleder være opplyst og informert om slike ting? Er ikke dette noe sikkerhetsavdelingen bare kan fikse?
Ikke lenger. De siste fem årene har det skjedd et markant skifte. Når alt virksomheten gjør avhenger av digitale systemer og prosesser er det ikke lenger en farbar vei for toppledelsen å tenke at ansvaret for dette ligger hos noen andre. Sikkerhet er virksomhetskritisk. Bare spør Petter Stordalens Nordic Choice Hotels, der de de siste ukene har måttet benytte seg av 30 år gamle manuelle innsjekkskjemaer på papir. Eller Hydro. Sistnevnte kan fortelle deg at sikkerhetshull fort kan koste hundrevis av millioner av kroner. Men hvordan kan du som toppleder sette IT-sikkerhet som en integrert del av virke og strategi?
Først og fremst bør du ha de kyndige tett på deg i ledergruppen – og du bør få sikkerhet inn i styrerommet. Det må rapporteres på IT-sikkerhet, om hvilken risiko som finnes, du må vite hvor mye penger som brukes på det, og du må vite hva du får igjen for pengene som investeres.
Som en av landets største leverandører av IT-driftstjenester, ble det en hektisk helg for oss i Sopra Steria i kjølvannet av nyheten om «Log4shell». Vi måtte raskt gjøre nødvendige tiltak basert på sårbarheter som kunne dukke opp i våre kunders systemer – og potensielt omfang. Litt avhengig av bransjen, er det ulik risiko som eksponeres ved slike sårbarheter. For noen bedrifter vil tilgang og uthenting av sensitiv data være et problem.
På generelt grunnlag kan vi si at de fleste bedrifter som opplever sikkerhetsbrudd dessverre eksponeres for pengeutpressing og skadevare. Fordi sårbarhetene er så omfattende, er det derfor lett å bli tatt med inn i «dragsuget» på et angrep som utnytter sårbarheten generelt. Kryptoangrep blir gjerne svært kostbart for bedrifter, for det koster fort millioner av kroner i tapte inntekter og opprydding. I tillegg kan det påvirke samfunnet dersom kritiske tjenester går ned. Hva hadde skjedd om alle systemene til NAV gikk ned – og ingen umiddelbart klarte å få dem opp igjen? Eller systemene til Bane NOR eller Avinor? Det er lett å forestille seg konsekvensene.
Uavhengig av hva slags virksomhet du leder, er tiden for å få sikkerhet på toppen av virksomhetens agenda langt på overtid. De aller fleste virksomheter i Norge har i dag en eller annen variant av «cybertrussel» øverst til høyre i sin interne risikomatrise. Helgens hendelse viser med rette hvorfor dette er høyst reelt.
Innlegget ble først publisert i Finansavisen 16. desember 2021.